Durante años levantamos muros pensando en un “adentro” y un “afuera”. Hoy, el trabajo remoto, múltiples nubes y aplicaciones distribuidas disolvieron ese borde.
Zero Trust dejó de ser consigna para convertirse en disciplina: no se confía por defecto y se verifica de forma continua a los usuarios, dispositivos y software, concediendo el mínimo acceso necesario a cada recurso.
Esto es, en esencia, lo que describe el NIST en su guía SP 800-207 de Arquitectura de Confianza Cero: mover las defensas del perímetro de red hacia los usuarios, activos y recursos.
¿Cuáles son los marcos de referencia para Zero Trust?
Ese “cómo” aterriza aún más con NIST SP 800-207A, que propone un modelo para aplicar políticas granulares a nivel de aplicación en entornos multinube y de múltiples ubicaciones.
En este sentido, la clave es combinar políticas en la “capa de red” con políticas en la “capa de identidad” para evaluar, en tiempo de ejecución, quién pide acceso, desde qué dispositivo y con qué contexto, antes de autorizar acciones específicas.
Así, Zero Trust se vuelve operativo en centros de datos propios, nubes públicas y usuarios remotos con una lógica uniforme.
A escala de experiencia y gobierno, el enfoque gana potencia cuando se apoya en un borde de servicios de seguridad (SSE, por sus siglas en inglés Security Service Edge): un conjunto de capacidades (control de acceso, protección frente a amenazas, seguridad de datos y monitoreo) que asegura el acceso a web, servicios en la nube y aplicaciones privadas.
Su valor no es solamente “agrupar” funciones, sino aplicar la misma política y telemetría a todos los caminos del tráfico.
La autenticación resistente al phishing completa el cimiento. La CISA recomienda migrar hacia mecanismos que no dependan de contraseñas ni códigos reutilizables, por ejemplo, FIDO/WebAuthn, para eliminar de raíz muchos intentos de suplantación. Integrar esta autenticación en flujos de acceso de Confianza Cero (Zero Trust) reduce incidentes sin castigar al usuario con fricciones innecesarias.
Lo que una plataforma Zero Trust debe entregar
En la práctica, Zero Trust se evalúa por capacidades verificables, no por promesas. Estas son las piezas mínimas que deben medirse en un piloto serio:
- Acceso a nivel de aplicación con evaluación continua: Cada solicitud verifica identidad, postura del dispositivo y contexto de riesgo antes de abrir una aplicación concreta (no una red completa). El resultado es menos movimiento lateral del atacante: incluso con una credencial robada, cada salto vuelve a examinarse y se bloquea si las señales no coinciden.
- Política única y trazable para todos los caminos: Con SSE, las mismas reglas gobiernan navegación web, SaaS y aplicaciones privadas, y la telemetría se unifica; esto acelera diagnósticos y evita “islas” de administración.
- Autenticación resistente a la suplantación: Incorporar WebAuthn/FIDO en los flujos críticos y elevar el reto solo cuando el riesgo lo amerite (re-autenticación adaptativa) mejora seguridad y experiencia.
- Protección de datos y trazabilidad: Controles de prevención de fuga y registros auditables que muestren quién autorizó qué, cuándo y bajo qué condiciones, para resistir auditorías y reconstruir eventos. (Marco SSE).
- Experiencia y confiabilidad medibles: Debe observarse la latencia de establecimiento de sesión (P50/P95), la tasa de errores por política y la disponibilidad percibida. Es seguridad que se siente fluida, no intrusiva. (Marco SSE/NIST).
Donde encaja Symantec sin perder la neutralidad
Somos partners de Symantec (Broadcom) y, al mismo tiempo, mentores de organizaciones que necesitan evidencia antes que discursos.
En ese sentido, Symantec Zero Trust Network Access (ZTNA) cumple el principio de acceso por aplicación: “oculta” los recursos internos para que no sean visibles desde Internet y establece sesiones que se adaptan a la identidad y postura del dispositivo, tanto si el servicio está en la nube o en un centro de datos propio.
Symantec Security Service Edge (SSE) reúne, bajo una misma plataforma, acceso a aplicaciones privadas, acceso seguro a web y SaaS, y controles de protección de datos; lo más importante: políticas coherentes y telemetría común para todos los flujos.
Cuando llega la pregunta del retorno, conviene separar evidencia comisionada de mediciones propias. El estudio Total Economic Impact (TEI) de Forrester sobre Symantec SSE reporta beneficios y reducción de riesgo en un escenario representativo; es un insumo válido para formular hipótesis, no una verdad universal.
La forma correcta de decidir es un piloto medido con sus datos: latencia por aplicación, tickets de acceso evitados, tiempos de investigación y disminución de incidentes de fuga. Ahí ponemos el foco cuando acompañamos evaluaciones.
Cómo medir que Zero Trust funciona sin prometer milagros
Zero Trust se valida en resultados tangibles. En seguridad, buscamos menos movimiento lateral y bloqueos por política contextual cuando cambian señales de riesgo. En datos, medimos incidentes de fuga evitados y evidencias de no repudio.
En experiencia, observamos latencias y estabilidad: que el usuario trabaje sin notar la seguridad. En costos, vale la consolidación de herramientas y menor esfuerzo de operación.
Para guiar la hoja de ruta y madurar por etapas, el Modelo de Madurez de Cero Confianza 2.0 de CISA ofrece pilares (identidad, dispositivos, red, aplicaciones y datos) y ejemplos graduales desde lo “tradicional” hasta lo “óptimo”.
Syamantec en contexto: requisitos neutrales y cómo los aborda
En un comité de arquitectura, la conversación útil no gira en torno a marcas sino en requisitos neutrales. A continuación, cómo mapearlos a capacidades de Symantec, sin perder la exigencia técnica:
- Acceso por aplicación y reducción de superficie: ZTNA de Symantec limita el alcance a cada recurso y enmascara servicios internos, dificultando el reconocimiento por parte de atacantes.
- Política y observabilidad unificadas: SSE de Symantec consolida acceso a web, SaaS y privados; esto simplifica gobierno y acelera la respuesta ante fallas o incidentes.
- Integración con controles de datos: Las piezas de protección (puerta de enlace segura, prevención de fuga, aislamiento) operan bajo la misma lógica, lo que evita contradicciones entre políticas.
- Transparencia frente a métricas: La decisión debe anclarse en mediciones propias; el TEI sirve como referencia, pero el valor real emerge en pruebas con sus usuarios y sus aplicaciones.
De la promesa a la práctica: acompañamos decisiones medibles
Zero Trust no es un botón ni una compra impulsiva. Es un diseño consciente que verifica continuamente, reduce el acceso al mínimo imprescindible y protege datos sin arruinar la experiencia.
Los estándares están claros (NIST SP 800-207 y 207A), las guías de madurez existen (CISA) y las plataformas que lo habilitan, como Symantec ZTNA y SSE, pueden cumplir si se miden en tu realidad.
Nuestro rol es acompañarle con criterio: convertir principios en políticas aplicables, definir métricas que importen al negocio y validar, con evidencia, que cada control sume seguridad y confianza. Si la seguridad se siente invisible para su equipo y evidente para el adversario, habremos pasado del eslogan a la evidencia.
Fuentes
S. Rose, O. Borchert, S. Mitchell y K. Connelly, “Zero Trust Architecture (SP 800-207),” NIST, 2020. [En línea]. Disponible: nvlpubs.nist.gov/nistpubs/specialpublications/NIST.SP.800-207.pdf.
R. Chandramouli y Z. Butcher, “A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments (SP 800-207A),” NIST, 2023. [En línea]. Disponible: nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207A.pdf.
CISA, “Zero Trust Maturity Model v2.0,” 2023. [En línea]. Disponible: cisa.gov/resources-tools/resources/zero-trust-maturity-model.
CISA, “Implementing Phishing-Resistant MFA (Fact Sheet),” 2023. [En línea]. Disponible: cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf.
Gartner, “Security Service Edge (SSE) — Glossary,” 2025. [En línea]. Disponible: gartner.com/en/information-technology/glossary/security-service-edge-sse.
Broadcom (Symantec), “Zero Trust Network Access,” 2025. [En línea]. Disponible: broadcom.com/products/cybersecurity/network/network-protection/zero-trust-network-access.
Broadcom (Symantec), “Symantec® Security Service Edge — Product Brief,” 2025. [En línea]. Disponible: docs.broadcom.com/docs/symantec-network-protection-product-brief.
Broadcom (Symantec), “Cloud Web Protection / SWG,” 2024–2025. [En línea]. Disponible: docs.broadcom.com/docs/web-protection-cloud-firewall-service.