1. Zero Trust no es solo un tema de red

Muchas organizaciones todavía asocian Zero Trust con firewalls, redes privadas o MFA. Esos controles son importantes, pero una plataforma de datos requiere algo más: aplicar los principios de Zero Trust directamente al dato, al consumo, a los permisos, al linaje, a la clasificación, a la observabilidad y a las identidades que operan los procesos.

La pregunta central no es solamente “¿puede entrar este usuario?”. La pregunta correcta es: “¿puede esta identidad acceder a este dato, desde este contexto, con este nivel de sensibilidad, para este propósito y con este nivel de riesgo?”.

Figura 1. Zero Trust aplicado a datos.

2. Por qué las Data Platforms fallan en seguridad

El problema más común no es la falta de herramientas de seguridad. El problema suele ser la falta de un modelo operativo que conecte identidad, datos, plataforma, red y monitoreo. Cuando cada capa se administra por separado, aparecen brechas: permisos heredados, usuarios con privilegios excesivos, secretos compartidos, workspaces sin dueño, datos sensibles sin etiqueta y reportes exportados fuera del control corporativo.

·        Se otorgan permisos amplios para acelerar entregas y nunca se revisan.

·        Los datos sensibles se identifican tarde, cuando ya fueron copiados o exportados.

·        Los equipos técnicos controlan infraestructura, pero el negocio no define criticidad ni reglas de uso.

·        La seguridad se aplica al final del proyecto, como validación, no como diseño.

·        Hay logs disponibles, pero no existe una capacidad real de detección y respuesta.

3. Modelo de defensa en profundidad para Azure y Fabric

Un enfoque Zero Trust para datos debe funcionar por capas. La identidad valida quién accede. La plataforma define dónde vive y cómo se consume el dato. Purview ayuda a clasificar, etiquetar, proteger y gobernar. La red reduce exposición. El monitoreo detecta anomalías. Ninguna capa por sí sola es suficiente; el valor aparece cuando todas trabajan juntas.

Figura 2. Arquitectura de defensa en profundidad para Azure y Fabric.

4. Controles clave que sí importan

Para una Data Platform empresarial, los controles técnicos deben traducirse en decisiones operativas claras. No basta con tener RBAC, etiquetas, Conditional Access o logs. La organización debe saber cuándo se aplican, quién los administra, cómo se revisan y qué evidencia generan.

Figura 3. Matriz de controles clave para Zero Trust en datos.

5. Aplicación práctica en Microsoft Fabric

Fabric cambia el contexto porque integra múltiples experiencias de datos sobre una plataforma SaaS y OneLake. Esto acelera la entrega, pero obliga a revisar permisos de workspace, permisos de ítems, seguridad en OneLake, sensibilidad de los activos, capacidad de exportación, linaje y gobierno con Purview. Un error frecuente es asumir que controlar el workspace equivale a controlar el dato. En la práctica, conviene separar control plane, data plane y políticas de protección.

Las etiquetas de sensibilidad de Microsoft Purview pueden ayudar a clasificar y proteger contenido en Fabric. Además, las políticas de protección pueden limitar el acceso a ítems etiquetados, y OneLake incorpora controles de seguridad para acceso al dato. Estas capacidades son potentes, pero deben implementarse con un diseño claro de roles, dominios, ownership y ciclo de vida.

6. Aplicación práctica en Azure

En Azure, Zero Trust para datos implica combinar Microsoft Entra ID, Conditional Access, Managed Identities, Key Vault, redes privadas, cifrado, RBAC, monitoreo y servicios de seguridad como Defender y Sentinel. El objetivo no es llenar la arquitectura de controles aislados. El objetivo es que cada acceso relevante pueda ser autenticado, autorizado, registrado, auditado y revisado.

Una buena señal de madurez es poder responder rápidamente: quién accedió, a qué dato, desde dónde, con qué privilegio, por qué razón, durante cuánto tiempo y qué ocurrió después.

7. El patrón correcto: seguridad sin frenar el negocio

Zero Trust no debería convertirse en un freno para la analítica o la innovación. Bien implementado, habilita autoservicio con control. Los equipos pueden moverse más rápido porque existen estándares, plantillas, políticas, permisos y mecanismos de monitoreo que reducen la improvisación.

Figura 4. Patrón de falla vs patrón de éxito.

8. Roadmap de 90 días

No es necesario rediseñar toda la seguridad de datos desde el día uno. Una ruta efectiva es empezar por los datos críticos, revisar accesos privilegiados, clasificar información sensible, ajustar permisos, proteger secretos y activar monitoreo accionable.

Figura 5. Roadmap de 90 días para Zero Trust en datos.

9. Conclusión

Zero Trust aplicado a datos no es una moda de ciberseguridad. Es una forma de operar plataformas de datos con confianza, especialmente cuando se trabaja con Azure, Fabric, autoservicio analítico y AI. La clave no está en comprar más herramientas, sino en conectar controles con datos críticos, responsabilidades claras y evidencia operativa.

Una Data Platform segura no es la que bloquea todo. Es la que permite innovar con velocidad, pero con identidad verificada, privilegio mínimo, clasificación, protección, trazabilidad y monitoreo continuo.