Red Seguridad 091

está creciendo como parte de ini- ciativas clave para mitigar el riesgo cibernético. Con su principio de verificación de usuarios, dispositivos e infraestructura antes de otorgar privilegios mínimos basados en el acceso condicional, Zero Trust man- tiene la promesa de una usabilidad, protección de datos y gobernan- za enormemente mejoradas". Así se expresa Holger Schulze, CEO y fundador de Cybersecurity Insiders, en el informe Zero Trust Progress Report publicado a principios de este año junto a la empresa Pulse Secure. En él, además, se pone de manifiesto que el 72 por ciento de las organizaciones planean evaluar o implementar las capacidades de Zero Trust en 2020 para mitigar el creciente riesgo cibernético. De esta forma también lo cons- tatan los expertos consultados. Por ejemplo, Ortiz, de McAfee, considera que "un número cada vez mayor de organizaciones está adoptando el enfoque de Zero Trust como un elemento o un componente de su arquitectura de red de confianza y de su estrategia de seguridad empre- sarial". Y lo mismo opina Albors, de Eset: "Incluso antes del impacto de red seguridad cuarto trimestre 2020 57 identidad y acceso reportaje la pandemia y la consecuente aplica- ción masiva del teletrabajo, ya eran bastantes las empresas que estaban interesadas o habían empezado a aplicar este modelo". Características principales Ese auge ha sido posible gracias a que este modelo incorpora algunas características que lo hacen fundamental en cualquier estrategia de ciberseguridad corporativa. En primer lugar, Zero Trust implica "definir qué es lo que se quiere proteger y, a partir de ahí, identificar qué flujos de información o de comunicación se tienen para, de esa manera, establecer una arquitectura en la que no se confíe en nada y que permita decidir con otros procedimientos cómo establecer esa confianza y medidas de seguridad", en palabras de Franco, de Cytomic. Es lo que Albors, de Eset, resume en una palabra: "visibilidad", porque, según el directivo, "no es posible proteger un recurso que no sabemos que existe". Y a esto le añade un par de características más: políticas, "en tanto en cuanto permiten llevar a cabo controles que faciliten que solo personas y sistemas específicos tengan acceso a entidades concretas en condiciones determinadas"; y automatización, "que asegura la correcta aplicación de las políticas y permite la rápida aplicación de medidas frente a posibles desvíos", desgrana. Por su parte, Ortiz, de McAfee, también habla de la autenticación multifactorial (MFA) como la base de la seguridad Zero Trust . "Este modelo considera cada intento de acceso a la red como una amenaza. Mientras que la seguridad tradicional de la red puede requerir una única contraseña para permitir el acceso a un usuario, la MFA de Zero Trust requiere que los usuarios introduzcan un código enviado a un dispositivo separado, como un teléfono móvil, para verificar que son quienes dicen ser". Por otro lado, las redes Zero Trust permiten derechos de acceso solo cuando es absolutamente necesario, verificando todas las solicitudes de conexión a los sistemas antes de conceder el acceso. "La reducción de los perímetros de seguridad a zonas más pequeñas para mantener un acceso diferenciado a partes separadas de la red limita el acceso lateral en toda la red", añade Ortiz, A principios de año, Cybersecurity Insiders y Pulse Secure publicaron un informe deno- minado Zero Trust Progress Report , en el que se encuestó a más de 400 profesionales de la ciberseguridad. Estas son algunas conclusiones: El 72 por ciento de las organizaciones planea implementar Zero Trust en 2020. El 47 por ciento de los encuestados carece de confianza al aplicar un modelo Zero Trust a su arquitectura de acceso seguro. El 53 por ciento planea trasladar las capacidades de acceso Zero Trust a una imple- mentación de TI híbrida. Más del 60 por ciento considera que los principios de autenticación y autorización continuos, la confianza obtenida a través de la verificación y la protección de datos son los aspectos más atractivos del modelo Zero Trust para su organización. Más del 40 por ciento afirma que la administración de privilegios, el acceso inseguro de los partners, los ciberataques, los riesgos del shadow TI y el acceso a recursos en dispositivos móviles vulnerables son los principales desafíos para asegurar el acceso a aplicaciones y recursos. El 45 por ciento está preocupado por la seguridad de acceso a las aplicaciones en la nube pública. El 70 por ciento de las organizaciones planea mejorar su administración de identidades y accesos. El 30 por ciento de las empresas buscan simplificar la entrega de acceso seguro, lo que incluye mejorar la expe- riencia del usuario y optimizar la administración y el aprovisionamiento. El 41 por ciento busca reevaluar su infraestructura de acceso seguro. El interés en implementar capacidades de 'Zero Trust' va en aumento