23 de agosto de 2023
¿Qué es Zero Trust? Pasado, presente y futuro de la seguridad
En este artículo os contamos la tendencia y evolución de las iniciativas Zero Trust pero antes de eso pongámonos en antecedentes
¿Qué es Zero Trust?
Zero Trust es un modelo de seguridad en el que se asume que todas las entidades dentro de la red, incluidas las que tienen acceso a la red, son potencialmente malintencionadas. Por lo tanto, todas las transacciones y accesos a recursos se verifican y autentican antes de permitirse. Esto significa que, en lugar de confiar en la posición o la identidad de un usuario o dispositivo para determinar su acceso a los recursos, se realiza una verificación exhaustiva cada vez que se accede a un recurso. La implementación de Zero Trust requiere una combinación de tecnologías de seguridad, como autenticación multifactor, encriptación, control de acceso basado en políticas y análisis de comportamiento para garantizar la seguridad de la red.
En resumen, Zero Trust es un enfoque de seguridad centrado en la verificación y la autenticación exhaustivas en lugar de la confianza en la identidad o la ubicación de los usuarios y dispositivos. Este enfoque ayuda a prevenir las brechas de seguridad y a mantener la confidencialidad de la información sensible en un entorno en constante evolución y altamente conectado.
La evolución de Zero Trust en los últimos años
Qué diferencia hacen cuatro años.
Desde que Okta lanzó su primer informe State of Zero Trust en 2019, se ha estado diciendo que el marco representa el futuro de la seguridad. Este año, la adopción de Zero Trust alcanzó un punto de inflexión.
En 2019, muchas organizaciones encuestadas reconocieron que Zero Trust era importante, pero solo el 16% había invertido en iniciativas de Zero Trust. En 2022, las organizaciones están listas para pasar a la acción; el 97% de los encuestados tienen una iniciativa definida de Zero Trust en marcha o planean tener una en los próximos meses.
En el cuarto informe anual de Okta sobre el estado de Zero Trust, elaborado a partir de encuestas a 700 responsables de seguridad, revela un panorama que ha cambiado radicalmente, en el que no existe una solución de seguridad única para todos. A medida que diferentes organizaciones, industrias y regiones adoptan diferentes estrategias y prioridades de Zero Trust, han surgido algunas tendencias fascinantes.
Las iniciativas de Zero Trust han avanzado asombrosamente en un año
En el último año, la evolución de los programas de Zero Trust ha sido notable. De hecho, el porcentaje de empresas con una iniciativa definida de Zero Trust en marcha se ha más que duplicado:
- En 2021, solo el 24 % de los encuestados tenía una iniciativa de Zero Trust en marcha, y el 65 % tenía planes de implementar una en los próximos 12-18 meses.
- En 2022, el 55 % de los encuestados cuenta con una iniciativa de Zero Trust, y el 42 % afirma que implementará una en un futuro próximo
Más que nunca, la seguridad y la facilidad de uso se incluyen mutuamente
En 2020, las organizaciones de todo el mundo necesitaban dar soporte de forma abrupta a fuerzas de trabajo distribuidas y dinámicas, por lo que es comprensible que las consideraciones en torno a la accesibilidad y la facilidad de uso a menudo prevalecieran sobre las preocupaciones de seguridad.
Tras implantar sistemas que permitían a los equipos trabajar desde cualquier lugar, muchas organizaciones acumularon deudas de seguridad y ahora están aprendiendo dónde residen sus vulnerabilidades. Pero también se han dado cuenta de que la seguridad no tiene por qué ir en detrimento de la facilidad de uso, como demuestra la adopción cada vez más generalizada de la autenticación sin contraseña:
- El acceso sin contraseña es una prioridad mundial en los próximos 12-18 meses.
- El 24% de los encuestados del sector de servicios financieros tiene previsto adoptarlo en breve o ya lo ha hecho.
Casi una quinta parte de los encuestados del sector sanitario (17%) y de software (18%) esperan hacer lo mismo.
El veredicto es favorable: la identidad es vital para una estrategia Zero Trust
El principio central del modelo de seguridad de Zero Trust es "nunca confíes, verifica siempre", y aunque puede haber una serie de métodos para hacerlo, ninguno es tan fiable como la gestión de identidades y accesos.
- El 80% de los encuestados considera que la identidad es importante para sus estrategias de Zero Trust.
- El 19% ha ido un paso más allá, declarando que la identidad es crítica para el negocio.
En total, el 99% de las organizaciones encuestadas señala la identidad como un factor clave para Zero Trust. Las cifras son similares cuando se habla con los líderes de alto nivel, como los CISO y otros ejecutivos de la C-suite, con un 98% que reconoce el papel integral de la identidad en un enfoque sólido de Zero Trust.
“We’re becoming an identity-driven security team, which is a real shift in culture, because we’re talking about a team that was built for a flat, on-prem network.” — John McLeod, CISO, NOV
La identidad es clave para la sanidad y los servicios financieros
Zero Trust está ganando terreno rápidamente en el sector sanitario, a medida que los últimos reticentes se comprometen con nuevas iniciativas en el futuro. En 2021, el 37 % de las organizaciones había empezado a aplicar iniciativas de Zero Trust, pero esa cifra ha aumentado hasta el 58 % en 2022. También vale la pena señalar que el 96% tiene al menos una iniciativa planificada para los próximos 12 a 18 meses, y para la gran mayoría, esas iniciativas involucrarán la identidad.
- El 99% de las organizaciones sanitarias consideran que la identidad es fundamental para sus estrategias de Zero Trust.
- El 72% de los encuestados la describen como importante, mientras que el 27% dicen que es crítica para el negocio.
La adopción de soluciones de identidad también ha impulsado la transformación en el sector de los servicios financieros, y muchas organizaciones se han centrado primero en sus sistemas internos y su personal:
- Casi el 75% de las empresas de servicios financieros pretenden ampliar el inicio de sesión único (SSO) y el MFA a servidores, bases de datos y API en un plazo de 18 meses.
- Para casi el 80% de los encuestados, el SSO ya se ha extendido a los empleados, pero en la actualidad, sólo el 37% ha extendido el MFA a usuarios externos a sus organizaciones.
EMEA y APAC dan prioridad a la automatización y la gestión de accesos
La rapidez con la que las regiones adoptan nuevas iniciativas de seguridad puede arrojar luz sobre sus prioridades de Zero Trust. Por ejemplo, los encuestados tanto de EMEA como de APAC están redoblando la apuesta por la gestión de accesos privilegiados para infraestructuras en la nube:
- Las tasas de adopción en la región EMEA están programadas para alcanzar el 97% en el próximo año y medio.
- Para APAC, se prevé que las tasas de adopción en los próximos 18 meses se dupliquen, pasando del 44% en 2021 al 88% en 2022.
- En comparación, las tasas de adopción en Norteamérica también se duplicarán, pero alcanzarán un máximo del 70%.
Las organizaciones de toda la región APAC también están invirtiendo mucho en la automatización de los procesos de aprovisionamiento y desaprovisionamiento de los empleados, y se espera que las tasas de adopción aumenten del 22% en 2021 al 76% en 2022. Las tasas de adopción en EMEA no se quedan atrás, ya que el 74% de las organizaciones indican que implementarán esta práctica de seguridad en los próximos 18 meses.
Conclusión
Estas tendencias ilustran a grandes rasgos cómo la adopción de Zero Trust está transformando los sectores y la seguridad en todo el mundo (puedes leer aquí el informe completo) como una respuesta a la creciente complejidad de los entornos tecnológicos y la necesidad de proteger la información sensible.
Sin duda, factores como la adopción masiva de la nube y la movilidad han hecho que la red tradicional haya evolucionado hacia un entorno mucho más distribuido y menos predecible, lo que lleva a una necesidad de mayor seguridad.
Share
Quizá te puede interesar
Erreka I IoT
ERREKA Access es una división de ERREKA, sociedad cooperativa perteneciente al Grupo Mondragón, dedicada al diseño, fabricación e instalación de sistemas para la automatización de entradas y control de accesos automáticos: puertas automáticas, motores para puertas y grúas de techo y arneses para personas.