6 Recomendaciones de expertos sobre confianza cero para agencias gubernamentales
El sector público se enfrenta a grandes interrogantes cuando se trata de enfoques de ciberseguridad. ¿Qué se puede hacer para reducir las vulnerabilidades y mitigar la propagación de brechas? ¿Qué estrategias son clave para mejorar la resiliencia cibernética en medio de un panorama de amenazas en constante cambio?
Para averiguarlo, Gary Barlet, CTO de Campo Federal en Illumio, se unió recientemente a los expertos en ciberseguridad del gobierno, el Dr. Mark A. Stanley, líder de agencia de la NASA para Zero Trust, y Gerald J. Caron, el Chief Information Officer de la Administración de Comercio Internacional, en GovExec TV para discutir la segmentación de aplicaciones y su papel en la arquitectura Zero Trust para el sector público.

Continúe leyendo para obtener las seis recomendaciones clave de su discusión sobre la implementación de Zero Trust y la segmentación de aplicaciones.
1. Las iniciativas de confianza cero deberían ser la prioridad en este momento
Para comenzar, el Dr. Stanley habló sobre su papel con la NASA y el panorama de la política Zero Trust que encontró al llegar.
“Cuando llegué a la NASA, me quedé totalmente impresionado”, dijo. “Esta gente ya estaba pensando en Zero Trust y cómo íbamos a llegar allí mucho antes de que saliera la orden ejecutiva. Ya contaban con la aceptación y toneladas de apoyo del equipo de liderazgo ejecutivo”.
Al principio de su mandato en la NASA, fue nombrado líder de confianza cero de la NASA. Ha ayudado a agregar Zero Trust como uno de los elementos fundacionales de la NASA para la transformación digital.
“Desde una perspectiva de prioridades, cualquier cosa que pueda hacer para ayudar a que Zero Trust avance ha ocupado la mayoría de nuestros ciclos”, explicó.
2. La visibilidad es clave para implementar con éxito una estrategia Zero Trust
La respuesta de Barlet abordó el pensamiento central que va de la mano con la estrategia Zero Trust y la segmentación de aplicaciones.
“Confianza Cero es un término muy amplio. Lo primero que creemos que es importante para la seguridad es entender cómo fluye realmente la información en su empresa”, dijo Barlet.
Barlet recomendó que las organizaciones que trabajan hacia Zero Trust comiencen con visibilidad. Y esto no es solo un mapa de red. Las redes híbridas de hoy en día no tienen perímetro y están dispersas. Los equipos de seguridad deben realizar un seguimiento de cómo interactúan las aplicaciones en un nivel granular, y Barlet explica que obtener visibilidad de los flujos de comunicación de las aplicaciones es fundamental para comprender cómo funciona la aplicación. Una vez establecida la visibilidad, los equipos de seguridad pueden comenzar a trazar límites alrededor de esas aplicaciones para segmentar la red.
“Si algo sucede, la realidad es que no es cuestión de si te vas a comprometer pero cuando. Cuando se produce ese compromiso, ¿qué sigue?” Barlet dijo.
Descubra cómo el mapa de dependencia de aplicaciones de Illumio ofrece visibilidad en todo su entorno de TI híbrido aquí.
3. Si no estás trabajando en Zero Trust ahora, estás detrás
Barlet continuó explicando los escollos para las empresas que están atrasadas en la adopción de Zero Trust.
“Tantas empresas hoy están abiertas de par en par”, dijo. “Una vez que un adversario se afianza, tiene una capacidad sin trabas para propagarse por toda su empresa”.
Los adversarios utilizan el movimiento lateral para propagarse de una parte del entorno a otra. Si esos entornos están cerrados entre sí, las brechas no se pueden propagar. Esto se logra con la segmentación, también llamada Segmentación de Confianza Cero.
“Con la segmentación, se ven todos estos diversos componentes y se dibuja una aplicación de anillo por aplicación”, dijo Barlet. “Entonces, una vez que eso se ve comprometido, puede contenerse y no puede infectar otras aplicaciones”.
4. Las iniciativas Zero Trust requieren colaboración multifuncional
Para alcanzar un nivel de adopción Zero Trust que las organizaciones puedan sentirse cómodas, es importante adoptar una mentalidad colaborativa. El Dr. Stanley comparó la mentalidad en la NASA con su enfoque similar al descubrimiento científico, donde la NASA adopta el mandato de compartir investigaciones y hallazgos con el mundo para el mejoramiento de la humanidad.
“Nosotros en el lado federal tenemos que empezar a pensar en cómo podemos trabajar juntos”, dijo el doctor Stanley. “Soy un firme creyente de que la ciberseguridad es un deporte de equipo”.
Caron continuó el sentimiento del Dr. Stanley, ilustrando las trampas del antiguo enfoque de colaboración en ciberseguridad.
“Tienes estos silos de excelencia, pero todos estos grupos necesitan trabajar juntos para lograr una verdadera Cero Confianza”, explicó Caron. “En los viejos tiempos, tenías un incidente y harías un round robin. Tú seguirías dando vueltas hasta que encontraras el problema”.
Pero según Barlet, “Ya no puedes hacer estas cosas manualmente. Es imposible mantenerse al día con la difusión de la tecnología, la difusión de datos y la difusión de nuestros usuarios. La tecnología es la única manera en que podemos esperar estar por delante o a la altura de esa curva y ese cambio.
5. La confianza cero es una estrategia, no una receta
A medida que continuaba el seminario web, los tres expertos exploraron otro lado importante de la estrategia gubernamental de ciberseguridad: el cumplimiento de normas.
Caron abrió la discusión haciendo una distinción clave entre cumplimiento y efectividad: “Esas son dos palabras muy diferentes con dos significados diferentes. El cumplimiento de normas puede significar algo como: 'Tengo un sistema, por lo que debo proporcionar autenticación'. El nombre de usuario y la contraseña podrían ser compatibles, pero no son efectivos”.
En otras palabras, el hecho de que algo sea un requisito para el cumplimiento de normas no significa que simultáneamente logre efectividad. Caron alienta a las organizaciones a ver Zero Trust como un esfuerzo para ser más efectivas además de lograr los requerimientos de cumplimiento de normas.
“El cumplimiento de normas entrará en vigor a medida que se haga efectivo”, dijo Caron. “Eso es lo grandioso que aplaudo de la estrategia Zero Trust y la orden ejecutiva que menciona Zero Trust. Nos está moviendo hacia ser más efectivos. Es una estrategia, no una receta”.
6. Tome pasos incrementales hacia la confianza cero
Para cerrar, Barlet y el Dr. Stanley hablaron sobre las mejores prácticas para la adopción de Zero Trust en las empresas.
Según Barlet, “Las organizaciones más efectivas lo toman paso a paso”.
Detalló que demasiadas agencias asumen que podrán pasar de cero a 100 por ciento de aplicación de Zero Trust. Entonces, cuando no logran el objetivo, la iniciativa pierde fuerza o se considera demasiado difícil.
“La realidad es que nunca vas a llegar al 100 por ciento”, dijo Gary. “En el mundo en el que vivimos, tratar de llegar al 100 por ciento de cualquier cosa es una meta inalcanzable”.
En cambio, Barlet alienta a las organizaciones a trabajar hacia la Cero Confianza en piezas. Al crear Zero Trust de manera incremental, las agencias pueden lograr ganancias rápidas y aumentar las defensas, la seguridad y la protección a lo largo del tiempo.
“Barlet estuvo absolutamente en el punto”, el Dr. Stanley entró. “Tienes que abordar todos los pilares de Zero Trust. Tiene que ser capaz de aprovechar la protección que ofrece para sus aplicaciones y datos, incluso mientras realiza esas mejoras incrementales en su infraestructura”.
Obtenga más información sobre cómo Illumio puede ayudar a proteger su agencia gubernamental aquí.
Póngase en contacto con nosotros hoy para una demostración y consulta gratuitas.