Por años se creyó que más herramientas equivalían a más seguridad. Sin embargo, incluso organizaciones con Microsoft E5, XDR avanzado y controles modernos siguen enfrentando brechas. La razón es simple: Zero Trust no falla por falta de tecnología, sino por falta de gobernanza. El nuevo NIST CSF 2.0 lo deja explícito: sin dirección estratégica, la seguridad se fragmenta. 

Explicación del problema 

Muchas empresas han implementado Entra, Defender o Purview sin una visión unificada. Se activan funciones, se aplican políticas y se venden licencias, pero sin un modelo operativo que ordene, priorice y supervise. 

Esto provoca un ecosistema donde: 

• Identidad, dispositivos y datos se protegen bajo reglas distintas. 

• Existen excepciones que nadie revisa. 

• Los controles se aplican a lo que es fácil, no a lo que es crítico. 

Zero Trust no es una configuración técnica; es una disciplina continua que requiere dirección. 

¿Por qué sigue ocurriendo? 

Las causas son más humanas que tecnológicas: 

1. Operación diaria absorbe el tiempo estratégico. 

 Los equipos apagan incendios en lugar de definir políticas. 

2. Creencia equivocada de “ya activé MFA, estoy protegido”. 

 Zero Trust no es un interruptor: es una práctica continua. 

3. Herencia tecnológica. 

 Protocolos antiguos, permisos abiertos y configuraciones “temporales” que se vuelven permanentes. 

4. Ausencia de roles claros de gobernanza. 

 Sin un órgano que tome decisiones, cada área implementa a su manera. 

Las consecuencias reales 

La falta de gobernanza trae efectos directos: 

• Dinero desperdiciado en licencias subutilizadas. 

• Superficie de ataque ampliada por no desactivar lo heredado. 

• SOC saturado por alertas irrelevantes. 

• Activos críticos sin protección real. 

• Auditorías fallidas por falta de consistencia. 

Una organización puede tener la mejor tecnología del mercado y aun así operar insegura. 

Soluciones concretas: Alinearse con NIST CSF 2.0 

El nuevo marco ofrece una guía clara para ordenar el caos. 

A. Crear un Comité de Gobernanza Zero Trust 

Define políticas, métricas y reglas de acceso. 

 Elimina excepciones, permisos heredados y protocolos obsoletos. 

B. Mapear Microsoft al marco NIST 

Microsoft ya lo facilita: 

• Entra ID → Proteger identidad y acceso. 

• Defender XDR → Detectar y responder amenazas. 

• Purview → Identificar y gobernar datos sensibles. 

Esto permite coordinar y priorizar. 

C. Enfocarse por fases 

La fase 1 para 2025 debe centrarse en tres pilares: 

1. Identidad 

2. Dispositivos 

3. Datos 

Si estos tres no están sólidos, Zero Trust no existe. 

Caso real resumido: Logística “TransAndina” 

Contexto: 

Tenían un stack robusto de Microsoft, pero un servidor con autenticación básica habilitada permitió el ingreso de un atacante. 

Solución: 

• Adoptaron NIST CSF 2.0. 

• Bloquearon accesos desde dispositivos no gestionados con Entra. 

• Retiraron protocolos heredados y estandarizaron políticas. 

Resultados: 

• 95% menos intentos de fuerza bruta. 

• 100% de apps críticas bajo Acceso Condicional. 

• SOC más eficiente y controles coherentes. 

En 2025, Zero Trust ya no se mide por cuántas herramientas tienes, sino por cómo las gobiernas. La tecnología ejecuta, pero la gobernanza ordena, prioriza y conecta todo. 

¿Tu Zero Trust está gobernado o solo configurado? 

 Evalúa tus controles, elimina lo heredado y alinea tu estrategia con NIST CSF 2.0 antes de que un atacante lo haga por ti.