“Mai confiis, sempre verifica.” Aquesta es l’essencia del model Zero Trust (Confianca Zero), l’enfocament de seguretat que ha revolucionat la forma en que les organitzacions protegeixen els seus sistemes i dades. Encara que va neixer en entorns empresarials grans, els seus principis son perfectament aplicables a PIMEs amb recursos limitats.
El model tradicional de seguretat funciona com un castell amb fossat: un cop ets dins de la muralla (la xarxa corporativa), se’t considera de confianca. Zero Trust elimina aquesta assumpcio. Ningu es de confianca per defecte, ni tan sols els dispositius o usuaris que estan dins de la xarxa.
Per que el model tradicional ja no funciona
El model perimetral (castell i fossat) assumia que:
- Els empleats treballen des de l’oficina, dins de la xarxa corporativa.
- Els dispositius connectats a la xarxa interna son de confianca.
- Les amenaces venen de fora i n’hi ha prou amb protegir el perimetre.
La realitat actual invalida aquestes tres assumpcions:
- Teletreball: Els empleats treballen des de casa, cafeteries, aeroports. No hi ha perimetre fisic.
- Cloud: Les dades i aplicacions estan al nuvol, no en un servidor de l’oficina.
- BYOD: Els empleats usen els seus dispositius personals per accedir a recursos corporatius.
- Amenaces internes: El 34% de les bretxes involucren actors interns (Verizon DBIR 2024).
- Moviment lateral: Un atacant que compromet un compte pot moure’s lateralment per tota la xarxa si no hi ha segmentacio.
Els tres principis de Zero Trust
1. Verificar explicitament
Cada sol.licitud d’acces es verifica en base a totes les dades disponibles: identitat de l’usuari, ubicacio, dispositiu, hora, comportament habitual. No n’hi ha prou amb tenir una contrasenya valida.
Exemple practic: Un empleat intenta accedir al correu corporatiu. El sistema verifica: es el seu usuari i contrasenya (primer factor), te el codi del mobil (segon factor), esta accedint des d’un dispositiu conegut, la ubicacio es coherent amb el seu patro habitual, i l’hora es raonable. Si tot quadra, es permet l’acces. Si alguna cosa es anomala (per exemple, acces des d’un altre pais a les 3AM), es demana verificacio addicional o es bloqueja.
2. Principi de minim privilegi
Cada usuari, dispositiu i aplicacio te acces unicament als recursos que necessita per realitzar la seva feina, i res mes. Els permisos es concedeixen de forma granular i temporal.
Exemple practic: La persona de comptabilitat te acces a les eines de facturacio i al directori de clients, pero no al codi font de la web ni a la configuracio del servidor. El tecnic d’IT te acces a la configuracio de sistemes, pero no a les dades financeres.
3. Assumir la bretxa
Dissenyar els sistemes com si l’atacant ja fos dins. Aixo significa segmentar la xarxa, xifrar les comunicacions internes, monitoritzar continuament i limitar l’impacte de qualsevol compte compromes.
Exemple practic: Si un atacant compromet l’ordinador de recepcio, la segmentacio de xarxa impedeix que pugui accedir al servidor de facturacio o als fitxers compartits de direccio. El dany es limita al segment compromes.
Zero Trust per a PIMEs: implementacio practica
No necessites un pressupost milionari ni un equip de seguretat dedicat. Aquests son els passos concrets per implementar Zero Trust en una PIME:
Pas 1: Identitat com a perimetre (MFA a tot)
La identitat de l’usuari substitueix el perimetre de xarxa com a primera linia de defensa.
Accions:
- Activa MFA a TOTS els serveis: correu, cloud, VPN, CRM, banca online, xarxes socials corporatives.
- Usa un proveidor d’identitat centralitzat (Google Workspace, Microsoft Entra ID, Okta).
- Implementa Single Sign-On (SSO) per reduir el nombre de contrasenyes i centralitzar el control.
- Revisa i elimina comptes d’ex-empleats immediatament.
Cost: 0 EUR (el MFA esta inclos a Google Workspace i Microsoft 365).
Pas 2: Gestiona els dispositius
No n’hi ha prou amb verificar l’usuari; tambe cal verificar que el dispositiu des del qual accedeix es segur.
Accions:
- Mante un inventari de dispositius autoritzats.
- Requereix que els dispositius tinguin sistema operatiu actualitzat, antivirus actiu i xifrat del disc.
- Usa les funcions basiques de MDM incloses a Google Workspace o Microsoft 365 per verificar l’estat dels dispositius.
- Bloqueja l’acces des de dispositius no gestionats a recursos sensibles.
Cost: 0 EUR si uses les eines incloses a la teva suite de productivitat.
Pas 3: Segmenta l’acces a les aplicacions
Cada aplicacio ha de tenir les seves propies regles d’acces, no un acces general “a tot”.
Accions:
- Revisa els permisos de cada empleat a cada servei. Aplica el principi de minim privilegi.
- Elimina els comptes compartits (admin, info@, comptabilitat@).
- Crea grups d’acces per funcio (comercial, comptabilitat, IT, direccio) i assigna permisos per grup.
- Revisa els permisos trimestralment.
Cost: Temps d’administracio (2-4 hores inicials, 30 minuts trimestrals).
Pas 4: Segmenta la xarxa
Divideix la xarxa en segments per limitar el moviment lateral.
Accions:
- Crea almenys 3 xarxes separades: treball (ordinadors), IoT (cameras, impressores, sensors) i convidats.
- La majoria de routers empresarials basics permeten crear VLANs.
- El TPV ha d’estar a la seva propia xarxa aillada.
- Els dispositius IoT no han de poder accedir als ordinadors de treball.
Cost: 0 EUR si el teu router ho suporta; 100-300 EUR si necessites un router amb suport VLAN.
Pas 5: Xifra tot
Les comunicacions i les dades han d’estar xifrades en transit i en repos.
Accions:
- Usa unicament HTTPS per a tots els serveis web.
- Activa el xifrat del disc a tots els ordinadors (BitLocker a Windows, FileVault a Mac).
- Usa VPN quan es treballi des de xarxes no confiables (WiFi publiques, domicilis).
- Assegura’t que els backups estan xifrats.
Cost: 0 EUR (eines integrades al sistema operatiu).
Pas 6: Monitoritza i registra
No pots detectar una bretxa si no monitoritzas.
Accions:
- Activa els registres d’auditoria a Google Workspace o Microsoft 365.
- Configura alertes per a esdeveniments sospitosos: inicis de sessio des d’ubicacions inusuals, multiples intents fallits, canvis de permisos.
- Revisa els registres setmanalment (15 minuts).
- Usa el Microsoft Secure Score o el tauler de seguretat de Google per a una visio general.
Cost: 0 EUR (inclos a les suites de productivitat).
Comparativa: abans i despres de Zero Trust
| Aspecte | Model tradicional | Zero Trust |
|---|---|---|
| Confianca | Tot dins de la xarxa es confiable | Res es confiable per defecte |
| Acces | Perimetral (VPN = acces total) | Per recurs (acces granular) |
| Autenticacio | Contrasenya unica | MFA + context (dispositiu, ubicacio) |
| Permisos | Amplis, acumulatius | Minim privilegi, revisats regularment |
| Xarxa | Plana (tot connectat) | Segmentada (zones aillades) |
| Monitoritzacio | Perimetral (tallafocs) | Continua, en tots els punts |
| Assumpcio | La bretxa es evitable | La bretxa es inevitable; minimitza l’impacte |
Full de ruta: Zero Trust en 90 dies
| Setmana | Accio | Dificultat | Impacte |
|---|---|---|---|
| 1-2 | Activar MFA a tots els serveis | Baixa | Molt alt |
| 3-4 | Revisar i netejar permisos d’usuaris | Mitjana | Alt |
| 5-6 | Eliminar comptes compartits | Baixa | Alt |
| 7-8 | Segmentar la xarxa (VLANs) | Mitjana | Alt |
| 9-10 | Activar xifrat de disc a tots els equips | Baixa | Mitja |
| 11-12 | Configurar alertes de seguretat i monitoritzacio | Baixa | Mitja |
| 13 | Documentar politiques d’acces | Baixa | Mitja |
Conclusio
Zero Trust no es un producte que compres, sino una filosofia de seguretat que implementes pas a pas. Els seus principis (verificar sempre, minim privilegi, assumir la bretxa) son aplicables a qualsevol empresa, independentment de la seva mida.
Per a una PIME, la implementacio basica de Zero Trust pot fer-se amb cost zero o molt baix, utilitzant les eines ja incloses a Google Workspace o Microsoft 365. El primer pas, i el mes impactant, es activar MFA a tots els serveis. A partir d’aqui, cada mesura addicional redueix el risc de forma acumulativa.
No esperis a patir un incident per adoptar aquest model. Comenca avui amb el MFA i segueix el full de ruta de 90 dies.
Aquest article es de caracter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions especifiques a la vostra empresa.
