.png)
Progreso de la Fideicomiso Cero Federal de este año fiscal: una entrevista de preguntas y respuestas de expertos
Con el cierre del financiamiento federal, es el momento perfecto para mirar hacia atrás a los cambios que hemos visto en la ciberseguridad gubernamental en el pasado año fiscal. Muchas agencias se han enfocado en fortalecer su postura de ciberseguridad. Zero Trust ha estado en el centro de estos esfuerzos, pasando de un concepto de nicho a una estrategia de seguridad central.
Recientemente nos sentamos con El CTO del Sector Público de Illumio, Gary Barlet, para discutir la evolución de Zero Trust en el gobierno federal de Estados Unidos.
En nuestra conversación, Gary compartió sus ideas sobre el estado de Zero Trust en el gobierno, la transformación federal de confianza cero de este año y cómo la tecnología de confianza cero como la microsegmentación está modernizando la ciberseguridad federal.
P: El gobierno federal de Estados Unidos ha estado hablando de Zero Trust desde hace algunos años. ¿Cómo ha visto evolucionar las iniciativas de confianza cero de las agencias durante el año pasado?
A: Ha habido un gran cambio en la forma en que la gente entiende en los últimos años. Solíamos pasar mucho tiempo educando a la gente sobre Cero Confianza. Ahora, más gente sabe lo que es. Estamos dedicando más tiempo a discutir cómo debería ser una estrategia de confianza cero para las necesidades únicas de su agencia.
Una cosa clave a la que la gente se está despertando es que no existe un único producto de confianza cero. La confianza cero es una estrategia que implica el uso conjunto de múltiples tecnologías.
Sí creo que todavía hay un poco de lo que yo llamaría una fijación poco saludable por la identidad. Mucha gente todavía piensa que Zero Trust significa identidad, pero estoy empezando a ver que eso cambia.
Creo que el mayor cambio que estoy viendo es cómo la gente piensa sobre las tecnologías de confianza cero. Mucho de esto se reduce a la exposición. Es posible que los equipos de seguridad no entiendan completamente cuán complejas se han vuelto sus redes. Es posible que no se den cuenta de que hemos desarrollado formas mejores y más fáciles de asegurar esta complejidad bajo un modelo de confianza cero. Hay formas de obtener ganancias rápidas al principio del viaje de confianza cero que no estaban disponibles hace solo unos años.
P: En su experiencia, ¿cuáles son los obstáculos que encuentran las agencias al construir Zero Trust?
R: La falta de recursos es un gran desafío en este momento. Las agencias a menudo lidian con presupuestos ajustados, falta de gente y brechas de habilidades cibernéticas. Es difícil para ellos competir con empresas privadas que tienen más recursos y beneficios para atraer trabajadores calificados. yo sí pienso nueva tecnología de IA puede ayudar a aliviar algunos de estos desafíos de recursos.
Otro desafío es la mentalidad —y esto es cierto tanto para el sector público como para el privado. Las agencias a veces aspiran a la perfección y se atascan. Orientación de confianza cero como Modelo de Madurez de Confianza Cero (ZTMM) de CISA y el Arquitectura de Referencia de Confianza Cero del Departamento de Defensa presenta Zero Trust como un proceso lineal, paso a paso donde puede marcar cada paso. Pero esa no es la realidad de cómo se hace Zero Trust. Es un proceso continuo. Tienes que trabajar en muchas áreas a la vez y aceptar que nunca serás perfecto, solo mejor.
También existe la necesidad de cambiar el pensamiento de que una brecha significa falla o que es solo el problema del equipo de seguridad. Las brechas van a ocurrir. Muchas veces, su origen está fuera del control del equipo de seguridad, como un correo electrónico de phishing. La ciberseguridad es responsabilidad de todos. Se necesita un nivel de conciencia en todo el gobierno.
P: Usted ha estado llamando la atención sobre la brecha de habilidades cibernéticas en el gobierno federal. ¿De qué manera las asociaciones público-privadas como las apoyadas por FedRAMP ayudan a llenar este vacío?
R: Las asociaciones público-privadas tienen un efecto multiplicador. Ofrecen a las agencias la flexibilidad que necesitan para mantenerse al día con las nuevas tecnologías, los riesgos y los requerimientos de cumplimiento de normas.
Las organizaciones privadas pueden asociarse con el gobierno como un asesor de confianza. Aportan conocimientos especializados que a menudo serían imposibles de aprender para los propios equipos de las agencias. Es una excelente manera para que los profesionales de seguridad del sector público y privado aprendan unos de otros y compartan ideas.
Si podemos compartir información, eliminamos los silos y mejoramos la ciberseguridad juntos.
P: ¿Qué papel está viendo jugar la automatización y la IA en la ciberseguridad del gobierno federal?
A: Al igual que cualquier organización, automatización de seguridad e IA puede ayudar a los equipos a trabajar más rápido y cerrar la brecha de habilidades. Pero el riesgo de usar estas herramientas se amplifica en el espacio gubernamental.
Al construir y entrenar Modelos de IA, existe el riesgo de exponer información confidencial, incluidos los datos de empleados y ciudadanos. La tecnología es tan nueva que aún no hemos descubierto una manera de rastrear claramente de dónde provienen los datos de entrenamiento o cómo se compartirán públicamente.
Los modelos de IA también pueden tener sesgos incorporados. Los algoritmos de IA son construidos por humanos, y sus datos de entrenamiento a menudo provienen de la entrada humana. Los humanos tenemos sesgos, a menudo los que no son obvios para nosotros. En este momento es casi imposible detectar y corregir las formas en que la IA está asumiendo nuestros sesgos. Esto puede ser un tema importante en el gobierno.
Se requiere que los ciudadanos confíen y compartan información con las organizaciones gubernamentales. Cualquier tipo de sesgo del gobierno podría causar daño a los ciudadanos, e incluso puede tener implicaciones de vida o muerte.
.webp)
P: De cara al futuro, ¿qué impacto ve que tienen las tecnologías de confianza cero como la microsegmentación en las estrategias federales de ciberseguridad?
A: Zero Trust ya está acelerando la modernización de la ciberseguridad para las agencias federales. Tech like microsegmentación está ayudando a las agencias a dejar de depender únicamente de prevenir y detectar infracciones para contenerlos.
Un cambio positivo que estamos viendo es que más gente está reconociendo que la seguridad es trabajo de todos.
La tecnología de confianza cero requiere una mejor visibilidad de la red y más colaboración entre equipos. La gente se está acostumbrando a mejores protecciones de seguridad. Ahora es más común preguntar por qué ciertas protecciones no están en su lugar en lugar de por qué lo están.
Pero a medida que la ciberseguridad se convierte en un tema principal, creo que existe el riesgo de que podamos volvernos complacientes. Hasta que el público no exija una mejor protección, es posible que las medidas de seguridad no avancen tan rápido como sea necesario. Tengo la esperanza de que conversaciones mejores y más frecuentes en torno a la ciberseguridad ayuden a continuar con el impulso que estamos viendo ahora.
Genere confianza cero en su agencia con Nube gubernamental de Illumio, ahora Autorizado por FedRAMP®. Obtenga más información en el Mercado FedRAMP.
.webp)
.webp)
