|
|
|
También conocido como “Cero Confianza”, el modelo de seguridad informática Zero Trust se fundamenta en el postulado de que ningún ente interno o externo a la red de una organización debe ser considerado como confiable de manera automática. Esto en la práctica se traduce en la permanente verificación y autenticación de cualquier usuario, dispositivo y/o aplicación, previo a la entrega del permiso necesario para acceder a aquellos recursos considerados como críticos.
De acuerdo a Francisco Fernández, gerente general de Avantic Chile, “hoy el tema de la seguridad informática es una de las preocupaciones más importantes que tienen las organizaciones, dado el avance de la transformación digital y el desarrollo de la tecnología, todo lo cual contribuye al surgimiento de nuevas ciberamenazas”.
En este sentido, el experto destacó las siguientes prácticas del modelo Zero Trust que pueden adoptar las compañías e instituciones, de los diferentes sectores e industrias de la economía:
• Políticas de acceso de privilegio mínimo. Esto significa que, en un ambiente de Zero Trust, los permisos de acceso a la infraestructura de red- para los usuarios y dispositivos- se otorgan solamente respecto de los recursos que son esenciales para el cumplimiento de sus funciones y uso, lo que disminuye el nivel de riesgo.
• División de la red. Asimismo, el modelo de “Cero Confianza” fomenta el hecho de que la red de una organización esté fragmentada en zonas más reducidas y vigiladas. De esta manera, se disminuye la superficie de ataque y se hace más difícil el accionar de los delincuentes informáticos en caso de producirse una brecha.
• Uso de la autenticación multi factor. Esto se traduce en que los usuarios, junto con emplear una contraseña para acceder a la red, tienen que usar otras maneras de verificación adicional como, por ejemplo, el ingreso de un código enviado a su smartphone o correo electrónico. Con ello se buscar evitar las intrusiones no autorizadas.
• Monitoreo y análisis permanente de la red. Implica visibilizar y analizar continuamente el tráfico de la red y el accionar de los usuarios con el fin de identificar en línea aquellos comportamientos que estén fuera de lo normal. De esta manera, es posible reaccionar rápidamente frente a eventuales ciberpeligros que generen graves consecuencias para una organización.
• Evaluación de los riesgos en forma continua. Se traduce en que las empresas e instituciones tengan la capacidad de incorporar herramientas tecnológicas que les posibiliten evaluar de manera permanente los riesgos informáticos relacionados con los usuarios, dispositivos y aplicaciones. A la vez, esta práctica contribuye a la adecuación de las políticas de acceso a la red en una organización.
|