{"id":23550,"date":"2020-07-28T13:45:17","date_gmt":"2020-07-28T11:45:17","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=23550"},"modified":"2020-07-28T13:45:17","modified_gmt":"2020-07-28T11:45:17","slug":"zero-trust-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/zero-trust-security\/23550\/","title":{"rendered":"Desconf\u00eda y verifica siempre: el modelo de seguridad Zero Trust"},"content":{"rendered":"

El modelo Zero Trust ha ganado popularidad entre las organizaciones en los \u00faltimos a\u00f1os. De acuerdo con los datos del 2019, el 78 % de los equipos de seguridad de la informaci\u00f3n implementaron este modelo o al menos lo han planeado<\/a>. A continuaci\u00f3n, te explicamos el concepto Zero Trust para que descubras qu\u00e9 es lo que lo hace tan atractivo para las empresas.<\/p>\n

Adi\u00f3s al per\u00edmetro<\/h2>\n

La seguridad del per\u00edmetro,<\/em> un t\u00e9rmino com\u00fan en la protecci\u00f3n de infraestructuras corporativas, comprende el uso de las verificaciones exhaustivas para cualquier intento de conexi\u00f3n a los recursos corporativos desde el exterior de la infraestructura. B\u00e1sicamente, establece una frontera entre la red corporativa y el resto del mundo. Sin embargo, el interior del per\u00edmetro (dentro de la red corporativa) se convierte en una zona de confianza en la cual los usuarios, los dispositivos y las aplicaciones gozan de cierta libertad.<\/p>\n

La seguridad del per\u00edmetro funcionaba, siempre que la zona de confianza se limitara a la red de acceso local y los dispositivos fijos conectados a ella. Pero el concepto \u201cper\u00edmetro\u201d se vio difuminado a medida que crec\u00eda el n\u00famero de dispositivos m\u00f3viles y servicios en funcionamiento en la nube. Actualmente, al menos una parte de los recursos corporativos est\u00e1 ubicada fuera de la oficina o incluso en el extranjero. Intentar ocultarlos, aunque sea detr\u00e1s de la pared m\u00e1s alta es, como mucho, poco pr\u00e1ctico. Penetrar en la zona de confianza y moverse sin enfrentar resistencia se ha hecho m\u00e1s f\u00e1cil.<\/p>\n

En el 2010, John Kindervag, el analista principal de investigaci\u00f3n de Forrester, present\u00f3 el concepto Zero Trust como alternativa a la seguridad del per\u00edmetro. Propuso desechar la distinci\u00f3n entre lo externo y lo interno y centrarse en los recursos. En esencia, Zero Trust supone la ausencia de zonas de confianza de cualquier tipo. En este modelo, los usuarios, los dispositivos y las aplicaciones se ven sometidos a procesos de verificaci\u00f3n cada vez que solicitan el acceso a un recurso corporativo.<\/p>\n

Zero Trust en la pr\u00e1ctica<\/h2>\n

No existe una \u00fanica estrategia para implementar un sistema de seguridad basado en Zero Trust. A pesar de esto, se pueden identificar varios principios fundamentales que pueden ayudar a construir dicho sistema.<\/p>\n

Superficie de protecci\u00f3n en lugar de la superficie de ataque<\/h3>\n

El concepto Zero Trust implica normalmente una \u201csuperficie de protecci\u00f3n\u201d, lo que incluye todo lo que la organizaci\u00f3n debe proteger contra el acceso no autorizado: datos confidenciales, componentes de la infraestructura, etc. La superficie de protecci\u00f3n es significativamente m\u00e1s peque\u00f1a que la superficie de ataque<\/a>, que incluye a todos los activos, procesos y actores potencialmente vulnerables de la infraestructura. De este modo, resulta m\u00e1s f\u00e1cil garantizar la seguridad de la superficie de protecci\u00f3n que reducir a cero la superficie de ataque.<\/p>\n

Microsegmentaci\u00f3n<\/h3>\n

A diferencia de la estrategia cl\u00e1sica, que proporciona una protecci\u00f3n sobre el per\u00edmetro externo, el modelo Zero Trust desglosa la infraestructura corporativa y otros recursos en nodos peque\u00f1os, que pueden ser tan escasos como un solo dispositivo o aplicaci\u00f3n. El resultado son m\u00faltiples per\u00edmetros microsc\u00f3picos, cada uno con sus propias pol\u00edticas de seguridad y permisos de acceso, lo que facilita la flexibilidad a la hora de gestionar el acceso y permite a las empresas bloquear la expansi\u00f3n incontrolable de una amenaza dentro de la red.<\/p>\n

El principio de los menores privilegios posibles<\/h3>\n

A cada usuario se le otorgan solamente los privilegios necesarios para realizar sus tareas. As\u00ed, la vulneraci\u00f3n de una cuenta de usuario individual compromete solamente una parte de la infraestructura.<\/p>\n

Autentificaci\u00f3n<\/h3>\n

La doctrina Zero Trust se\u00f1ala que se debe tratar todo intento de conseguir acceso a la informaci\u00f3n corporativa como una amenaza potencial hasta que se demuestre lo contrario. As\u00ed, para todas las sesiones, cada usuario, dispositivo y aplicaci\u00f3n debe pasar el procedimiento de autentificaci\u00f3n y demostrar que tiene derecho a acceder a los datos en cuesti\u00f3n.<\/p>\n

Control total<\/h3>\n

Para que la implementaci\u00f3n de Zero Trust sea eficiente, el equipo inform\u00e1tico debe contar con la capacidad para controlar todos los dispositivos y aplicaciones de trabajo. Tambi\u00e9n es esencial registrar y analizar la informaci\u00f3n sobre cada evento en los endpoints<\/em> y otros componentes de la infraestructura.<\/p>\n

Beneficios de Zero Trust<\/h2>\n

Adem\u00e1s de eliminar la necesidad de proteger el per\u00edmetro, que se difumina progresivamente a medida que la empresa adquiere un car\u00e1cter m\u00e1s m\u00f3vil, Zero Trust soluciona otros problemas. Especialmente, con las verificaciones y las nuevas verificaciones de todos los actores del proceso, las empresas pueden adaptarse m\u00e1s f\u00e1cilmente al cambio; por ejemplo, al retirar los privilegios de acceso a los empleados que se marchan o al ajustar los privilegios de aquellos cuyas responsabilidades han cambiado.<\/p>\n

Los retos de implementar Zero Trust<\/h2>\n

La transici\u00f3n hacia Zero Trust puede resultar muy larga y llena de dificultades para algunas organizaciones. Si tus empleados utilizan el equipo de la oficina y sus dispositivos personales para trabajar, todos los equipos deber\u00e1n registrarse en el inventario; hay que establecer pol\u00edticas corporativas sobre los dispositivos necesarios para el trabajo y bloquear el acceso a los recursos corporativos desde otros dispositivos. Para las grandes empresas con filiales en varias ciudades y pa\u00edses, este proceso llevar\u00e1 alg\u00fan tiempo.<\/p>\n

No todos los sistemas se adaptan de igual forma a la transici\u00f3n hacia Zero Trust. Por ejemplo, si tu empresa tiene una infraestructura compleja puede incluir dispositivos o software<\/em> obsoletos que no sean compatibles con los est\u00e1ndares de seguridad actuales. Sustituir estos sistemas llevar\u00e1 algo de tiempo y dinero.<\/p>\n

Puede que tus empleados, incluyendo a los miembros del equipo inform\u00e1tico y de la seguridad de la informaci\u00f3n, no est\u00e9n listos para el cambio de estrategia. Despu\u00e9s de todo, ellos ser\u00e1n los responsables del control de acceso y de gestionar tu infraestructura.<\/p>\n

Eso significa que en muchos casos las empresas pueden necesitar un plan de transici\u00f3n gradual hacia Zero Trust. Por ejemplo, Google necesit\u00f3 siete a\u00f1os para dise\u00f1ar el marco BeyondCorp<\/a> basado en Zero Trust. El tiempo de implementaci\u00f3n puede ser significativamente m\u00e1s breve para las empresas con menos filiales, pero no esperes acelerar el proceso a algunas semanas o incluso meses.<\/p>\n

Zero Trust, la seguridad del futuro<\/h2>\n

Por lo tanto, la transici\u00f3n de la seguridad del per\u00edmetro tradicional hacia la de la superficie de protecci\u00f3n bajo el marco de Zero Trust, a pesar del uso de la tecnolog\u00eda disponible, puede resultar un proyecto muy lejos de lo simple o lo r\u00e1pido, en t\u00e9rminos de ingenier\u00eda y cambio de mentalidad de los empleados. Sin embargo, esto garantizar\u00e1 que la empresa se beneficie de una menor inversi\u00f3n en seguridad de la informaci\u00f3n, as\u00ed como de la reducci\u00f3n del n\u00famero de incidentes y los da\u00f1os que se le asocian.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

\u00bfQu\u00e9 es Zero Trust y por qu\u00e9 resulta atractivo para las empresas actuales?<\/p>\n","protected":false},"author":2509,"featured_media":23552,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[3142,3143],"class_list":{"0":"post-23550","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-seguridad-corporativa","11":"tag-zero-trust"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zero-trust-security\/23550\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zero-trust-security\/21613\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zero-trust-security\/17077\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/zero-trust-security\/8442\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/zero-trust-security\/22885\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zero-trust-security\/21072\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zero-trust-security\/19747\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zero-trust-security\/22371\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zero-trust-security\/28780\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/zero-trust-security\/8619\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zero-trust-security\/36423\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zero-trust-security\/15339\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zero-trust-security\/15805\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/zero-trust-security\/13715\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zero-trust-security\/24785\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/zero-trust-security\/25716\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zero-trust-security\/22636\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zero-trust-security\/27898\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zero-trust-security\/27734\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/seguridad-corporativa\/","name":"seguridad corporativa"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23550","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2509"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=23550"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23550\/revisions"}],"predecessor-version":[{"id":23554,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23550\/revisions\/23554"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/23552"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=23550"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=23550"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=23550"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}