Las 3 verdades de confianza cero de John Kindervag para agencias gubernamentales

En los últimos años, el sector público estadounidense ha recibido multitud de orientaciones sobre Cero Confianza — desde Modelo de Madurez de Confianza Cero de CISA a HACE 14028 y NIST SP 800-207. Puede parecer una cantidad abrumadora de información para clasificar o saber por dónde empezar en su agencia.

Por eso el Federal Tech Podcast se sentó en un episodio reciente con John Kindervag, el padrino y creador de Zero Trust y principal evangelista en Illumio, para entender las tres verdades clave sobre Zero Trust. Esta información es vital para ayudar a las agencias a encontrar y mantenerse en el camino correcto a medida que cumplen Mandatos Zero Trust.

1. No puedes hacer Zero Trust de una sola vez

Según Kindervag, uno de los principales conceptos erróneos sobre Zero Trust, especialmente en el gobierno federal, es que se puede lograr Zero Trust todo de una vez y dentro de un marco de tiempo específico.

No obstante, eso está lejos de cómo diseñó la estrategia.

“Es un viaje que haces, y estás en él para siempre”, explicó Kindervag.

Comenzar Zero Trust ahora es esencial para que las agencias construyan resiliencia de la misión. Pero saber cuándo tu agencia alcanzará la confianza cero total es imposible porque es un esfuerzo continuo. Kindervag dijo que las preguntas más importantes que deberían hacerse las agencias es qué están asegurando, no cuándo.

“No me preocupo tanto por el tiempo sino por conseguir los incentivos y programas adecuados”, dijo Kindervag.

Recomienda que las agencias comiencen por ser completas, end-to-end visibilidad a su entorno. Con esta visión, pueden ver dónde riesgo miente, priorice la seguridad de las áreas que están en mayor riesgo y más críticas para la misión, y luego trabaje a través de una superficie de protección a la vez: “Construyes Zero Trust en trozos”, dijo.

2. La confianza cero no es difícil

Kindervag creó la estrategia de seguridad Zero Trust para resonar en toda una organización, desde líderes de alto nivel hasta profesionales de seguridad. Para ello, la estrategia fue diseñada para ser sencilla de entender e implementar.

“¿Por qué todas estas personas están haciendo que Zero Trust se vea tan duro?” bromeó. “Es incremental. Lo haces una, proteges superficie a la vez”.

Al hacer de la aplicación un proceso iterativo, los equipos de seguridad pueden centrarse en un sistema, aplicación o recurso a la vez, desde el más crítico hasta el mínimo. Un beneficio importante de esto es que causa poca o ninguna interrupción a la misión.

“Se implementa Zero Trust controla una superficie de protección tras otra, y eso la hace no disruptiva”, explicó Kindervag. “Lo máximo que puedes meter es una superficie de protección. No se puede meter la pata en toda la red ni en todo el entorno”.

3. Implemente Zero Trust de forma proactiva

La confianza cero se base en el hecho de que las brechas son inevitables; refleja la estrategia de seguridad de mejores prácticas para la superficie de ataque moderna.

“La superficie de ataque es como el universo, se expande constantemente”, dijo Kindervag.

Las herramientas tradicionales de seguridad de prevención y detección se construyeron para un momento en que los entornos de cómputo eran mucho más pequeños, más simples y todos dentro de un solo perímetro. Hoy en día, las redes son complejas, distribuidas y sin perímetro.

A Arquitectura Zero Trust ayuda a las agencias a administrar el mayor riesgo resultante de esta evolución. “Zero Trust invierte el problema, reduciéndolo a algo pequeño y fácilmente conocido llamado superficie de protección”, explicó Kindervag.

Si bien las herramientas de prevención y detección siguen siendo importantes, no son suficientes para protegerse contra las amenazas cibernéticas en constante evolución. Es vital que las agencias construyan seguridad proactiva tanto para el exterior de la red y interior. Tecnologías Zero Trust, incluidas herramientas fundamentales como Segmentación de confianza cero (ZTS), ayudan a las agencias a prepararse de manera proactiva para las infracciones.

“Hay mucha gente que no va a hacer nada hasta que algo malo haya pasado”, dijo Kindervag, al señalar que esta es una forma anticuada de pensar sobre la seguridad. “Es como cuando golpea la granizada y luego quieres obtener un seguro para tu auto. ¿Qué te dice la aseguradora? No, es demasiado tarde”.

“Necesitas ponerte frente a la seguridad, no detrás de ella”, recomendó Kindervag.

Los 5 pasos para Zero Trust

Kindervag anima a las agencias a seguir su proceso de cinco pasos para la implementación de Zero Trust a medida que construyen el cumplimiento de Zero Trust:

1. Defina su superficie de protección: No puede controlar la superficie de ataque porque siempre está evolucionando, pero puede reducir la superficie de protección de su organización en partes pequeñas y fácilmente conocidas. La superficie de protección generalmente incluye un único elemento de datos, servicio o activo.

2. Mapear la comunicación y los flujos de tráfico: No se puede proteger el sistema sin entender cómo funciona. Obtener visibilidad en sus entornos muestra dónde se necesitan los controles.

3. Diseñe el entorno Zero Trust: Una vez que obtenga una visibilidad completa de la red, puede comenzar a implementar controles personalizados para cada superficie de protección.

4. Crear políticas de seguridad Zero Trust: Cree políticas que proporcionen una regla granular que permita que el tráfico acceda al recurso en la superficie de protección.

5. Monitorear y mantener la red: Vuelva a inyectar telemetría en la red, creando un bucle de retroalimentación que mejora continuamente la seguridad y construye un sistema resistente y antifrágil.

Illumio puede ayudar a su agencia a trabajar a través de estos cinco pasos en su viaje Zero Trust. Obtenga más información sobre cómo apoyamos agencias gubernamentales, y contacta con nosotros hoy para empezar.