Reforzar la ciberresiliencia federal y demostrar el ROI

0:05 Raghu Nandakumara: Bienvenido a El Segmento: Un Podcast de Liderazgo de Confianza Cero. Soy su anfitrión, Raghu Nandakumara, Jefe de Soluciones Industriales en Illumio, una empresa de Segmentación de Confianza Cero. Hoy, me une Gerry Caron, Oficial Jefe de Información e Inspector General Adjunto del Departamento de Salud y Servicios Humanos de los Estados Unidos. Con más de 24 años de experiencia en tecnología de la información, Gerry comenzó su carrera en el Ejército de los Estados Unidos trabajando en puestos técnicos prácticos. Se incorporó al gobierno federal en el Departamento de Estado en 2003 como administrador de sistemas y ha ocupado cinco cargos diferentes en el departamento en las últimas dos décadas. El día de hoy, Gerry se une a nosotros para discutir los desafíos y el impulso de Zero Trust a nivel federal. Vamos a desentrañar cómo administrar el riesgo operacional, el papel del mapeo de datos en cualquier estrategia exitosa de Zero Trust y la demostración del ROI en sus inversiones de Zero Trust. Entonces, Gerry, ¿cómo terminó siendo el Oficial Jefe de Información en la Oficina del Inspector General del Departamento de Salud y Servicios Humanos?

01:12 Gerald Caron: Perdí una apuesta. No, mi viaje es un poco único. Soy del norte de Maine, en el bosque. Y me uní al Ejército. Después de siete años en el Ejército, me estacioné en el Pentágono, y decidí en su momento que ERA lo grande y ¿qué mejor lugar para estar que en Washington, DC? Terminé convirtiénme contratista allá por 2001 en el Departamento de Estado contestando teléfonos en una mesa de ayuda. A partir de ahí, me abría camino a través del trabajo duro a algunos puestos directivos y luego me convertí en miembro del servicio ejecutivo senior en mi último trabajo, para la administración de redes empresariales en el Departamento de Estado, donde básicamente me encargaba de toda la infraestructura: Active Directory, la red en el extranjero y a nivel nacional, seguridad perimetral, muchas cosas. Y me postulé a este trabajo aquí como CIO para la Oficina del Inspector General aquí en el HHS, para tratar de hacer algo diferente. Y entonces llevo aquí un año y medio en este punto, y ha sido muy interesante.

02:10 Gerald Caron: Mi tiempo en State, estuve involucrado en algunos eventos y asumí un papel de líder de remediación y desalojo en algunos de esos eventos, y eso me llevó a ser evangelista hace muchos años antes de que salieran órdenes ejecutivas y memos al respecto, en Zero Trust. Así que también he estado presidiendo algunos grupos de trabajo en esa área. Uno presidio tres veces con otros CIO y alguien del Instituto Nacional de Ciencia y Tecnología, en el NIST. Y también hago una organización sin fines de lucro, gran creyente en Zero Trust y también en la ciberseguridad.

02:48 Raghu Nandakumara: Y es exactamente por eso que estamos tan emocionados de tenerte hoy aquí. Así que justo antes de pasar específicamente a Zero Trust: estás en State, 110,000 usuarios que estás administrando, y ahora estás en HHS que es de aproximadamente 2,000 usuarios. Entonces es casi, si hago mis matemáticas correctamente, es aproximadamente el 2% de lo que estabas haciendo en State desde una perspectiva basada en el usuario. ¿Cuáles son los desafíos de seguridad únicos de ambos entornos?

03:18 Gerald Caron: Sí, no, esa es una buena pregunta. Entonces en State, manejé infraestructura central y cosas así, pero todas las diferentes oficinas, y es como aquí lo mismo en HHS, hay, no quiero decir autonomía necesariamente, pero tienen sus propias misiones únicas. Tienen sus propias necesidades de TI. Entonces, si bien proporcioné recursos centrales, en lo que respecta a la creación de redes y cosas así, tuve que acomodarme. Y en una gran organización federada como esa, a veces es difícil hacer que las cosas se muevan. Aquí en el IG, la diferencia es que poseemos y manejamos totalmente nuestra propia red y sistemas y cosas así. Estamos viendo las cosas como un servicio, estamos aprovechando el SOC-as-a-Service porque tengo pocos recursos de TI, pero como resultado somos capaces de ser más flexibles y ágiles porque soy el dueño de la responsabilidad de todo y está bastante centralizado. Mientras que en una organización grande, a veces es difícil hacer que las cosas se muevan mientras se trata de acomodar todas esas misiones específicas. Mientras que aquí estamos bastante centralizados. Pero aún podemos ser un buen ejemplo de escalabilidad en el arte de lo posible a través de nuestras implementaciones y poder compartirlo con una agencia más grande u otras también, porque somos capaces de movernos un poco más flexibles y “ágiles”. “Ágilmente”, ¿es eso una palabra?

04:43 Raghu Nandakumara: Está bien, está bien. Lo agregaremos al Oxford English Dictionary el próximo año. No hay problema. Pero hablas de Estado como muy... Debido a que es un gran enorme enorme de una organización, es, como dijiste, es mucha de la infraestructura o ejecutarla está federada. Entonces, ¿cómo se asegura la consistencia de la postura de seguridad en todos esos tipo de subagencias federadas, si ese es el término correcto, o subunidades? ¿Cómo se administra, supervisa, gobierna ese tipo de gestión?

05:15 Gerald Caron: Sí, una de las cosas que hicimos, y de hecho ejecutamos esta pequeña herramienta de mi tienda llamada iPost. Entonces tienes muchas herramientas, ¿verdad? Cada organización tiene muchas herramientas, pero lo que sucede es que las verás todas en silos. Y luego dices, bien, ¿cómo me va en parchear? Bien, lo que hicimos y lo que estamos haciendo aquí, y va a llevar... Es uno de nuestros, cómo llamo, uno de nuestros proyectos fundacionales que vamos a estar haciendo aquí, es integrar esos datos. Entonces, cuando estás descentralizado y las personas de abajo son responsables de la seguridad de TI, reunimos toda esa información, hicimos esas relaciones entre: “Muy bien, aquí está el objeto de computadora de Active Directory”. “Muy bien, aquí están todos los datos del parche para eso, aquí está toda la vulnerabilidad, aquí están todos los datos de escaneo, aquí están el software y las versiones, y el sistema operativo”. Ya sabes, “¿eso está en la lista aprobada, que está por aquí?” Y construimos este dashboard para ello... Así que básicamente...

06:11 Gerald Caron: E hicimos estos grupos —podría ser una oficina o una embajada o alguna ubicación o un grupo lógico de personas para un sistema— y juntamos todo eso y le pusimos esta metodología encima, y tuvimos esto lo que llamamos una “puntuación de riesgo operativo”. No hacía falta saber usar las herramientas, no teníamos que capacitar a la gente sobre cómo usar estas herramientas, no teníamos que dar acceso a estas herramientas, juntamos todos esos datos, los presentamos de una manera fácil de usar y les dijimos: “Muy bien, ven por la mañana, mirarás tu sitio y dirás: 'Oh, oye, mi puntuación de parche está muy alta y me ha dado... Me ha bajado a una D esta mañana cuando ayer era una B. ¿A qué debo prestarle atención? Oh, bien, aquí está exactamente... Necesito hacer este parche en estos sistemas”.

06:57 Gerald Caron: Entonces les presentamos esa información de esa manera. Ahora, vamos a hacer lo mismo aquí porque de nuevo, yo no —como CIO— necesito poder saber cuál es mi postura de riesgo operacional, ¿cómo nos va en general? Así que los estamos trayendo, vamos a integrar esas fuentes de datos que podamos aprovechar, averiguar dónde están nuestras brechas, poner esta metodología de puntuación por encima de eso y luego crear este panel para decir: “Muy bien, ¿cómo estamos? ¿Cómo nos va operacionalmente con la administración de nuestro riesgo, desde parches hasta vulnerabilidades, configuraciones y todo ese equipo al final de su vida útil y todo eso?” Entonces vamos a traer ese concepto, vamos a empezar a hacer eso. Ahora bien, por qué digo que ese es un proyecto fundamental para Zero Trust, piénsalo. Necesitamos hacer eso más en tiempo real más adelante, así que vamos a necesitar toda esa telemetría de todas esas herramientas para tomar esas decisiones en un tiempo más real. Ahora bien, diferentes herramientas vienen en diferentes ondas, por así decirlo, como una puede ser cada ocho horas, una puede ser cada cinco minutos, depende.

07:55 Gerald Caron: Así que mínimamente, si Raghu está entrando a mi red y tratando de acceder a esta fuente de datos, bien, ¿qué sé de él? Muy bien, se autenticó de esta manera, está en una computadora administrada, lo cual sé, entrando en la VPN, la red que estoy administrando porque está en la oficina. Bien, tengo suficiente información para decir que es bastante seguro dejarlo pasar por la puerta principal. Puede iniciar su trabajo mientras... Bien, déjame revisar estas cosas secundarias y tomar decisiones sobre eso. Entonces estoy haciendo una revisión constante, no solo te estoy dando acceso a la puerta, sino que estoy haciendo una verificación constante en tiempo real tanto como sea posible y las herramientas pueden acomodarse en la toma de decisiones basadas en cuáles son mis umbrales de riesgo.

08:39 Raghu Nandakumara: Por cierto, ¿sabes que este es un podcast de Zero Trust? No estoy seguro si estás al tanto.

08:42 Gerald Caron: Oh, ¿verdad?

08:44 Raghu Nandakumara: Como que naturalmente fuiste a Zero Trust, como... Creo que la recopilación de datos de los que habló y proporcionar esa visión consistente es una parte muy importante para llevar a todos a lo largo de ese viaje de seguridad y promulgar ese cambio cultural.

09:00 Gerald Caron: Y creo que volviendo a tu pregunta original sobre las diferencias en un descentralizado —y aunque sea centralizado— quiero ver los bolsillos, los bolsillos lógicos de grupos de cosas. Puede que tenga contratistas responsables del sistema, y puedo decir cómo les va, en base al contrato, porque tenemos que hacerlos responsables. Así que también hay una manera de hacerlo, en la forma en que agrupas las cosas, ideando esa agrupación, creo, y juntando esa telemetría para tomar esas decisiones y luego... Sí, solo naturalmente, cae en... Es una gran cosa fundacional para... A medida que avanzamos hacia Zero Trust. Porque vas a necesitar toda esa información para tomar esas decisiones.

09:35 Raghu Nandakumara: 100% porque es que la visibilidad completa end-to-end es la base sobre la que se toman todas sus decisiones de seguridad. Entonces, casi sin anunciarlo como un programa Zero Trust, el solo tenerlo en su lugar es un gran lugar para comenzar. Tienes algunas grandes analogías para Zero Trust —que involucran mantequilla de maní, que me encanta, y el cine. Lo cual como que me gusta el cine si significa que tengo un cubo de palomitas frente a mí. Entonces escuchemos tus dos, tu mantequilla de maní y cine, analogías Zero Trust.

10:10 Gerald Caron: Sí, históricamente hemos hecho el... Todo el mundo dice “fosa castillo”, me gusta decir el método “Tootsie Roll Pop” de ciberseguridad. Exterior duro y un centro pegajoso suave. Y creo que la otra cosa es, nosotros también... No importa si se trata de las joyas de la corona o el sándwich de mortadela, siempre hemos tratado de hacer ese enfoque untado de mantequilla de maní, asegurarnos de que la mantequilla de maní se esparza de manera uniforme. El hecho es que, si pierdo mi sándwich balogna, hay de sobra balogna y pan en el mundo, probablemente haré otro. ¿Estoy preocupado? Sí, porque es frustrante, tengo que ir a hacer uno nuevo. Pero mis joyas de la corona, si esas se pierden, eso es todo. No hay forma de recuperarlos, más o menos cosas.

10:48 Gerald Caron: Entonces pensar que eso es datos es, “¿Qué es lo más importante y en qué necesitamos concentrarnos?” Entonces, si me roban mi sándwich de mortadela, bien, ¿mis joyas de la corona siguen protegidas? Impedí el movimiento lateral. Eso es lo que quiero hacer. No quiero que se eleve a las joyas de la corona. Sí, me robaron mi sándwich de mortadela, me preocupa. Entonces la analogía sobre el cine es que vas al cine multiplex, compras un boleto por internet, sin embargo, y donde...

11:18 Gerald Caron: El ejemplo que tengo, y el cine al que solía ir —ya no voy allí, porque encontré uno nuevo genial— pero escanearon tu boleto en el vestíbulo. Entonces entras por la puerta principal, escanean tu boleto en el vestíbulo, ahora me permiten entrar al cine. Tengo acceso a las concesiones para conseguir mis palomitas de maíz, los baños, las cosas generales si se te permite ir en la puerta principal del cine. Pero también pude entrar a cualquier sala de cine. ¿Por qué? Porque nadie estaba revisando mi boleto en las puertas. Hay 20 teatros, no hay 20 personas en las puertas.

11:48 Gerald Caron: Así que básicamente, siendo una buena persona ética, voy a mi película. Pero claro, podrías estar ahí todo el día y cine hop todo lo que quisieras. Y luego sentado en tu asiento, porque no hay ujeadores comprobando y todo. Así que probablemente si la cámara se averiaba, probablemente tendrías que levantarte de la sala de cine e ir a buscar a alguien que se lo haga saber. Ese es históricamente el camino, el tipo de seguridad heredado. Tienen el perímetro, que es puerta de entrada, mete al lobby y luego estás dentro. Y puedo moverme lateralmente donde quiera, y la película en sí misma es esos datos, ¿verdad? Entonces podría entrar y, “Oye, el IMAX se muestra en cinco minutos, no he comprado un boleto para la tarifa. Yo solo voy a ir en la versión IMAX, es mucho mejor”.

12:32 Gerald Caron: Así que con Zero Trust, aquí es donde eso se vuelve diferente. Aún así, voy a escanear mi boleto en el vestíbulo para asegurarme de que se me permite entrar al cine, pero cuando me presente al cine y todavía tengo acceso a las palomitas de maíz y a los baños —estoy en ese perímetro, ese perímetro más grande. Ahora, me escanean mi boleto también cuando me presente en la puerta del cine. Ahora bien, si estaba tratando de entrar al IMAX y tenía un boleto regular y lo revisaron, vuelve a la taquilla y actualízate —así que haz algún tipo de autenticación escalonada y luego te dejaremos entrar— pero bien, me escanean mi boleto en la puerta. Sí, esto es válido. Se te permite entrar, me asignan un asiento. Y luego tienes al acomodadero entrar y revisar constantemente. “¿Está funcionando el proyector? ¿La pantalla está abajo? ¿Las luces están bajas? ¿Están las lucecitas en la pasarela, para que la gente no tropece ahí? ¿Están encendidas las señales de salida? ¿Todo funciona?”

13:29 Gerald Caron: Comprobando todos estos factores constantemente, para asegurarme de que los datos que estoy tratando de consumir, siendo esa película, todo está en su lugar correcto. Yo soy quien soy, estoy en donde se supone que debo estar, y todo está funcionando. Y alguien viene y hace ese chequeo constante. Y si se cumple algún umbral, el proyector se baja o algo así, boom, automáticamente, se va a llevar a cabo la automatización y hacer lo que sea necesario hacer. Entonces esa es una especie de analogía que uso para ello.

13:58 Raghu Nandakumara: Impresionante, ahí tienes. Así conectamos mantequilla de maní, películas, cine y Zero Trust. ¿Cuál fue el... Claramente te apasiona Zero Trust y ves el valor que tiene, ¿verdad? Entonces, ¿cómo está impulsando la adopción de Zero Trust en la OIG? ¿Cuál es tu enfoque ahí?

14:18 Gerald Caron: Cuando entré por primera vez, nadie sabía de Zero Trust. Hay esta mistificación y, sin ofender a ningún proveedor, pero ahora hay tantas definiciones diferentes. Simplemente ha sido un término sobreutilizado donde la gente se desconchura cuando lo escucha. Pero en la verdadera esencia de Zero Trust, si lo aprendiste de Forrester, o escuchaste a John Kindervag que es el padre de Zero Trust y todo. Regresar a esos cinco principios, entender esos cinco principios. Entonces noté algunas formas en que se estaba haciendo la ciberseguridad y todo, y la presenté y de hecho educé a mi personal. Entonces trajeron algunos vendedores en el arte de lo posible, y fue como llevar un caballo al agua y ellos simplemente bebieron. “Oye, esto resuelve algunos de nuestros problemas si hicimos algo como esto”, o “Oh hombre, esto va a encubrir algunas cosas. Tendremos mucha más visibilidad”.

15:05 Gerald Caron: Y entonces lo que también hicimos es que me robaron este gráfico al DoD, y está en la estrategia de Confianza Cero del DoD que dieron a conocer públicamente hace unas semanas. Hay un montón de capacidades funcionales bajo los pilares: están los cinco pilares del usuario de datos de red, pero también tienen orquestación y análisis, que también he estado usando durante más de un año. Y yo dije, si no gasté otro centavo, ¿cómo estamos en estas cosas? Y se autovaloraron.

15:34 Gerald Caron: También se lo di a cada uno de los vendedores en los que ya hemos invertido. Dijo: “Si no gasto otro centavo más en tu tecnología, lo que has cubierto... Ya sea que lo esté haciendo o no, ¿qué puedo cubrir?” Entonces supe, bien, estamos haciendo estas cosas, tenemos algo, claro, nos vendría bien un poco de ayuda en esta cosa, y... Oh hombre. Tenemos algunas lagunas. Entonces con eso, creó cinco proyectos fundacionales. Miramos lo que odio. Las VPN me han sido descritas como una forma maliciosa y segura de entregar una carga útil maliciosa. Me gustaría no usar VPN de una manera en la que no quiera depender de mi red local. Qué ineficiente es para ti conectarte a uno de mis data centers, solo para volver a donde estamos poniendo todo: la nube e internet, ahí es donde van todos nuestros recursos. Eso es tan ineficiente para hacer ese boomerang, entonces ¿por qué no puedo enviarte más directo? Entonces tenemos TIC 3.0, la Conexión a Internet de confianza, que tiene más flexibilidad. Hay soluciones ahí fuera que te dan esa telemetría en cuanto a seguridad que necesitas, pero estoy enviando a mi gente más directamente. También mapeo de datos, mapeo de datos, ¿qué estoy tratando de proteger al final del día con Zero Trust?

16:38 Gerald Caron: Estoy tratando de proteger los datos. Ese es el oro. Mucha gente dirá: “Hablen de identidad”. Y sabe qué, la identidad es absolutamente importante, porque cuando hablamos de Zero Trust, son los datos correctos, las personas adecuadas en el momento adecuado, pero los datos tienen que tener su integridad. Y si fueras analista de ciberseguridad y me comprometieron, voy a adivinar que tus dos primeras preguntas para mí van a ser: “¿A qué tuve acceso? ¿Y hay exfil?” Eso no se trata de mí; estás preguntando por los datos, de verdad. Pero quién tiene acceso a esos datos es muy importante. Pero el dato es lo que... Entonces vamos a hacer mapeo de datos, y eso no es mapeo de red, esto es datos, tomar una aplicación, a qué está conectada, dónde está compartiendo los datos, ¿qué es compartir datos con ella? Y luego estás aprendiendo dónde residen los datos, viven y hacia dónde fluyen porque al final del día, llegué a ser capaz de basar eso así sé cómo se ve lo normal. Y luego cuando ocurre lo anormal, tengo que tomar una acción.

17:36 Gerald Caron: Así que vamos a hacer mapeo de datos; también estamos haciendo integración de esas herramientas. Como ya hablé de eso, así podemos obtener un perfil de riesgo operativo de todo el entorno y madurar nuestra gestión de identidad para asegurarnos de que tenemos una verdadera identidad autoritaria incluso... Porque lo que pasa allá, obtenemos nuevas soluciones en la nube, tenemos aplicaciones, tenemos Directorios Activos. Lo que sucede es ¿cuántos IDs digitales tienes? Incluso en una agencia pequeña, hay tantas identificaciones digitales porque cada una de ellas tiene una identidad digital, así que tenemos que juntar esas para que parezcan una fuente de identidad autorizada, y luego poner un poco de automatización y gobierno sobre eso, así que también estamos buscando madurar eso. Esos son nuestros cinco proyectos fundacionales, que creo que, para nuestras necesidades, son grandes peldaño hacia las próximas áreas de madurez.

18:32 Raghu Nandakumara: Ese Gerry, es una descripción tan increíble de cómo has construido ese plan y el verdadero detalle que entra en él, la estrategia general, el tipo de pasos tácticos que estás usando para ejecutar contra esa estrategia. Supongo que la única pregunta que tengo alrededor de eso es, ¿cómo estás midiendo el progreso? ¿Cómo sabes que estás en el camino correcto o que necesitas corregir el rumbo? ¿Cómo está incorporando ese bucle de retroalimentación en la ejecución?

19:00 Gerald Caron: Así que hemos establecido hitos a los que vamos a estar siguiendo con criterios de éxito en ciertas etapas. Y una de las cosas que me gustaría hacer también es que no voy a por, y por eso digo usar el enfoque para untar mantequilla de maní antes, y creo que cumplimos con FISMA y tenemos el NIST 800-53, los controles de seguridad y cosas que. Y están muy enfocados en el cumplimiento o así es como se interpretan. No necesariamente pretendieron ser así, pero así es como se interpretan. Me gusta usar el ejemplo y es muy simplificado, pero es un ejemplo que uso es, “Bien, el control puede decir que debes proporcionar autenticación”. Puedo decir: “Muy bien, nombre de usuario y contraseña. He proporcionado autenticación. Estoy conforme”.

19:42 Raghu Nandakumara: Sí. Si.

19:43 Gerald Caron: ¿Pero soy efectivo?

19:46 Raghu Nandakumara: Sí.

19:47 Gerald Caron: No, no lo soy.

19:50 Raghu Nandakumara: Estoy diciendo que sí porque la pregunta que estás haciendo es correcta.

19:52 Gerald Caron: Sí. No. Si. No. No. La eficacia y el cumplimiento de normas son dos cosas diferentes. Eso ha sido lo mío que siempre he dicho.

20:00 Raghu Nandakumara: Concurro...

20:00 Gerald Caron: ¿Cómo se mide la efectividad? Sería capaz de entrar y hacer algún tipo de prueba de bolígrafo o prueba tipo equipo azul o tipo equipo morado de forma incremental. ¿Es efectivo lo que pongo en marcha? ¿Está cumpliendo, es cumplir con esos principios, tipo de cosas? Así que quiero construir eso, tengo que averiguar cómo hacer eso en cuanto a recursos. Pero espero que los aspectos de SOC-as-a-Service puedan ayudarnos con eso. Pero quiero poder medir esa efectividad periódicamente. Así que tenemos esos hitos incorporados para ciertos hitos incrementales en nuestro viaje. Y luego quiero construir esa verificación de efectividad para asegurarme de que hacemos ese acto de prueba. Muy bien, ¿esto cumplía con ese principio?

20:39 Gerald Caron: ¿Son los datos correctos, el usuario adecuado en el momento adecuado? ¿Eres capaz de moverte lateralmente, tipo de cosas? Así que también estamos esperando construir esas cosas en eso de manera incremental. No esperes al final y di: “Muy bien, volvamos al principio” — porque no quiero rediseñar. Entonces eso también fue muy importante en nuestros pilares. Porque esto es una arquitectura. Entonces algunas personas hablarán de: “Muy bien, vamos a concentrarnos únicamente en el pilar de identidad y lograr que eso se haga”. “Bien, ahora vamos a pasar al siguiente pilar”. Yo, me preocupero cuando escucho eso porque esta es una arquitectura, y siempre explico la arquitectura empresarial. Soy un gran fan de la arquitectura empresarial. Algunas personas se burlan de ello a veces. Hay cuatro áreas principales.

21:19 Gerald Caron: Ahí está el negocio, que son las finanzas y la misión impulsa las cosas así. Luego está lo técnico que es la implementación. ¿Cómo lo haces? Pero ahí está la seguridad, cómo estás asegurando. Y los datos - me concentro en esas cuatro cosas. Y entonces al hacer eso, quiero asegurarme de que, sí, podemos estar haciendo más trabajo en un pilar que en el otro, pero sabemos cuáles son esas relaciones entre el pilar, no vamos a retroceder y rediseñar porque algo no funcionó porque llegué tan lejos en ese otro pilar, tipo de cosas. Entonces, conocer esas relaciones desde el primer momento, cómo esas tienen que interactuar, cuáles deben ser las capacidades entre ellas es algo con lo que también soy muy cauteloso.

22:00 Raghu Nandakumara: Sí. Eso creo que es un punto muy importante porque vemos mucho en los medios de seguridad, publicaciones de proveedores, marketing de proveedores sobre cómo hacer un control en particular, enfocarse en un control en particular es lo más importante que debe hacer cuando adopta Zero Trust. ¿Correcto? Pero acertadamente dijiste que necesitas realmente mirar holísticamente a través de tu conjunto de control y hacer que esas cosas se muevan juntas en paralelo. Porque el poder es casi la combinación de esos controles en oposición a una cosa en particular. Porque de lo contrario estás poco demasiado girando.

22:37 Gerald Caron: Sí. Y cuando hablo de cuál es mi enfoque hacia Zero Trust, simplificarlo de nuevo es, primero que nada lo que estoy tratando de proteger son los datos. Muy bien, entonces, ¿qué hago con los datos? Primero, necesito saber, como dije, mapa de datos. Pero entonces quiero construir el microsegmento. Quiero microsegmentar eso, incluso dentro de su propia base de datos. No todos los datos se crean de la misma manera solo porque están en su propia base de datos. Entonces, ¿qué puedo hacer en torno a los datos? Y entonces mucha gente dirá, todo bien dispositivos, tenemos que hacer dispositivos. No, en realidad ¿qué facilita el acceso a los datos? Aplicaciones. Entonces, ¿qué hacemos en torno a las aplicaciones? Ahora, ¿las aplicaciones necesitan en qué vivir? Necesitan un dispositivo para vivir. Tienen que vivir en alguna parte. Muy bien, y no voy a administrar todos los dispositivos. ¿Verdad?

23:20 Gerald Caron: Tengo sitios web públicos que pueden necesitar autenticación. No voy a empezar a administrar todos los dispositivos. Así que hay diferentes niveles de riesgo para diferentes cosas dentro de estas categorías. Y entonces, ¿los dispositivos necesitan qué hablar? Necesitan redes. ¿Qué hago en torno a las redes? ¿Lo estoy manejando o no? ¿Qué puedo hacer que esté bajo mi control? Y luego por supuesto, los usuarios. Muy bien, ¿qué hago en torno a la administración de identidades para asegurarme de que los usuarios correctos tengan acceso a los datos correctos en el momento adecuado? Entonces trabajo de adentro hacia afuera de esa manera cuando hablo de esto. Entonces empiezo con los datos. Eso es lo que estoy tratando de hacer al final del día y luego trabajar mi camino de regreso a través de todos esos.

23:57 Raghu Nandakumara: Esa es realmente la manera y el camino correctos, ya sea una especie de John [Kindervag] expresando cómo se impulsa la madurez de Zero Trust, así es en gran medida como se le ve una especie de estrategia Zero Trust que se está ejecutando. Como una visión muy holística. Porque de lo contrario, lo que vemos es, creo que simplemente retrocediendo bien, es que está contaminado por el marketing de proveedores diciendo: “Esto es lo que tienes que hacer. Debes comenzar con este pilar y conseguir ese perfecto...”

24:23 Gerald Caron: “Porque quiero que compres lo mío”.

24:25 Raghu Nandakumara: Exactamente. Derecha. Exactamente. Entonces quiero volver. Hablaba de una especie de arquitectura empresarial. Y hablaste...

24:31 Gerald Caron: Pero voy a decir algo antes de entrar en eso. Voy a decir esto. Sin embargo, no podemos hacerlo sin los vendedores.

24:37 Raghu Nandakumara: Sí, eso es cierto.

24:38 Gerald Caron: Ellos tienen las tecnologías, están construyendo las tecnologías. Pero lo que estamos tratando de hacer a través del grupo de trabajo, a través de ATARC porque tenemos... Estamos entrando en la fase dos. Le dimos a cada uno su plataforma para su cosa específica. Pero en la fase dos estamos diciendo que queremos formar equipo, y queremos verlo de extremo a extremo a través de todos los pilares. Te haces equipo con quien necesites. Si le falta ese pilar o esa funcionalidad, necesitamos verlo. Tenemos que verlo funcionar hasta el final. No nos muestres diapositivas, no nos envíes lanzamientos de ventas, queremos... Ahora aquí están tus casos de uso, muéstranos. Entonces eso es lo que estamos tratando de impulsar por ahora.

25:12 Raghu Nandakumara: Pero creo que solo hablando de ese tipo de solución, cuál es esa solución completa. Carnegie Mellon tuvo ese Día de la Industria de la Confianza Cero a principios de septiembre, donde nuevamente, mucha clase de academia se integró con el gobierno realmente impulsando ese enfoque integrado de Zero Trust. Y eso fue realmente refrescante de ver, y estoy entusiasmado con los resultados de eso. Quiero volver a algo que dijiste sobre la arquitectura empresarial. Y una de las facetas clave de eso es alinearse con la misión, alinearse con los objetivos del negocio. Entonces, cómo, en su rol, cómo ha alineado Zero Trust o el programa Zero Trust, la estrategia Zero Trust con el tipo de razón de ser general de la OIG.

25:53 Gerald Caron: Me alegra que hayas hecho esta pregunta porque también hablo de esto. Así que no veo a Zero Trust como únicamente un esfuerzo de ciberseguridad o un esfuerzo de TI. Ahí está el negocio del IG y a veces hasta les voy a recordar a mis ingenieros que la OIG no fue puesta en esta tierra para hacer TI. Esa no es la misión principal. Es el habilitador. Entonces diciendo que en realidad hicimos una presentación sobre Zero Trust a toda la comunidad de usuarios. Ahora, algo así como hacerles saber que las cosas van a cambiar. A continuación te presentamos algunos beneficios que te vamos a traer. Te vamos a mandar más direcciones. Por lo tanto, mejor performance, mejor interoperabilidad, inicio de sesión único. Algunas de esas cosas que vamos a introducir que hacen que los usuarios sean mucho más felices. Pero también cuál es el objetivo. La pregunta que vamos a estar haciéndonos aún más es: “¿Cómo quieres trabajar?”

26:43 Gerald Caron: “¿Necesitas ser más móvil? ¿Te faltan cosas? ¿Qué funciona bien, qué no? ¿Por qué?” Porque podemos incorporar esos requerimientos porque estamos modernizando. En esencia, estamos trayendo nuevas tecnologías, estamos trayendo nuevas capacidades, estamos modernizando. Entonces, al incluir sus requerimientos, hay mucha menos fricción cuando implementamos porque escuchamos, y vamos a hacerlo. “Además, ¿qué estoy sacando de ello? ¿A qué necesita acceso? ¿Cuándo necesita acceder a él?” Así que ahora estoy obteniendo validación en mi inventario de fuentes de datos. Estoy construyendo personas porque sé cómo la gente quiere trabajar o cómo trabaja, qué dispositivos usan más. ¿Vienen de casa y redes que administro, o vienen en la oficina? Estoy aprendiendo sobre un montón de cosas. Ahora estamos empezando a entender cosas que también podemos alimentar a nuestra Zero Trust, porque así es como quieren trabajar, esta es la misión que tienen que hacer, estas son las fuentes de datos en las que confían.

27:38 Gerald Caron: ¿Cuáles son esas fuentes de datos? Tienen PII, ¿no tienen PII? ¿Están disponibles para el público? ¿No están disponibles para el público? Y realmente entendiendo que las personas en las diferentes oficinas lo mencionan a veces o preguntan al respecto. “¿Qué va a verse eso en un entorno de Confianza Cero?”, tipo de cosas. Y es bueno, porque ahora los tenemos pensando: “Sí, va a... Las cosas van a cambiar, pero voy a tener acceso a mis cosas. Voy a tener integridad y a lo que estoy accediendo estas cosas, estoy trabajando desde casa”. “Oh hombre, no tengo que enganchar esa VPN. Voy directo a lo mío”. Soy yo, como CIO, sigo recibiendo mi telemetría de seguridad. Nosotros les estamos diciendo cuáles son los beneficios. Y luego esa comunicación de lo que necesitan, cuándo lo necesitan, cómo quieren trabajar y construir eso, y convertirlo más en un esfuerzo de modernización en lugar de este esfuerzo de TI de seguridad atornillada.

28:26 Raghu Nandakumara: Sí, 100%. Ese es ese tipo proactivo de, “Así es como te va a beneficiar”. Y “¿cómo te gustaría trabajar?” o “¿qué podrías hacer?” Esas preguntas realmente geniales, y habilitar eso es increíble. Pero también lo es, el ROI de las inversiones en seguridad es uno de los grandes intangibles. Y volviendo a decir: “Sí, podríamos hacer una prueba de penetración antes y después, o podríamos hacer un modelo de amenaza antes y después y podemos decir eso, bien, ahora hemos remediado esta amenaza y así sucesivamente”. Pero cuando dicen bien, “lo entiendo, pero ¿qué estoy recuperando?” ¿Cómo demuestras el ROI?

29:00 Gerald Caron: Acabamos de tener esa pregunta el otro día de mi jefe de hecho. Es como, “Muy bien, estás pidiendo este dinero, obtienes este dinero. ¿Estamos haciendo algún ahorro o algo así?” Odio decir ahorros. Siempre es evitación de costos, porque nunca voy a pedir un presupuesto reducido como resultado de algo. Me lo voy a pasar en otro sitio. Pero digo evitación de costos. Eso me hizo pensar. Y fue gracioso porque la semana o las dos semanas anteriores le pregunté a alguien de nuestro equipo de seguridad: “Oye, ¿cuál es el costo de un incidente? ¿Cuánto cuesta un incidente?” Entonces, sí, estoy invirtiendo en seguridad, y es una inversión y podría estar cerrando algunas cosas, pero aun así voy a gastarlo en las cosas nuevas que estoy implementando. Pero lo que tenemos ahora mismo, y tengo que poner algunas cifras en dólares en su contra es, bien, hay eventos pequeños, medianos y críticos.

29:50 Gerald Caron: Esto es típicamente lo que se necesita en horas de trabajo del equipo de operaciones, del equipo de seguridad, para remediar esas cosas. El impacto y pérdida de stop work y cosas para la misión y cosas por el estilo. Así que estamos armando ese gráfico para mostrarnos si algo sucede — y algo va a suceder en algún nivel ya sea un usuario no malicioso, lo que podría ser un pequeño incidente o si dices que me llamas en la mesa de ayuda y te doy acceso a mi PC y empiezas a hacer lo que sea o ransomware o cualquier cosa. Aquí está el costo de un incidente. Ahora, estás invirtiendo... Estoy pidiendo invertir tanto comparado con eso, donde no se está haciendo nada. No estamos apoyando la misión, solo porque estamos limpiando cualquier lío que haya salido. De hecho, estamos armando ese gráfico ahora mismo para contar esa historia porque hemos pasado por algunos incidentes y una persona con la que estoy trabajando que está en nuestra tienda CISO ahora también viene del estado.

30:49 Gerald Caron: Así que tenemos una buena idea. Los recursos que toma, los efectos posteriores, la interrupción al trabajo, los días, las noches, la gente, trayendo a terceros, especialidades, dependiendo de lo que la tecnología comprometida sea, pericia de eso, y luego está el residual. Ese es el evento, pero ¿qué haces para prevenirlo después? Así que siempre hay alguna estrategia a largo plazo para —ojalá, no se limite a ponerla en banda— ojalá armar una estrategia. Ahora hay un costo para hacer eso. Vamos a adelantarnos a eso. Invierte en esto ahora porque probablemente te va a costar más.

31:24 Raghu Nandakumara: Exactamente.

31:25 Gerald Caron: Si este evento ocurre y aquí está la cifra del dólar en contra de eso.

31:29 Raghu Nandakumara: Exactamente.

31:30 Gerald Caron: Y digamos que es solo uno. Si no hacemos esto, es posible que tengas múltiplos de este tipo de cosas. Así que eso es lo que estamos armando en este momento. Es gracioso que preguntes.

31:39 Raghu Nandakumara: Sí. O sea, si tan solo no se necesitaba un incidente para actuar como una función de forzamiento.

31:42 Gerald Caron: Sí. Y desafortunadamente eso es lo que he visto en algunos lugares. Es como si se pueda advertir... Es un niño pequeño que lloraba lobo, tipo de cosa. El lobo en realidad aparece y ¿adivina qué? Oh, sí, deberíamos hacer algo al respecto.

31:54 Raghu Nandakumara: Sí. Tan cierto. Quiero preguntarte sobre justo afuera de la OIG. Y vemos eso, digamos que el sector de la salud está particularmente apuntado en estos días. Y con demasiada frecuencia, esos, como un proveedor de atención médica, se ven obligados esencialmente a dejar de atender a los pacientes y, a veces, dejar de brindar atención de emergencia, cuidados críticos, porque el ataque esencialmente ha quitado el acceso a sus sistemas críticos de TI. ¿Qué es lo que va a la fuerza, y solo preguntarle sobre la atención médica por para quién trabaja, qué va a forzar un mayor enfoque en la resiliencia para los proveedores de atención médica para que esto no sea un enjuague y repita?

32:39 Gerald Caron: Sí. Y esto es solo una opinión, creo que todavía hay algunos sistemas heredados que soportan algunas de estas entidades de las que estás hablando. Y creo que lo que es, tiene que ser abrazado por la organización. No puede ser solo la gente de TI. Tiene que ser algo que se entienda y si tiene que ser la gente de TI la que planteó esto. He leído muchos artículos donde en negocios privados como algunos de ellos a los que te refieres, que hay recomendaciones el CIO debería estar sentado en la junta directiva o el CISO, ya sea o, para que ellos... porque cuando estás manejando el riesgo, no es solo una cosa de TI, también es una cuestión de misión. ¿Cuáles son los aspectos políticos del riesgo y las decisiones que está tomando? Y entonces eso también informa el riesgo de TI. Pero creo que tiene que entenderse bien que esto es, volviendo al ROI, por eso esta es una buena inversión. Esto va a ayudar a mitigar este riesgo.

33:34 Gerald Caron: Así que contar esa historia y convertirla en una prioridad organizativa. Y eso es lo que pasa con la orden ejecutiva que salió el año pasado, “Fortalecer la Ciberseguridad TI de la Nación”. Y Zero Trust fue un gran aspecto de eso que luego resultó en OMB Memo 22-09. Fue abrazada en los niveles más altos. Ahora, no solo lo están convirtiendo en una cosa de TI, lo están haciendo responsabilidad de la agencia. Debes hacer estas cosas. Entonces todos se suben a bordo. Ahora, se prioriza al más alto nivel. Eso podría ser un poco diferente en el sector privado, cómo se hace para hacer eso.

34:11 Gerald Caron: El gobierno federal en este sentido, siendo transparente en ese sentido y demostrando que esto es una prioridad para el gobierno federal, algunos también lo están viendo yo y diciendo: “Sabes, el gobierno federal está un poco por delante de nosotros en eso”. Pero hay algunos en lo financiero que nos esperan en cuanto a tecnología y cosas así. Pero creo que es realmente, necesita ser entendido, abrazado como no una cosa de TI. Esto es algo cultural para una organización, y necesita ser comunicado.

34:41 Raghu Nandakumara: Y como usted dice, vuelve a enfatizar lo que ahora es solo un tema común de que la seguridad debe ser una prioridad a nivel de la junta. No puede ser solo el objetivo de la organización de seguridad o de la organización de TI. Y hablaste de la orden ejecutiva, del Memo OMB y esas iniciativas Zero Trust a las que estás muy cerca. ¿Qué tan seguro está de que van a entregar el cambio de cultura, el cambio de postura y la mejora general de la resiliencia cibernética que al menos esperan?

35:16 Gerald Caron: Sí, creo que... Soy el tipo de persona que está un paso adelante es mejor que no dar un paso en absoluto. Creo que en diferentes agencias, oficinas, y cosas así, todos estamos en cosas diferentes. Todos hemos hecho diferentes inversiones de las cosas. Todos estamos en diferentes niveles de madurez. Pero creo que todo el mundo se ha aferrado a esto. Creo que la gente está empezando a tener un entendimiento. Creo que todavía hay algo de educación, pero todos, creo que por lo que veo, se están moviendo en la dirección correcta en función de dónde están.

35:44 Gerald Caron: Ahora bien, ¿vamos a llegar todos al mismo lugar a la misma hora, o todos vamos a vernos igual al final del día? No — pero para mí, se reduce a... volver a esos cinco principios. ¿Estoy abordando esos cinco principios al final del día? No importa cómo lo hice, ¿puedo abordar esos cinco principios y estoy siendo eficaz en mi ciberseguridad? ¿Puedo probar eso? Sí. ¿Sí o no? Ahora, como dije, todos vamos a vernos diferentes al final del día. Mientras estemos cumpliendo con esos cinco principios, creo que es muy importante. Todo el mundo se mueve en la dirección correcta. Simplemente creo que hay algunas luchas en algunas áreas y siempre va a haber, pero creo que hay un buen movimiento hacia adelante, y como dije, si estás dando un pequeño paso adelante, eso es mejor que simplemente estar ahí parado sin hacer nada.

36:26 Raghu Nandakumara: Impresionante. Y así solo hablando de pequeños pasos o incluso pasos gigantes, ¿qué es lo que más te emociona del futuro de la adopción de Zero Trust y Zero Trust, ya sea en la Fed o a nivel mundial?

36:42 Gerald Caron: ¿Qué me emociona? Bueno, lo que me asusta es, tuvimos una discusión con un analista el otro día sobre computación cuántica. Y eso viene antes de lo que pensamos. Y no va a ser la implementación de soluciones que la computación cuántica pueda ayudar a habilitar, pero también son actores maliciosos que aprovechan la computación cuántica y miran la seguridad de esta manera diferente a cumplir con las normas, haciendo las casillas de verificación. No mirarlo holísticamente, no estar más en silos, mirar al otro lado, entender lo que realmente poseo, lo que es más importante para mí y cómo estoy protegiendo eso creo que es muy importante. Eso es lo que me emociona, que sea romper esas barreras. Es un enfoque holístico. Es acercamiento hacia la efectividad, como dije y ser más efectivo. Porque cosas como la computación cuántica me asustan muchísimo.

37:41 Gerald Caron: Creo que estábamos hablando, nos lo estaba diciendo en 10 años, va a ser bastante mainstream de alguna manera. Y eso da mucho miedo. Ahora bien, creo que ha habido una orden ejecutiva que salió sobre eso también, donde creo que nos pusimos a bajar de la... Tenemos que ponernos en movimiento para protegernos contra eso. Entonces tenemos que ponernos en marcha con estas cosas que nos hacen más ciberefectivos.

38:05 Raghu Nandakumara: Impresionante. Quiero decir, Gerry acabamos de cubrir tanto hoy, y más que nada, creo que tenemos una visión general realmente genial sobre cómo has manejado realmente un programa Zero Trust, y estás pasando por todos esos detalles y la forma muy organizada en la que te estás acercando a él, creo que es solo polvo de oro para los practicantes que están a punto de embarcarse o que ya pueden haber comenzado su viaje Zero Trust. Así que muchas gracias por tu tiempo de hoy. Aprecie tomarse un tiempo de su apretada agenda para pasar este tiempo conversando con nosotros. Y si, gracias.

38:41 Gerald Caron: Sí, gracias.

38:42 Raghu Nandakumara: Apreciarlo.

38:43 Gerald Caron: Gracias por tenerme, y es genial conocerte y realmente aprecio el tiempo.

38:51 Raghu Nandakumara: Gracias por sintonizar el episodio de esta semana de The Segment. Para obtener aún más información y recursos de Zero Trust, consulte nuestro sitio web en illumio.com. También podrías conectarte con nosotros en LinkedIn y Twitter en Illumio. Y si te gustó la conversación de hoy, puedes encontrar nuestros otros episodios dondequiera que consigas tus podcasts. Soy tu anfitrión Raghu Nandakumara, y volveremos pronto.