Sean Connelly comparte cómo Zero Trust modernizó la ciberseguridad federal

La Agencia de Seguridad de la Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) está a la vanguardia de la defensa de la infraestructura crítica de los Estados Unidos de la evolución de las amenazas cibernéticas. También ha sido un actor clave para ayudar al gobierno federal a evolucionar su ciberseguridad de una estrategia tradicional basada en el perímetro a un enfoque moderno de confianza cero.

En un episodio reciente de The Segment: A Zero Trust Leadership Podcast, me senté con un arquitecto líder detrás de este cambio a Zero Trust: Sean Connelly, ex director de la Iniciativa Cero Confianza Cero de CISA. Ofreció una mirada a los cambios transformadores en la ciberseguridad federal, la evolución de los perímetros de red y consejos prácticos para cualquiera que se embarque en un viaje de confianza cero.

Sigue leyendo para obtener un resumen de nuestra discusión.

Acerca de Sean Connelly

Sean es una figura destacada en ciberseguridad federal, desempeñando un papel crucial en la configuración de las iniciativas de la CISA durante la última década. Avanzó el modelo de ciberseguridad Zero Trust, esencial para la estrategia de defensa del gobierno federal. También dirigió el desarrollo del primer Modelo de Madurez de Confianza Cero y fue coautor de la Arquitectura de Confianza Cero del NIST.

A principios de este año, lanzó el Oficina de la Iniciativa de Confianza Cero de CISA para dotar a los organismos gubernamentales de la capacitación y los recursos que necesitan para fortalecer sus medidas de ciberseguridad.

Cómo CISA ayudó a modernizar la ciberseguridad federal

A mediados de la década de 2000, las redes de las agencias federales crecían rápidamente y las conexiones de red a Internet habían aumentado a un número alarmante. La superficie de ataque estaba creciendo. Sean reconoció que el gobierno federal necesitaba encontrar una manera de reducir el riesgo en todo el gobierno federal.

Sean y el equipo de CISA se asociaron con otras agencias de ciberseguridad de Estados Unidos para crear Conexiones de Internet de confianza (TIC) iniciativa en 2007. El objetivo era limitar el número de puertas de enlace en las redes gubernamentales. Requiere que todo el tráfico federal de Internet sea enrutado a través de una agencia aprobada por TIC.

Inicialmente, el enfoque estaba en asegurar el perímetro de la red, que dependía de un modelo tradicional de red de hub-and-spoke. Pero con el tiempo, los líderes federales de ciberseguridad como Sean se dieron cuenta de que necesitaban un enfoque más descentralizado y centrado en los datos con el aumento de nube y tecnología móvil.

“Incluso en ese entonces, Cisco y el Foro de Jericó mencionaron la necesidad de una perimeterización profunda”, explicó. “Uno de sus mandamientos fue: 'Cuanto más se puede poner la seguridad cerca de los datos, mejor es. ' Y eso tiene sentido, ¿verdad?”

TIC evolucionó a 2.0 y eventualmente 3.0, lo que ahora alienta a las agencias a adoptar servicios en la nube y Zero Trust para protegerse contra el complejo panorama de amenazas actual. TIC 3.0 se centra en un enfoque más flexible y basado en el riesgo que las versiones anteriores del programa TIC.

Sean calificó al TIC 3.0 como un “nuevo viaje” para la ciberseguridad federal. Condujeron a un mayor equilibrio entre la seguridad de los datos y la seguridad de la red. Esto también fue un hito clave en la adopción por parte del gobierno federal de un enfoque de Confianza Cero.

Construyendo el Modelo de Madurez de Confianza Cero de CISA

Una parte importante de este “nuevo viaje” fue dar a las agencias información práctica sobre la construcción Cero Confianza. Zero Trust requería un cambio de mentalidad para las agencias, pero los líderes de las agencias también necesitaban detalles tácticos sobre cómo lograr Zero Trust.

Sean lideró los esfuerzos de CISA para crear Modelo de Madurez de Confianza Cero (ZTMM), publicado en 2021. El ZTMM es una de las hoja de ruta más importantes que pueden utilizar las agencias federales a medida que avanzan hacia la Cero Confianza.

El ZTMM es un hito importante en la adopción de Zero Trust por parte del gobierno federal. Esto se debe a que proporciona un lenguaje común para las agencias a medida que crean sus planes Zero Trust. Sean había reconocido la necesidad de una orientación precisa a la hora de construir Zero Trust. En ese momento, cada agencia tenía una comprensión diferente de Zero Trust. Estaba causando confusión sobre cómo era Zero Trust en la práctica y cómo se aplicaba a los mandatos federales de seguridad. Señaló: “Se puede poner lenguaje en las políticas, pero las agencias aún quieren saber: '¿Es esto lo que realmente quiere decir?'”

Después de lanzar la primera versión, CISA se unió a otras agencias cibernéticas y Pymes para ir agencia por agencia a discutir su progreso y madurez de Zero Trust. Esto dio lugar a más de 100 reuniones, incluidas aquellas con proveedores, instituciones académicas y gobiernos internacionales. CISA agregó esta retroalimentación a la segunda versión de la ZTMM, publicada en 2022.

“Ha resonado”, dijo Sean, reflexionando sobre la cantidad de veces que ha visto el gráfico de montaña de la ZTMM en presentaciones y artículos. “Creo que la burla, sin embargo, es cuando llegas a la cima de esa montaña, realmente es una cordillera”.

Sean enfatizó que Zero Trust nunca está completo; es un viaje continuo. “Vamos a mover la bandera, vamos a mover los postes de portería en algún momento a medida que evolucione la tecnología”, explicó. “Siempre necesitamos agregar nuevas formas de construir Zero Trust”. Para ello, Sean ve a la ZTMM como un documento vivo que debe reflejar continuamente el estado actual de la ciberseguridad.

5 pasos para la confianza cero

Según Sean, si entrara a una reunión con personas que recién comienzan su viaje de Zero Trust, les recomendaría que comiencen con el Informe NSTAC Zero Trust. Esta guía, creada junto John Kindervag, el creador de Zero Trust y el principal evangelista de Illumio, describe cinco pasos para construir un programa de confianza cero.

Aquí hay un desglose de los cinco pasos que discutimos:

1. Defina la superficie de protección: Identificar lo que necesita protección.

2. Mapear flujos de transacciones: Documente los flujos de datos y comunicación dentro de su organización, incluidas las interacciones entre el sistema, el cliente y el servidor y la organización.

3. Construya la arquitectura: Desarrolle una arquitectura de seguridad centrada en datos con medidas de seguridad cercanas a los activos protegidos, utilizando señales de la red, dispositivos host e identidad.

4. Crear políticas dinámicas: Establecer políticas adaptables que respondan a las condiciones cambiantes, considerando las interacciones cliente-servidor y de la organización.

5. Manifieste, supervise y mantenga: Construya, monitoree continuamente y mantenga el entorno Zero Trust para garantizar la seguridad y el cumplimiento de normas continuos.

Escucha, suscríbete y revisa The Segment: A Zero Trust Podcast

¿Quieres saber más? Escucha el episodio completo con Sean en nuestro sitio web, Podcasts de Apple, Spotify o donde sea que consigas tus podcasts. También puedes leer una transcripción completa del episodio.

¡Volveremos pronto con más información de Zero Trust!