Una arquitectura Zero Trust estalvia de mitjana 1,76 milions de dòlars per bretxa de seguretat, segons l'informe Cost of a Data Breach 2025 d'IBM, però Gartner calcula que per al 2026 tan sols el 10% de les grans empreses tindrà un programa Zero Trust madur i mesurable. Aquesta bretxa entre el valor demostrat del model i la seva adopció real és, probablement, la major oportunitat de ciberseguretat sense explotar que té avui una empresa catalana o espanyola. La bona notícia és que Zero Trust no és un producte que es compra ni un interruptor que s'encén: és una estratègia que s'implementa per fases, i qualsevol organització pot començar la propera dilluns amb els actius que ja té.
En aquesta guia pràctica expliquem què és Zero Trust de debò (més enllà del màrqueting dels fabricants), com es diferencia de la VPN tradicional, en què consisteixen els pilars del NIST i la CISA, quin paper juga ZTNA en l'accés modern i, sobretot, com portar el model a producció sense paralitzar el negoci ni reescriure tota la infraestructura.
Què és Zero Trust i en què es diferencia de la VPN tradicional?
Zero Trust ("confiança zero") és un model de seguretat que part d'una premissa incòmoda però realista: no s'ha de confiar de manera implícita en cap usuari, dispositiu o connexió, estigui dins o fora del perímetre corporatiu. En lloc d'assumir que tot allò que és "dins de la xarxa" és segur, cada sol·licitud d'accés es verifica explícitament, s'autoritza per a un recurs concret i es reavaluà de forma contínua.
El contrast amb la VPN tradicional és total. La VPN es va dissenyar per resoldre un problema diferent: connectar un dispositiu remot a la xarxa corporativa com si estigués físicament a l'oficina. El problema és precisament aquest "com si estigués dins": un cop establert el túnel, el dispositiu obté accés ampli a un segment de xarxa complet. Si les credencials es veuen compromeses o el portàtil està infectat, l'atacant hereta aquesta mateixa confiança i pot moure's lateralment per la xarxa amb relativa llibertat.
Zero Trust inverteix la lògica. No existeix el concepte d'"estar dins". L'accés es concedeix recurs per recurs, sessió per sessió, en funció de la identitat verificada, l'estat del dispositiu i el context de la petició.
| Dimensió | VPN tradicional | Zero Trust / ZTNA |
|---|---|---|
| Model de confiança | Implícita després de l'autenticació inicial | Mai confiar, verificar sempre |
| Abast de l'accés | Segment o xarxa completa | Una aplicació o recurs concret |
| Granularitat | Per xarxa | Per sessió i per recurs |
| Moviment lateral | Possible un cop dins del túnel | Bloquejat per disseny |
| Context avaluat | Credencials en el login | Identitat, dispositiu i context, de forma contínua |
| Visibilitat de l'app | Recursos exposats a la xarxa interna | Aplicacions invisibles fins a l'autorització |
La diferència pràctica és enorme per a una pime o una empresa mitjana: amb Zero Trust, una credencial robada ja no és la clau mestra del regne. És, com a molt, la clau d'una sola porta, i tan sols durant el temps en què el context continuï sent legítim.
Els principis del NIST 800-207 i els 5 pilars del model CISA
Parlar de Zero Trust seriosament significa recolzar-se en marcs de referència reconeguts, no en fullets comercials. Els dos documents canònics són la publicació NIST SP 800-207 (Zero Trust Architecture) i el Zero Trust Maturity Model 2.0 de la CISA.
Els set principis del NIST SP 800-207
El model Zero Trust part de set principis fonamentals definits al NIST SP 800-207. Entre ells destaquen que tota comunicació s'assegura amb independència de la ubicació de xarxa, que l'accés a cada recurs es concedeix per sessió individual i que l'autenticació i l'autorització són dinàmiques i s'apliquen estrictament abans de cada accés. A la pràctica, aquests principis es tradueixen en diverses regles operatives:
- Totes les fonts de dades i serveis de còmput es tracten com a recursos que cal protegir.
- Tota comunicació s'assegura amb independència d'on es trobi la xarxa (dins o fora del perímetre).
- L'accés a recursos individuals es concedeix per sessió, no de forma permanent.
- L'accés es determina mitjançant polítiques dinàmiques que inclouen l'estat observable de la identitat, l'aplicació i l'actiu sol·licitant.
- L'organització monitoritza i mesura la integritat i la postura de seguretat de tots els seus actius.
- L'autenticació i l'autorització són dinàmiques i s'apliquen estrictament abans de permetre qualsevol accés.
- L'organització recull el màxim d'informació possible sobre l'estat de la xarxa i l'usa per millorar la seva postura de seguretat.
El que és important del NIST 800-207 és que no imposa una tecnologia concreta: descriu principis i components lògics (el motor de polítiques, l'administrador de polítiques i el punt d'aplicació de polítiques) que cada organització implementa amb les eines que ja posseeix o decideix adquirir.
Els cinc pilars del model de maduresa de la CISA
Si el NIST aporta els principis, la CISA aporta el full de ruta. El Zero Trust Maturity Model 2.0 de la CISA estructura el model en cinc pilars més tres capacitats transversals que els travessen tots:
- Identitat — verificar de forma robusta qui accedeix (MFA resistent a phishing, gestió del cicle de vida d'identitats).
- Dispositius — conèixer i avaluar l'estat de seguretat de cada endpoint abans de concedir accés.
- Xarxes — segmentar, xifrar el trànsit i reduir la superfície exposada.
- Aplicacions i càrregues de treball — protegir aplicacions i workloads, inclosa la cadena de subministrament de programari.
- Dades — classificar, etiquetar, xifrar i controlar l'accés a la dada, que és l'actiu final a protegir.
Les tres capacitats transversals són Visibilitat i Analítica, Automatització i Orquestració i Governança. La CISA defineix a més quatre nivells de maduresa per pilar — Tradicional, Inicial, Avançat i Òptim — la qual cosa permet a una empresa autoavaluar-se de forma honesta i prioritzar inversions on més les necessita, en comptes de comprar l'eina de moda.
Aquest enfocament per pilars i nivells és precisament el que converteix Zero Trust en un projecte abordable: no cal estar en "Òptim" en els cinc pilars alhora. Pujar un graó en Identitat i Dispositius ja redueix dràsticament el risc.
ZTNA: l'accés a aplicacions sense perímetre de xarxa
Si Zero Trust és l'estratègia, ZTNA (Zero Trust Network Access) és la tecnologia que materialitza el principi d'accés per al cas d'ús més comú i més crític: l'accés remot a aplicacions.
ZTNA crea un accés u a u entre un usuari verificat i una aplicació concreta, sense col·locar mai l'usuari "dins de la xarxa". Les aplicacions romanen invisibles per a qui no està explícitament autoritzat: no hi ha rang d'IP per escanejar, no hi ha port per sondejar, no hi ha superfície de xarxa per atacar. L'intermediari (broker) de ZTNA avalua identitat, postura del dispositiu i context abans d'establir cada connexió, i la reavaluà durant la sessió.
Aquesta és la raó per la qual ZTNA està desplaçant acceleradament la VPN. Gartner preveu que fins al 70% dels nous desplegaments d'accés remot es basaran en ZTNA en lloc de tecnologia VPN el 2025, enfront de menys del 10% a finals del 2021. El mercat acompanya aquesta tendència: segons MarketsandMarkets, el mercat de ZTNA es projecta des dels 1.340 milions de dòlars el 2025 fins als 4.180 milions el 2030, amb una taxa de creixement anual compost del 25,5%.
Quan té sentit ZTNA enfront d'una VPN
- Treball híbrid i remot a escala — quan una part significativa de la plantilla accedeix a aplicacions de negoci des de fora de l'oficina.
- Accés de tercers — proveïdors, contractistes o partners que necessiten una aplicació concreta, no tota la xarxa.
- Aplicacions crítiques o regulades — on el principi de mínim privilegi no és opcional sinó exigència normativa.
- Reducció de superfície d'atac — quan es vol deixar d'exposar servidors i serveis a Internet.
Cal fer una advertència honesta: ZTNA no és Zero Trust per si sol. És una peça, normalment la primera i la més rendible, d'una arquitectura més àmplia que abasta els cinc pilars de la CISA. Comprar una solució ZTNA i declarar "ja tenim Zero Trust" és un dels errors més freqüents. Per això convé emmarcà ZTNA dins d'una estratègia integral de serveis de ciberseguretat que cobreixi també identitat, dispositius, dades i monitorització.
Com implementar Zero Trust per fases a una empresa
La pregunta del milió no és "què és Zero Trust", sinó "per on començo sense trencar res". La resposta és un desplegament incremental, alineat amb els nivells de maduresa de la CISA, que entrega valor en cada fase. A continuació proposem un recorregut de cinc fases pensat per a empreses catalanes i espanyoles mitjanes i grans.
Fase 0 — Descobriment i línia base
No es pot protegir el que no es coneix. La primera fase és un inventari rigorós d'identitats, dispositius, aplicacions, fluxos de dades i dependències. L'objectiu és respondre a tres preguntes: qui accedeix a què, des d'on i per què. Aquesta fase sol revelar accessos heretats, comptes òrfenes i aplicacions exposades que ningú recordava. És també el moment d'autoavaluar-se contra els quatre nivells de maduresa de la CISA per cada pilar.
Fase 1 — Identitat com a nou perímetre
La identitat és el pilar amb millor relació entre esforç i reducció de risc. Les accions nuclears són:
- Desplegar MFA resistent a phishing en tots els accessos (idealment passkeys o claus FIDO2).
- Centralitzar la gestió d'identitats i aplicar el principi de mínim privilegi.
- Implantar accés condicional basat en risc (ubicació, dispositiu, comportament).
- Revisar i eliminar accessos permanents innecessaris.
Fase 2 — Dispositius i accés a aplicacions (ZTNA)
Amb la identitat sota control, s'incorpora la postura del dispositiu a la decisió d'accés i es desplega ZTNA per substituir progressivament la VPN. Aquí és on la majoria d'organitzacions obtenen el seu primer "moment Zero Trust" visible: l'accés remot deixa de ser un túnel de xarxa per convertir-se en connexions u a u a aplicacions concretes. Es recomana començar per un grup pilot i una o dues aplicacions, no per tota l'organització de cop.
Fase 3 — Microsegmentació i protecció de la dada
Un cop assegurat l'accés, es treballa cap a dins: segmentar la xarxa per impedir el moviment lateral, xifrar el trànsit est-oest i, en el pilar de dades, classificar i etiquetar la informació per aplicar controls d'accés proporcionals a la seva sensibilitat. Aquesta fase és la que connecta més amb marcs de gestió com ISO 27001, on el control d'accessos i la classificació de la informació són requisits formals; alinear el projecte Zero Trust amb una certificació ISO 27001 evita duplicar esforços.
Fase 4 — Visibilitat, automatització i millora contínua
Zero Trust no és un projecte que acaba; és una postura que es manté. Les tres capacitats transversals de la CISA cobren protagonisme: telemetria centralitzada, detecció i resposta, i automatització de les decisions de política. Per a moltes empreses, sostenir aquesta fase 24x7 internament no és viable, i aquí un servei SOC i MDR gestionat aporta la monitorització contínua i la resposta a incidents que el model exigeix sense haver de muntar un equip de seguretat propi.
Regla pràctica: cada fase ha d'entregar una reducció de risc mesurable per si mateixa. Si una fase no es pot justificar de forma independent, està mal dimensionada.
Resum del recorregut per fases
| Fase | Focus | Pilar CISA dominant | Resultat esperat |
|---|---|---|---|
| 0. Descobriment | Inventari i línia base | Visibilitat | Mapa d'accessos i autoavaluació de maduresa |
| 1. Identitat | MFA i mínim privilegi | Identitat | Credencial robada deixa de ser clau mestra |
| 2. Dispositius i ZTNA | Postura + accés a apps | Dispositius / Aplicacions | Substitució progressiva de la VPN |
| 3. Segmentació i dades | Microsegmentació i xifratge | Xarxes / Dades | Moviment lateral bloquejat |
| 4. Operació contínua | Telemetria i resposta | Automatització / Governança | Postura sostinguda i mesurable |
Zero Trust i compliment normatiu: NIS2, ENS i RGPD
Per a una empresa catalana o espanyola, Zero Trust no és tan sols una bona pràctica tècnica: cada vegada més, és un facilitador directe del compliment normatiu. El control d'accessos granular, el mínim privilegi i la verificació contínua són exactament el que exigeixen els marcs regulatoris vigents i emergents.
El context regulatori espanyol és en plena evolució. A Espanya, NIS2 s'ha transposat parcialment mitjançant el Reial Decret-llei 7/2025, mentre que l'Avantprojecte de Llei de Coordinació i Governança de Ciberseguretat — aprovat al Consell de Ministres el 14 de gener de 2025 — continua en tràmit parlamentari. La pressió és real: la Comissió Europea va enviar a Espanya un dictamen motivat el maig de 2025 pel retard en la transposició completa de la directiva. Per a les empreses afectades (un univers que NIS2 amplia notablement respecte a l'anterior NIS), això significa que les obligacions de seguretat arribaran, i convé anticipar-s'hi.
Zero Trust encaixa de forma natural en aquest escenari. Avalat pel NIST i per l'ENISA (l'agència europea de ciberseguretat), el model es posiciona com a estàndard per alinear el control d'accessos i el mínim privilegi amb els requisits de l'Esquema Nacional de Seguretat (ENS), de NIS2 i de DORA al sector financer, partint precisament de no confiar en cap usuari o dispositiu estigui dins o fora del perímetre.
Com Zero Trust dóna suport a cada marc
- NIS2 / RD-llei 7/2025 — exigeix mesures de gestió de riscos, control d'accessos i governança de la seguretat; els pilars d'Identitat, Dispositius i Governança de la CISA hi responen directament.
- ENS (Esquema Nacional de Seguretat) — per a entitats del sector públic i els seus proveïdors, el mínim privilegi i la segmentació són controls centrals que Zero Trust implementa per disseny.
- RGPD — la protecció de la dada (classificació, xifratge i accés per necessitat de conèixer) redueix l'abast i la gravetat d'una eventual bretxa de dades personals.
- DORA — a la banca, les assegurances i els mercats, la resiliència operativa digital es recolza en la verificació contínua i la monitorització que Zero Trust formalitza.
El missatge de fons és que invertir en Zero Trust no és una despesa en compliment "per separat": és construir una vegada una arquitectura que satisfà simultàniament diversos marcs. Aquesta eficiència és precisament el que diferencia les organitzacions que aborden la seguretat de forma estratègica de les que reaccionen auditoria rere auditoria.
Conclusió: començar petit, mesurar i avançar
Zero Trust no és ni un producte ni una destinació, sinó una forma disciplinada de concedir accés: mai per defecte, sempre verificat, recurs a recurs. Les dades avalen la decisió — 1,76 milions de dòlars d'estalvi mitjà per bretxa segons IBM — i el context regulatori espanyol, amb NIS2 ja en transposició, la converteix en una prioritat ineludible. La clau és no intentar abastar-ho tot de cop: començar per la identitat, substituir la VPN per ZTNA, segmentar, protegir la dada i sostenir l'operació amb visibilitat contínua. Cada fase redueix el risc de forma mesurable i construeix sobre l'anterior.
Si la teva organització vol fer el primer pas de manera ordenada, a Technova Partners dissenyem fulls de ruta Zero Trust adaptats al nivell de maduresa real de cada empresa. Pots començar descarregant la nostra checklist de preparació per a la certificació ISO 27001, un bon punt de partida per auditar els teus controls d'accés i governança, o parlar directament amb el nostre equip de ciberseguretat per avaluar la teva situació i prioritzar les fases que més risc eliminen en el teu cas concret.
