Es sorprendente lo que el marketing ha podido hacer con un término tan desagradable. En casi cualquier contexto fuera de la seguridad, la confianza cero tiene pocas connotaciones positivas, si es que tiene alguna. “Hay cero, repito, cero confianza entre nosotros” no es realmente algo que la mayoría de la gente quiera escuchar. Es abrasivo, incluso agresivo.

Cuando empezamos a hablar de confianza cero en un contexto laboral, los empleados se sienten identificados, como si estuvieran bajo observación. Los defensores de la privacidad emergen como por arte de magia. Dado que la confianza es una parte integral del ecosistema del lugar de trabajo (por cierto, un término botánico secuestrado por el lenguaje corporativo), la confusión es comprensible. 

¿Por qué todo el bombo con Zero Trust?

La mayoría de las personas, incluidos los líderes de TI, consideran que la confianza es importante. Nos gusta transmitir dónde depositamos esa confianza, incluso hasta el punto de que los padres fundadores estadounidenses lo declararon en su moneda: "En Dios confiamos". Confiamos en nuestros cónyuges, parejas, familiares y amigos cercanos. Es una parte del ser humano que cualquiera que alguna vez haya tratado de persuadir a sacar dinero de tu bolsillo lo sabe bien. Por lo tanto, los especialistas en marketing de pequeña maravilla están haciendo todo lo posible para generar suficiente publicidad para capturar audiencias no técnicas con un término como confianza cero. 

Lo último en una larga lista de bajas en la jerga de la industria

Todas las industrias tienen términos y jerga únicos para un área específica de especialización. Estos son a menudo secuestrados por pensadores de panorama general recién salidos del seminario de gestión de fin de semana: piense en Michael Scott (o David Brent). Hablan sobre el ancho de banda, hacer ping a los contactos, trabajar en silos, líneas cruzadas (¿cables telefónicos?), abrir puertas y ejecutarlo en el asta de la bandera. Luego está la persona que promete dar la vuelta, incluso cuando su camino es lineal y en la dirección opuesta.

Entonces, ¿qué es la confianza cero?

La confianza cero es un término de seguridad. Es un enfoque para proteger los activos digitales de los ataques; no se trata de cansarse de tener literalmente cero confianza para nadie, sino de cero suposiciones de confianza automática basadas en factores como la ubicación (dentro o fuera del perímetro de la red), el usuario o el dispositivo. La confianza implícita cero no tenía el mismo tono, por no mencionar un acrónimo desafortunado. Así nació la confianza cero.  Es una estrategia, una mentalidad, un sistema de creencias, como quiera clasificarlo, siempre y cuando comprenda que es una estrategia en evolución para combatir amenazas en evolución. 

¿Por qué la necesidad de un nuevo enfoque?

Los cambios a la nube, el trabajo remoto, las políticas de traiga su propio dispositivo (BYOD) y el Internet de las cosas (IoT) significan que ya no es efectivo simplemente asegurar un perímetro de red y asumir que cualquier actividad interna es confiable. El mantra de confianza cero de "nunca confíes, siempre verifica" tiene un claro atractivo para los profesionales de seguridad de TI. La confianza cero puede reducir el riesgo organizacional de la piratería, el error humano y la sombra de TI, por nombrar algunos. 

Dado que la seguridad al 100 % es una falacia conocida, cuando los equipos de TI implementan la confianza cero correctamente, pueden mantener las soluciones de seguridad existentes, como las que imponen el acceso con menos privilegios y los controles de acceso basados en roles. Pero Zero Trust complementa estas soluciones "tradicionales" con un enfoque en soluciones automatizadas que reconocen desviaciones de las actividades normales, incluso cuando los usuarios, dispositivos, redes y cargas de trabajo (en términos de tráfico de datos) se verifican adecuadamente. 

Lo que no es la confianza cero

En resumen, no podemos enfatizar lo suficiente lo que no es la confianza cero:

• La confianza cero no es un producto.  No es una solución que diga si los usuarios o dispositivos pueden o no acceder a una red. Pero implementar zero trust significa requerir autorización y autenticación de cada sesión de usuario . 
• La confianza cero no es una propuesta lista para usar.  La implementación variará según la organización, según la infraestructura de TI y los desafíos específicos de protección de datos. 
• La confianza cero no se basa en la seguridad del perímetro.  Las organizaciones ya no tienen un perímetro de seguridad fácilmente definido.
• La confianza cero no es una forma encubierta de espiar a los empleados.  En cambio, es una estrategia en evolución para evitar que los piratas informáticos y los malintencionados se aprovechen de las estrategias de seguridad anteriores que se basaban en la confianza otorgada a los dispositivos y usuarios dentro de la red. 
• La confianza cero no es solo para las grandes empresas.  Las organizaciones de todos los tamaños pueden beneficiarse de esta estrategia de seguridad. 

Proteja la empresa moderna con principios de confianza cero

No se deje intimidar por el término frío y despiadado "confianza cero". En su lugar, tómelo a bordo, llévelo al asta de la bandera y fomente un nuevo punto óptimo para su organización. Imagine su futuro impulsado por los resultados como líder intelectual, impulsando soluciones súper críticas para la próxima generación de soluciones y servicios con aversión al riesgo. Sobre todo, y no pierda esto en la maleza, no aprovechar la confianza cero puede conducir a un crecimiento negativo y una reducción significativa del daño de una violación de datos. ¿Tienes todo eso? ¿Alguna pregunta? Nuestras puertas, ventanas y tragaluces siempre están abiertos porque confiamos implícitamente en nuestros vecinos. ¡Ups!