23 d’agost de 2023
Què és Zero Trust? Passat, present i futur de la seguretat
En aquest article us expliquem la tendència i evolució de les iniciatives Zero Trust però abans d'això posem-nos en antecedents
Què és Zero Trust?
Zero Trust és un model de seguretat en el qual s'assumeix que totes les entitats dins de la xarxa, incloses les que tenen accés a la xarxa, són potencialment malintencionades. Per tant, totes les transaccions i accessos a recursos es verifiquen i autentiquen abans de permetre's. Això significa que, en lloc de confiar en la posició o la identitat d'un usuari o dispositiu per determinar el seu accés als recursos, es realitza una verificació exhaustiva cada vegada que s'accedeix a un recurs. La implementació de Zero Trust requereix una combinació de tecnologies de seguretat, com autenticació multifactor, encriptació, control d'accés basat en polítiques i anàlisi de comportament per garantir la seguretat de la xarxa.
En resum, Zero Trust és un enfocament de seguretat centrat en la verificació i l'autenticació exhaustives en lloc de la confiança en la identitat o la ubicació dels usuaris i dispositius. Aquest enfocament ajuda a prevenir les bretxes de seguretat i a mantenir la confidencialitat de la informació sensible en un entorn en constant evolució i altament connectat.
La evolució de Zero Trust en els últims anys
Quina diferència fan quatre anys.
Des que Okta va llançar el seu primer informe State of Zero Trust el 2019, s'ha estat dient que el marc representa el futur de la seguretat. Aquest any, l'adopció de Zero Trust ha assolit un punt d'inflexió.
El 2019, moltes organitzacions enquestades van reconèixer que Zero Trust era important, però només el 16% havia invertit en iniciatives de Zero Trust. El 2022, les organitzacions estan llestes per passar a l'acció; el 97% dels enquestats tenen una iniciativa definida de Zero Trust en marxa o planegen tenir-ne una en els pròxims mesos.
En el quart informe anual d'Okta sobre l'estat de Zero Trust, elaborat a partir d'enquestes a 700 responsables de seguretat, revela un panorama que ha canviat radicalment, en el qual no existeix una solució de seguretat única per a tothom. A mesura que diferents organitzacions, indústries i regions adopten diferents estratègies i prioritats de Zero Trust, han sorgit algunes tendències fascinants.
Les iniciatives de Zero Trust han avançat sorprenentment en un any
En l'últim any, l'evolució dels programes de Zero Trust ha estat notable. De fet, el percentatge d'empreses amb una iniciativa definida de Zero Trust en marxa s'ha més que duplicat:
- El 2021, només el 24 % dels enquestats tenia una iniciativa de Zero Trust en marxa, i el 65 % tenia plans d'implementar-ne una en els pròxims 12-18 mesos.
- El 2022, el 55 % dels enquestats compta amb una iniciativa de Zero Trust, i el 42 % afirma que n'implementarà una en un futur pròxim
Més que mai, la seguretat i la facilitat d'ús s'inclouen mútuament
El 2020, les organitzacions de tot el món necessitaven donar suport de forma abrupta a forces de treball distribuïdes i dinàmiques, per la qual cosa és comprensible que les consideracions sobre l'accessibilitat i la facilitat d'ús sovint prevalguessin sobre les preocupacions de seguretat.
Després d'implantar sistemes que permetien als equips treballar des de qualsevol lloc, moltes organitzacions van acumular deutes de seguretat i ara estan aprenent on resideixen les seves vulnerabilitats. Però també s'han adonat que la seguretat no ha d'anar en detriment de la facilitat d'ús, com demostra l'adopció cada vegada més generalitzada de l'autenticació sense contrasenya:
- L'accés sense contrasenya és una prioritat mundial en els pròxims 12-18 mesos.
- El 24% dels enquestats del sector de serveis financers té previst adoptar-lo en breu o ja ho ha fet.
Gairebé una cinquena part dels enquestats del sector sanitari (17%) i de programari (18%) esperen fer el mateix.
El veredicte és favorable: la identitat és vital per a una estratègia Zero Trust
El principi central del model de seguretat de Zero Trust és "mai confiïs, verifica sempre", i encara que pot haver-hi una sèrie de mètodes per fer-ho, cap és tan fiable com la gestió d'identitats i accessos.
- El 80% dels enquestats considera que la identitat és important per a les seves estratègies de Zero Trust.
- El 19% ha anat un pas més enllà, declarant que la identitat és crítica per al negoci.
En total, el 99% de les organitzacions enquestades assenyala la identitat com un factor clau per a Zero Trust. Les xifres són similars quan es parla amb els líders d'alt nivell, com els CISO i altres executius de la C-suite, amb un 98% que reconeix el paper integral de la identitat en un enfocament sòlid de Zero Trust.
“We’re becoming an identity-driven security team, which is a real shift in culture, because we’re talking about a team that was built for a flat, on-prem network.” — John McLeod, CISO, NOV
La identitat és clau per a la sanitat i els serveis financers
Zero Trust està guanyant terreny ràpidament en el sector sanitari, a mesura que els últims reticents es comprometen amb noves iniciatives en el futur. El 2021, el 37 % de les organitzacions havia començat a aplicar iniciatives de Zero Trust, però aquesta xifra ha augmentat fins al 58 % el 2022. També val la pena assenyalar que el 96% té almenys una iniciativa planificada per als pròxims 12 a 18 mesos, i per a la gran majoria, aquestes iniciatives involucraran la identitat.
- El 99% de les organitzacions sanitàries consideren que la identitat és fonamental per a les seves estratègies de Zero Trust.
- El 72% dels enquestats la descriuen com a important, mentre que el 27% diuen que és crítica per al negoci.
La adopció de solucions d'identitat també ha impulsat la transformació en el sector dels serveis financers, i moltes organitzacions s'han centrat primer en els seus sistemes interns i el seu personal:
- Gairebé el 75% de les empreses de serveis financers pretenen ampliar l'inici de sessió únic (SSO) i el MFA a servidors, bases de dades i API en un termini de 18 mesos.
- Per a gairebé el 80% dels enquestats, el SSO ja s'ha estès als empleats, però en l'actualitat, només el 37% ha estès el MFA a usuaris externs a les seves organitzacions.
EMEA i APAC donen prioritat a l'automatització i la gestió d'accés
La rapidesa amb què les regions adopten noves iniciatives de seguretat pot donar llum sobre les seves prioritats de Zero Trust. Per exemple, els enquestats tant d'EMEA com d'APAC estan redoblant l'aposta per la gestió d'accés privilegiat per a infraestructures en el núvol:
- Les taxes d'adopció a la regió EMEA estan programades per assolir el 97% en el proper any i mig.
- Per a APAC, es preveu que les taxes d'adopció en els propers 18 mesos es dupliquin, passant del 44% el 2021 al 88% el 2022.
- En comparació, les taxes d'adopció a Amèrica del Nord també es duplicaran, però assoliran un màxim del 70%.
Les organitzacions de tota la regió APAC també estan invertint molt en l'automatització dels processos d'aprovisionament i desaprovisionament dels empleats, i s'espera que les taxes d'adopció augmentin del 22% el 2021 al 76% el 2022. Les taxes d'adopció a EMEA no es queden enrere, ja que el 74% de les organitzacions indiquen que implementaran aquesta pràctica de seguretat en els propers 18 mesos.
Conclusió
Aquestes tendències il·lustren a grans trets com l'adopció de Zero Trust està transformant els sectors i la seguretat arreu del món (pots llegir aquí l'informe complet) com una resposta a la creixent complexitat dels entorns tecnològics i la necessitat de protegir la informació sensible.
Sens dubte, factors com l'adopció massiva del núvol i la mobilitat han fet que la xarxa tradicional hagi evolucionat cap a un entorn molt més distribuït i menys previsible, la qual cosa porta a una necessitat de major seguretat.
Share
Potser et pot interessar
Erreka I IoT
ERREKA Access és una divisió d'ERREKA, societat cooperativa pertanyent al Grup Mondragón, dedicada al disseny, fabricació i instal·lació de sistemes per a l'automatització d'entrades i control d'accessos automàtics: portes automàtiques, motors per a portes i grues de sostre i arnesos per a persones.