Las estrategias basadas en ‘zero trust’, o confianza cero, se han convertido en una de las prioridades en ciberseguridad en las organizaciones para reducir riesgos. Sin embargo, son pocas las organizaciones que han completado su implementación.

Según las estimaciones de la consultora Gartner, en 2026, el 10% de las grandes empresas a nivel mundial tendrán un programa de confianza cero maduro y medible. Una cifra que supone un importante crecimiento teniendo en cuenta que actualmente se sitúa por debajo de un 1%.

Para la consultora, muchas organizaciones han establecido su infraestructura con modelos de confianza implícitos en lugar de explícitos para facilitar el acceso, las operaciones y las cargas de trabajo a los empleados. Pero los ciberdelincuentes están abusando de esta confianza implícita en la infraestructura para implementar malware y, posteriormente, moverse lateralmente para lograr sus objetivos.

«La confianza cero es un cambio en el pensamiento para abordar estas amenazas al requerir una confianza evaluada continuamente, calculada explícitamente y adaptativa entre usuarios, dispositivos y recursos», apunta John Watts, vicepresidente y analista de Gartner.

Para ayudar a las organizaciones a completar el alcance de sus implementaciones de confianza cero, es fundamental que los CISO y los responsables de la gestión de riesgos empiecen por desarrollar una estrategia efectiva de confianza cero. Esta debe equilibrar la necesidad de seguridad con la necesidad de gestión del negocio.

Esto significa, según Watts, comenzar con la estrategia de una organización y definir un alcance para los programas de confianza cero. Una vez que se define la estrategia, los CISO y los responsables de la gestión de riesgos deben abordar la identidad, fundamental para la confianza cero.

Confianza cero para mitigar riesgos, no eliminarlos

Asimismo, estos responsables también necesitan mejorar no solo la tecnología, sino también las personas y los procesos para construir y gestionar esas identidades. «Sin embargo, los CISO y estos responsables no deben asumir que la confianza cero eliminará las ciberamenazas. Más bien, la confianza cero reduce el riesgo y limita los impactos de un ataque», puntualiza Watts.

Los analistas de Gartner predicen que hasta 2026, más de la mitad de los ciberataques estarán dirigidos a áreas en las que los controles de confianza cero no cubren y no se pueden mitigar.

Esto se basa en el hecho de que la superficie de ataque empresarial se está expandiendo más rápido y los atacantes considerarán apuntar a activos y vulnerabilidades fuera del alcance de las arquitecturas de confianza cero.

Esto puede implicar tener que escanear y explotar las API públicas, o dirigirse a los empleados a través de la ingeniería social, intimidar o explotar fallos ya que los empleados crean su propio `bypass’ para evitar políticas estrictas de confianza cero.

Gartner recomienda que las organizaciones implementen confianza cero para mejorar la mitigación de riesgos para los activos más críticos primero, ya que es donde se producirá el mayor retorno de la mitigación de riesgos.

Sin embargo, la confianza cero no resuelve todas las necesidades de seguridad. Los CISO y los responsables de gestión de riesgos también deben ejecutar un programa de gestión continua de exposición a amenazas para optimizar su exposición a amenazas más allá del alcance de las arquitecturas de confianza cero.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre