Zero Trust Network Access (ZTNA) en seguridad física empresarial

Respuesta directa: Zero Trust Network Access (ZTNA) reemplaza el modelo tradicional de “red interna confiable” con uno donde cada acceso es verificado individualmente, sin importar dónde esté el usuario o dispositivo. Aplicado a seguridad física, significa que cada conexión al CCTV, control de acceso o panel de alarma requiere autenticación + autorización + verificación de contexto, incluso si viene “desde dentro” de la red corporativa. Reduce drásticamente el riesgo de movimiento lateral si una cámara o usuario son comprometidos.

Principios Zero Trust

• Never trust, always verify — cada acceso es verificado.
• Least privilege — permiso mínimo necesario.
• Verify continuously — la autorización se reevalúa.
• Assume breach — diseñar como si ya estuvieras comprometido.

Aplicado a CCTV

• Cámaras en red dedicada con firewall entre VLAN.
• Cada conexión al VMS requiere autenticación + MFA.
• Contexto verificado (dispositivo conocido, IP esperada, horario).
• Conexión cifrada extremo a extremo.
• Microsegmentación entre cámaras.
• Sin acceso directo desde internet, solo vía ZTNA gateway.

Aplicado a control de acceso

• Operador del sistema con SSO corporativo + MFA.
• Acceso granular por rol y horario.
• Logs de cada cambio de configuración.
• Sin compartir credenciales.
• Revisión periódica de permisos.

Productos ZTNA comunes

• Cloudflare Access.
• Zscaler Private Access.
• Palo Alto Prisma Access.
• Microsoft Entra Private Access.
• Cisco Duo Network Gateway.

Cuándo conviene

• Empresas con casa matriz que exige Zero Trust.
• Operaciones multi-sede.
• Auditorías SOC 2 o ISO 27001.
• Sectores críticos (banca, salud, energía).
• Después de un incidente de seguridad.

Más sobre ciberseguridad en cámaras IP y NIST.