Las tres principales recomendaciones para poner en marcha una estrategia de seguridad zero trust

Un 63% de las organizaciones de todo el mundo han implementado, de manera total o parcial, una estrategia de seguridad zero trust, según los datos de la consultora Gartner. Además, sus responsables señalan que para el 78% de las que han puesto en marcha una estrategia de este tipo, su implementación ha supuesto una inversión inferior al 25% del presupuesto total que tenían para ciberseguridad.

Además, según una encuesta de dicha consultora realizada en los tres últimos meses de 2023 entre 303 responsables de seguridad que trabajan en entidades que han puesto en marcha, de manera total o parcial, una estrategia zero trust, el 56% de ellas buscan su implantación porque está considerada como una buena práctica en su sector. Además, un 59% de las iniciativas de tipo zero trust están impulsadas por el CIO, el CEO o el Presidente de la empresa, así como por su Junta Directiva.

A pesar de ello, no son pocas las empresas que no están seguras de los pasos que tienen que dar para implementar con éxito una estrategia zero trust, lo que hace que no se le saque el máximo partido, o que no toda la organización quede cubierta por ella.

En Gartner recomiendan tres medidas a tener en cuenta para evitarlo. La primera es fijar el alcance de la estrategia antes de comenzar a ponerla en marca. Es decir, que para implementar el zero trust con éxito, es necesario que las empresas comprendan hasta qué punto de su entorno deben implementarla, los dominios que cubrirá y cuántos riesgos le permite mitigar.

El alcance de una estrategia zero trust no cubre habitualmente todo el entorno de una empresa, sino solo las áreas más importantes y las que corren más riesgo de ser atacada o sufrir una brecha. Pero tampoco basta con que cubra lo mínimo. Hay que analizar en cada caso lo que es necesario proteger.

Un 16% de los encuestados señalaron que cubrirá un 75% o más porcentaje de su entorno, mientras que un 11% creen que es suficiente con proteger con esta estrategia menos del 10% del mismo. Es necesario valorar cuánto es necesario proteger en cada organización, porque no todas corren los mismos riesgos, ni tienen en peligro todo su entorno.

La segunda medida es comunicar el éxito obtenido a través de las métricas operacionales y estratégicas de la estrategia zero trust. Un 79 % de las organizaciones que han implementado una estrategia de seguridad de este tipo tienen métricas para medir sus avances en este área, y de ellas, un 89% tienen métricas para controlar el riesgo.

La tercera es anticiparse a los aumentos de costes y a la necesidad de contratar más empleados expertos en el área de seguridad. Así, un 62% de las organizaciones estiman que sus costes aumentarán con la puesta en marcha de una estrategia de seguridad zero trust, y un 41% esperan que tendrán más necesidades que cubrir en cuanto a empleados como resultado de la implementación del zero trust.

Aparte de estas tres medidas, y aunque solo un 35% de las organizaciones aseguran haber encontrado un fallo que haya alterado la implementación de su estrategia zero trust, las empresas deberían tener un plan estratégico para su puesta en marcha. Este plan debe reflejar las métricas operacionales y medir la efectividad de las políticas zero trust, con el fin de minimizar los inconvenientes y los retrasos.