Què és Zero Trust? Passat, present i futur de la seguretat

En aquest article us expliquem la tendència i l'evolució de les iniciatives Zero Trust, però abans ens hem de posar en antecedents: què és Zero Trust? Zero Trust és un model de seguretat en què s'assumeix que totes les entitats dins de la xarxa, incloses les que hi tenen accés, són potencialment malintencionades. Per tant, totes les transaccions i accessos a recursos es verifiquen i autentiquen abans de permetre's. Això vol dir que, en comptes de confiar en la posició o la identitat d'un usuari o dispositiu per determinar el seu accés als recursos, es fa una verificació exhaustiva cada vegada que s'accedeix a un recurs. La implementació de Zero Trust requereix una combinació de tecnologies de seguretat, com ara autenticació multifactor, encriptació, control d'accés basat en polítiques i anàlisis de comportament per garantir la seguretat de la xarxa.

En resum, Zero Trust és un enfocament de seguretat centrat en la verificació i l'autenticació exhaustives en comptes de la confiança en la identitat o la ubicació dels usuaris i dispositius. Aquest enfocament ajuda a prevenir les bretxes de seguretat i a mantenir la confidencialitat de la informació sensible en un entorn en constant evolució i altament connectat

Laura López Senderos

Jefa de proyecto de SEIDOR

L'evolució de Zero Trust els últims anys

Des que Okta va llançar el seu primer informe State of Zero Trust el 2019, s'ha anat dient que el marc representa el futur de la seguretat. Aquest any, l'adopció de Zero Trust va arribar a un punt d'inflexió.

El 2019, moltes organitzacions enquestades van reconèixer que Zero Trust era important, però només el 16% havia invertit en iniciatives de Zero Trust. El 2022, les organitzacions estan preparades per passar a l'acció; el 97% dels enquestats tenen una iniciativa definida de Zero Trust en marxa o planegen tenir-ne una els pròxims mesos.

El quart informe anual d'Okta sobre l'estat de Zero Trust, elaborat a partir d'enquestes a 700 responsables de seguretat, revela un panorama que ha canviat radicalment, en què no hi ha una solució de seguretat única per a tothom. A mesura que diferents organitzacions, indústries i regions adopten diferents estratègies i prioritats de Zero Trust, han anat sorgint algunes tendències fascinants.

Vet aquí 5 conclusions clau de l'informe del 2022.

Les iniciatives de Zero Trust han avançat sorprenentment en qüestió d'un any

L'últim any, l'evolució dels programes de Zero Trust ha estat notable. De fet, el percentatge d'empreses amb una iniciativa definida de Zero Trust en marxa s'ha més que duplicat:

El 2021, només el 24% dels enquestats tenia una iniciativa de Zero Trust en marxa, i el 65% tenia plans d'implementar-ne una dins els pròxims 12-18 mesos.
El 2022, el 55% dels enquestats disposa d'una iniciativa de Zero Trust i el 42% afirma que n'implementarà una en un futur pròxim

Més que mai, la seguretat i la facilitat d'ús s'inclouen mútuament

El 2020, les organitzacions de tot el món necessitaven donar suport de forma abrupta a forces laborals distribuïdes i dinàmiques, per la qual cosa és comprensible que les consideracions al voltant de l'accessibilitat i la facilitat d'ús sovint prevalguessin sobre les preocupacions de seguretat.

Després d'implantar sistemes que permetien als equips treballar des de qualsevol lloc, moltes organitzacions van acumular deutes de seguretat i ara estan aprenent on tenen les seves vulnerabilitats. Però també s'han adonat que la seguretat no té per què anar en detriment de la facilitat d'ús, tal com demostra l'adopció cada vegada més generalitzada de l'autenticació sense contrasenya:

L'accés sense contrasenya és una prioritat mundial per als pròxims 12-18 mesos.
El 24% dels enquestats del sector dels serveis financers té previst adoptar-lo aviat o ja ho ha fet.

Gairebé una cinquena part dels enquestats del sector sanitari (17%) i de programari (18%) esperen fer el mateix.

El veredicte és favorable: la identitat és vital per a una estratègia Zero Trust

El principi central del model de seguretat de Zero Trust és "mai no confiïs, verifica sempre", i, encara que pot haver-hi una sèrie de mètodes per fer-ho, cap no és tan fiable com la gestió d'identitats i accessos.

El 80% dels enquestats considera que la identitat és important per a les seves estratègies de Zero Trust.
El 19% ha anat un pas més enllà, declarant que la identitat és crítica per al negoci.

En total, el 99% de les organitzacions enquestades assenyala la identitat com un factor clau per a Zero Trust. Les xifres són similars quan es parla amb els líders d'alt nivell, com els CISO i altres executius de la C-suite, amb un 98% que reconeix el paper integral de la identitat en un enfocament sòlid de Zero Trust.

“We’re becoming an identity-driven security team, which is a real shift in culture, because we’re talking about a team that was built for a flat, on-prem network.” — John McLeod, CISO, NOV

La identitat és clau per a la sanitat i els serveis financers

Zero Trust està guanyant terreny ràpidament en el sector sanitari, a mesura que els últims reticents es comprometen amb noves iniciatives en el futur. El 2021, el 37% de les organitzacions havia començat a aplicar iniciatives de Zero Trust, però aquesta xifra ha augmentat fins al 58% el 2022. També val la pena assenyalar que el 96% té almenys una iniciativa planificada per als pròxims 12 a 18 mesos, i per a la gran majoria aquestes iniciatives involucraran la identitat.

El 99% de les organitzacions sanitàries consideren que la identitat és fonamental per a les seves estratègies de Zero Trust.
El 72% dels enquestats la descriuen com a important, mentre que el 27% diuen que és crítica per al negoci.

L'adopció de solucions d'identitat també ha impulsat la transformació en el sector dels serveis financers, i moltes organitzacions s'han centrat primer en els seus sistemes interns i el seu personal:

Gairebé el 75% de les empreses de serveis financers pretenen ampliar l'inici de sessió únic (SSO) i l'MFA a servidors, bases de dades i API dins un termini de 18 mesos.
Per a gairebé el 80% dels enquestats, l'SSO ja s'ha estès als empleats, però avui dia només el 37% ha estès l'MFA a usuaris externs a les seves organitzacions.

EMEA i APAC donen prioritat a l'automatització i la gestió d'accessos

La rapidesa amb què les regions adopten noves iniciatives de seguretat pot projectar llum sobre les seves prioritats de Zero Trust. Per exemple, els enquestats tant d'EMEA com d'APAC estan redoblant l'aposta per la gestió d'accessos privilegiats per a infraestructures al núvol:

Les taxes d'adopció a la regió EMEA estan programades per arribar al 97% en qüestió d'un any i mig.
Per a APAC, es preveu que les taxes d'adopció es dupliquin els pròxims 18 mesos, passant del 44% el 2021 al 88% el 2022.
En comparació, les taxes d'adopció a Amèrica del Nord també es duplicaran, però arribaran a un màxim del 70%.

Les organitzacions de tota la regió APAC també estan invertint molt en l'automatització dels processos d'aprovisionament i desaprovisionament dels empleats, i s'espera que les taxes d'adopció augmentin del 22% el 2021 al 76% el 2022. Les taxes d'adopció a EMEA no es queden enrere, ja que el 74% de les organitzacions indiquen que implementaran aquesta pràctica de seguretat dins els pròxims 18 mesos.

Conclusió

Aquestes tendències il·lustren a grans trets com l'adopció de Zero Trust està transformant els sectors i la seguretat a tot el món (pots llegir aquí l'informe complet) com una resposta a la creixent complexitat dels entorns tecnològics i la necessitat de protegir la informació sensible.

Sens dubte, factors com l'adopció massiva del núvol i la mobilitat han fet que la xarxa tradicional hagi evolucionat cap a un entorn molt més distribuït i menys predictible, cosa que porta a una necessitat de més seguretat.

Si estàs pensant a securitzar els teus sistemes, a SEIDOR podem ajudar-te a implantar mecanismes de seguretat basats en Zero Trust. Contacta amb nosaltres sense compromís.

Autor

Laura López Senderos