Zero Trust no és un producte que compres: és una arquitectura que construeixes

En els últims anys, “Zero Trust” ha passat de ser un concepte de seguretat rigorós a una etiqueta de màrqueting que apareix a la pàgina de vendes de pràcticament qualsevol producte de ciberseguretat. El resultat és que moltes organitzacions creuen que han implementat Zero Trust quan en realitat han comprat un producte que ho esmenta al fulletó.

Aquest article no pretén desacreditar el concepte — Zero Trust és l’enfocament correcte. Vol aclarir què significa realment.

El principi fonamental

Zero Trust parteix d’una premissa senzilla: no confiar res per defecte, ni dins ni fora de la teva xarxa.

El model de seguretat tradicional assumia que tot el que estava dins del perímetre de xarxa era de confiança. El 2025, aquest model és indefensable: treball remot, cloud, dispositius personals, socis externs i APIs públiques han eliminat el concepte de “dins” de la xarxa.

Zero Trust substitueix aquest model per un basat en verificació contínua: cada usuari, dispositiu i aplicació s’ha d’autenticar i autoritzar per a cada recurs al qual intenti accedir, independentment de la ubicació.

Els cinc pilars reals

Una implementació real de Zero Trust abasta cinc dominis:

1. Identitat. Autenticació forta (MFA) per a tots els usuaris i serveis. Revisió periòdica de privilegis. Principi de mínim privilegi aplicat consistentment.

2. Dispositius. Només dispositius gestionats amb postura de seguretat verificada poden accedir als recursos corporatius. Això inclou avaluació en temps real de l’estat de pegats, configuració i antivirus.

3. Xarxa. Microsegmentació. Les aplicacions i serveis es comuniquen només amb el que necessiten. El tràfic lateral dins de la xarxa es monitora i restringeix, no s’assumeix segur.

4. Aplicacions i dades. Control d’accés granular a nivell d’aplicació. Les dades sensibles es xifren i l’accés s’audita.

5. Visibilitat i analítica. Sense visibilitat no hi ha Zero Trust. Cal saber qui accedeix a què, quan i des d’on — i detectar anomalies automàticament.

Per què la reducció del 60% d’incidents no és màgia

A Widoit Group vaig implementar Zero Trust en una organització de 40+ empleats amb infraestructura híbrida. El resultat va ser una reducció del 60% dels incidents de seguretat en l’any següent.

Aquest número no va venir de comprar un producte. Va venir de:

• Inventariar tots els actius i classificar l’accés a cadascun
• Implementar MFA en tots els punts d’accés, inclosos els interns
• Segmentar la xarxa per funció de negoci, no per topologia física
• Desplegar SIEM amb correlació ML per detectar comportament anòmal
• Formar l’equip perquè entengués per què s’estaven fent els canvis

El procés va durar mesos. Va requerir compromís de la direcció. I va funcionar.

Angel Sulev és arquitecte de seguretat i IA. Ha implementat Zero Trust en entorns empresarials, educatius i industrials.