Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Ciberresiliencia

3 puntos de vista sobre la confianza cero de la Orden Ejecutiva 14028

Charlie Bedell
,
Gerente de Marketing de Contenidos
August 9, 2022
23 min. lectura

En mayo de 2021, la Administración Biden emitió Orden Ejecutiva (EO) 14028, encargando a las agencias federales la tarea de mejorar la ciberseguridad y recomendando específicamente Prácticas de seguridad Zero Trust.

El EO llegó poco antes de la pandemia de COVID-19, que aceleró la transformación digital para muchas organizaciones del sector público y privado. Casi de la noche a la mañana, las organizaciones cambiaron al trabajo remoto y la migración a la nube se convirtió en un requerimiento más inmediato.

Además, múltiples ataques cibernéticos de alto perfil impactaron significativamente las cadenas de suministro, incluyendo Vientos solares, Tubería Colonial, y JBS procesamiento de carne.

Ahora, un año después de la EO 14028, es posible mirar hacia atrás y ver qué avances se han logrado en la implementación Cero Confianza en todas las agencias federales.

Gary Barlet de Illumio, CTO de Campo Federal, se unió a Nicolas M. Chaillan, ex CISO de la Fuerza Aérea y la Fuerza Espacial de Estados Unidos, para discutir el impacto de EO 14028 en un seminario web organizado por la Instituto de Tecnología de Infraestructura Crítica (ICIT).

Vea el seminario web aquí:

Continuar leyendo para aprender tres principales puntos clave de su discusión.

EO 14028 ayudó a aumentar la implementación de Zero Trust

Tanto Barlet como Chaillan coinciden en que se ha avanzado hacia Zero Trust desde la orden ejecutiva de mayo pasado. La orden ha ayudado a los equipos de seguridad de las agencias federales —y de organizaciones privadas— a continuar las discusiones y obtener financiamiento para iniciativas de Zero Trust.

Como dijeron Barlet y Chaillan, “una orden ejecutiva nunca duele”.

Lo que es más importante, los equipos de seguridad cuentan ahora con evidencia respaldada por el gobierno para las estrategias de seguridad Zero Trust.

“Hace que sea mucho más útil para aquellos que intentan implementar Zero Trust tener algo a lo que señalar y usar como referencia”, dijo Barlet.

Y para muchas agencias, las discusiones sobre Zero Trust comenzaron con la orden ejecutiva. Según Challain, ayudó a cambiar la opinión de las personas sobre Zero Trust, alejando el consenso de los modelos tradicionales de ciberseguridad hacia las mejores prácticas modernas.

Esto sigue El creciente éxito del sector privado de Zero Trust en los últimos años — y muestra hasta dónde están rezagados el gobierno federal y los militares en materia de ciberseguridad.

“El próximo par de años será un momento interesante con más éxitos de Zero Trust. Es un cambio de mentalidad que es necesario de ir adelante para tener éxito”, explicó Barlet.

Agencias federales utilizan Zero Trust para minimizar el impacto de incumplimientos inevitables

Más allá de una orden ejecutiva, Zero Trust tiene beneficios reales para proteger a las organizaciones contra las sofisticadas amenazas cibernéticas actuales.

Herramientas de seguridad heredadas se han centrado en el perímetro, pero la naturaleza dispersa e hiperconectada de las redes modernas significa que el perímetro ya no existe como antes. Esto deja a las redes vulnerables al ataque.

“Historia tras historia, año tras año, escuchamos a la gente gastando todo este dinero tratando de prevenir una brecha, pero no hay discusión sobre lo que sucede después se produce una violación”, dijo Barlet.

A La estrategia Zero Trust asume que se producirán brechas y ofrece formas de mitigar el impacto de un ataque una vez que ocurre.

No obstante, tanto Barlet como Challain coinciden en que ha habido algunos confusión sobre lo que significa Zero Trust en la práctica y cómo encaja en las arquitecturas de seguridad existentes.

“Cero Confianza parece implicar que no vas a tratar de evitar brechas —y ese no es el caso”, explicó Barlet. “No vamos a renunciar a tratar de prevenir una brecha, pero también planifiquemos ese único error o vulnerabilidad que permita que entre una brecha y cómo podemos prevenir un ataque catastrófico”.

En general, Barlet y Challain recomendaron que las agencias obtengan visibilidad de los flujos de red, desactiven la comunicación innecesaria e implementen la Segmentación de Confianza Cero, también conocida como microsegmentación, para limitar la propagación de una infracción.

Segmentación de confianza cero para agencias federales: Simplemente comience en alguna parte

Aunque la idea de segmentar la red ha existido durante años, Barlet y Challain discutieron las formas en que las redes en gran escala actuales hacen que los métodos tradicionales de segmentación que utilizan direcciones IP o VLAN sean casi imposibles. Ambos abogan por que la segmentación sea en una escala mucho menor.

En particular, Barlet dijo que las redes requieren Cero Confianza Segmentación para proteger contra el número cada vez mayor de usuarios, aplicaciones y entornos que abren vulnerabilidades para que entren los atacantes.

A pesar de la apremiante necesidad de Segmentación de Confianza Cero, Barlet y Challain señalaron que muchas agencias se ven abrumadas por el proceso.

“Necesitas saber quién está accediendo a qué, dónde y cuándo. Entonces, necesita saber cuáles de esos flujos de comunicación son innecesarios y pueden bloquearse. Cuando tomas todas esas preguntas en su conjunto, es muy desalentador”, dijo Barlet.

No es necesario completar un proyecto completo de Segmentación de Confianza Cero a la vez. Barlet y Challain recomiendan un enfoque incremental para evitar altos costos, confusión y posible hinchazón administrativa.

“No trates de hacer todo de una vez. Simplemente empieza en alguna parte”, dijo Barlet.

Al reducir el alcance de un proyecto de Segmentación de Confianza Cero al inicio, Barlet y Challain coincidieron en que las agencias pueden:

  • Evite sentirse abrumado por los detalles.
  • Mejore inmediatamente sus ciberseguridad postura.
  • Obtenga la oportunidad de probar la eficacia de Zero Trust para futuras iniciativas.

“La única manera de llegar a algún lugar en su viaje de Zero Trust es comenzar. El éxito engendra éxito”, dijo Barlet.

Obtenga más información sobre Illumio y Segmentación de Confianza Cero:

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Los límites de la memoria de trabajo: cerebros humanos vs. modelos de IA
Ciberresiliencia

Los límites de la memoria de trabajo: cerebros humanos vs. modelos de IA

Descubra cómo las diferencias en la memoria de trabajo, el procesamiento y la escala entre humanos e IA pueden reducir los costos de seguridad y mejorar la eficiencia.

Leer más
¿Qué es un controlador de dominio?
Ciberresiliencia

¿Qué es un controlador de dominio?

Un controlador de dominio responde a las solicitudes de autenticación de seguridad y verifica a los usuarios en el dominio de una red informática. Así es como asegura un dominio de red.

Leer más
Dos brechas, un banco: lecciones de la crisis cibernética de ICBC
Ciberresiliencia

Dos brechas, un banco: lecciones de la crisis cibernética de ICBC

Descubra las lecciones críticas de la crisis cibernética ICBC, donde dos brechas importantes, el ransomware en los Estados Unidos y un robo de datos en Londres, revelaron vulnerabilidades sistémicas en la banca global.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información