La adopción de Zero Trust en las organizaciones y la auditoría

Detalles: Categoría de nivel principal o raíz: Blog; TI; 22 Mayo 2026

Por: CP Iván Rodríguez. Colaborador de Auditool

La adopción del concepto de "confianza cero" (Zero Trust) – que se conoce como "Nunca confíes, verifica siempre", ha venido ha experimentado un interesante crecimiento por parte de organizaciones de diversos sectores y se ha convertido en una estrategia prioritaria impulsada por la transformación digital acelerada. Entre los factores que han contribuido a este hecho se encuentran:

💻 Trabajo remoto e híbrido permanente

A partir de la pandemia COVID 19 se consolidó el modelo de "trabajar desde cualquier lugar" con dispositivos personales (computadores, tablets, celulares o móviles), lo que implica mayores requerimientos en rendimiento, seguridad y escalabilidad.

☁️ Migración masiva a la nube y entornos híbridos

Con aplicaciones en múltiples proveedores de servicios (AWS, Azure, Google Cloud), ya no es tan claro un "dentro" y "fuera" de la red.

🔒 Aumento exponencial de ciberamenazas

Desde el ransomware y los ataques a la cadena de suministro, hasta las amenazas impulsadas por IA, se advierte que una sola brecha en la seguridad puede tener consecuencias catastróficas. El modelo "castle-and-moat^[1]" falla cuando el atacante ya está dentro.

📋 Presiones regulatorias y de cumplimiento

Marcos como General Data Protection Regulation (GDPR), Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI-DSS) incentivan o exigen controles de acceso, minimización de privilegios y visibilidad continua.

💰 Costos crecientes de las brechas

Las violaciones de datos generan pérdidas millonarias. Zero Trust ayuda a reducir el "blast radius" (alcance del daño) mediante microsegmentación y verificación continua.

Zero Trust no reemplaza el control interno, lo lleva a un nivel más avanzado, dinámico y alineado con los riesgos actuales.

Si bien el concepto de confianza cero se remonta a mediados de la década de los 70 con el principio de privilegio mínimo (POLP), que busca otorgar autorizaciones necesarias para realizar funciones específicas, establece la base para la confianza cero al limitar el acceso a datos y recursos únicamente a entidades autorizadas para su propósito legítimo. En esencia, la confianza cero tiene dos objetivos principales: prevenir el acceso no autorizado y minimizar las zonas de confianza explícitas. Su adopción en una organización con un sistema de control interno tradicional no implica reemplazar todo lo existente, sino evolucionarlo gradualmente. Zero Trust se basa en verificación continua, sin confianza implícita, con acceso mínimo y dinámico y evaluación por cada transacción.

Si una organización desea implementar ZT, es conveniente hacerlo de forma gradual, manteniendo infraestructuras híbridas durante la transición. En la práctica consiste en mantener los controles actuales (firewalls, segregación, etc.) e incorporar progresivamente:

🔐

Autenticación fuerte (MFA)

📊

Monitoreo continuo

⚙️

Políticas dinámicas

Los principales pasos para adoptar Zero Trust son:

1️⃣ Identificar activos y procesos críticos: Datos sensibles, sistemas clave, flujos de negocio

2️⃣ Clasificar usuarios y accesos: Quién accede a qué y en qué condiciones. Se pasa de roles estáticos a atributos dinámicos

3️⃣ Implementar principio de mínimo privilegio: Reducir accesos excesivos y limitar acciones por usuario

4️⃣ Fortalecer identidad y autenticación: MFA obligatorio y gestión de identidades (IAM)

5️⃣ Incorporar monitoreo continuo: Logs en tiempo real y detección de anomalías

6️⃣ Evaluación dinámica del riesgo: Determinar ubicación, dispositivo, hora y comportamiento

7️⃣ Definir políticas de acceso dinámicas: No basta con "usuario autorizado", se evalúa cada solicitud

Una recomendación estratégica es no iniciar por el área de tecnología. Es más conveniente iniciar por temas transversales como son Gobernanza y políticas, identidad y accesos, monitoreo y protección de datos críticos. Una organización que posea un control interno tradicional debe entonces, mantener sus controles actuales, incorporar principios de Zero Trust gradualmente y de esta manera evolucionar hacia un modelo basado en identidad, contexto y riesgo continuo. Hay que tener presente que Zero Trust no reemplaza el control interno, lo lleva a un nivel más avanzado, dinámico y alineado con los riesgos actuales.

⚠

Desafío para la auditoría

Para la auditoría, esto representa un desafío. Hay un cambio cultural, que es pasar de confianza implícita a verificación constante, se incrementa la complejidad operativa pues hay más datos y más decisiones. La evaluación del gobierno de TI implica determinar la existencia (o efectuar la recomendación) de políticas claras, responsables definidos y supervisión continua. El control interno se transforma, pues se pasa de evaluar controles periódicamente a supervisar controles en tiempo real; el auditor, por tanto pasa de revisar accesos históricos a evaluar modelos de decisión y políticas dinámicas

Incluso, el auditor puede, desde el marco COSO ERM incorporar actividades en su plan de trabajo:

🏛️ Gobierno y cultura

Verificar como se incorporar ZT en políticas de seguridad y evaluar las definiciones de tolerancia a accesos no verificados

🎯 Estrategia y establecimiento de objetivos

Verificar la Identificar activos críticos (datos, sistemas), así como las definiciones de objetivos de seguridad basados en riesgo

🔍 Identificación y evaluación de riesgos

Efectuar una evaluación dinámica de accesos indebidos, uso de credenciales y movimiento lateral o suplantación.

🛡️ Respuesta al riesgo

Verificar la existencia y evaluar controles tales como autenticación multi factor (MFA), accesos dinámicos y validación por contexto

📡 Información, comunicación y reporte

Evaluar la existencia y funcionamiento de logs en tiempo real, tableros o dashboards de seguridad y sistemas SIEM (Security Information and Event Management) para detectar, investigar y responder a amenazas en tiempo real.

📊 Monitoreo del desempeño

Evaluar KPIs de seguridad tales como intentos de acceso fallidos, accesos fuera de patrón y tiempo de detección.

El auditor se convierte en un aliado estratégico para construir sistemas en los que la confianza se logra y demuestra de forma continua y documentada.

Para una organización, incorporar la auditoría como parte integral del ciclo de vida de Zero Trust transforma la seguridad de reactiva a proactiva, puesto que aporta visibilidad independiente, garantiza la trazabilidad de los accesos y fortalece la gobernanza sobre identidades, dispositivos y redes. Así, el auditor al desempeñar su labor se convierte en un aliado estratégico para construir sistemas en los que la confianza se logra y demuestra de forma continua y documentada. La Alta Dirección debe entender que el trabajo del auditor permite validar que el principio de "nunca confiar, siempre verificar" se traduzca en controles tangibles y verificables, en beneficio de la organización.

[1] Castle and moat o Castillo y foso, se refiere a un modelo de seguridad de red en el que nadie externo puede acceder a los datos internos, sin embargo todos dentro de la red pueden hacerlo.

CP Iván Rodríguez - CIE AF

Colaborador de Auditool

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.