.png)
O progresso federal do Zero Trust deste ano fiscal: perguntas e respostas de especialistas
Com o encerramento do financiamento federal, é o momento perfeito para analisar as mudanças que vimos na segurança cibernética do governo no último ano fiscal. Muitas agências têm se concentrado em fortalecer sua postura de segurança cibernética. A Zero Trust está no centro desses esforços, passando de um conceito de nicho para uma estratégia central de segurança.
Recentemente, conversamos com CTO do setor público da Illumio, Gary Barlet, para discutir a evolução do Zero Trust no governo federal dos EUA.
Em nossa conversa, Gary compartilhou suas ideias sobre o estado da confiança zero no governo, a transformação federal da confiança zero deste ano e como a tecnologia de confiança zero, como a microssegmentação, está modernizando a segurança cibernética federal.
P: O governo federal dos EUA vem falando sobre Zero Trust há alguns anos. Como você viu as iniciativas de confiança zero das agências evoluírem no último ano?
R: Houve uma grande mudança na forma como as pessoas entendem nos últimos anos. Costumávamos passar muito tempo educando as pessoas sobre Confiança zero. Agora, mais pessoas sabem o que é. Estamos passando mais tempo discutindo como deve ser uma estratégia de confiança zero para as necessidades exclusivas de sua agência.
Uma coisa importante para a qual as pessoas estão acordando é que não existe um produto único de confiança zero. Zero Trust é uma estratégia que envolve o uso de várias tecnologias em conjunto.
Acho que ainda existe um pouco do que eu chamaria de fixação doentia na identidade. Muitas pessoas ainda acham que Zero Trust significa identidade, mas estou começando a ver isso mudando.
Acho que a maior mudança que estou vendo é a forma como as pessoas estão pensando em tecnologias de confiança zero. Muito disso se resume à exposição. As equipes de segurança podem não entender completamente a complexidade de suas redes. Talvez eles não percebam que desenvolvemos maneiras melhores e mais fáceis de garantir essa complexidade sob um modelo de confiança zero. Existem maneiras de obter vitórias rápidas no início da jornada de confiança zero que não estavam disponíveis há apenas alguns anos.
P: Em sua experiência, quais são os obstáculos que as agências enfrentam ao criar o Zero Trust?
R: A falta de recursos é um grande desafio no momento. As agências geralmente lidam com orçamentos apertados, pessoas insuficientes e lacunas de habilidades cibernéticas. É difícil para eles competir com empresas privadas que têm mais recursos e benefícios para atrair trabalhadores qualificados. Eu acho nova tecnologia de IA pode ajudar a aliviar alguns desses desafios de recursos.
Outro desafio é a mentalidade — e isso vale tanto para o setor público quanto para o privado. Às vezes, as agências buscam a perfeição e ficam presas. Orientações de confiança zero, como Modelo de maturidade de confiança zero da CISA (ZTMM) e o Arquitetura de referência Zero Trust do Departamento de Defesa apresenta o Zero Trust como um processo linear, passo a passo, no qual você pode verificar cada etapa. Mas essa não é a realidade de como o Zero Trust é feito. É um processo contínuo. Você precisa trabalhar em várias áreas ao mesmo tempo e aceitar que nunca será perfeito, apenas melhor.
Também é necessário mudar o pensamento de que uma violação significa falha ou que é apenas um problema da equipe de segurança. As violações vão acontecer. Muitas vezes, sua origem está fora do controle da equipe de segurança, como um e-mail de phishing. A segurança cibernética é responsabilidade de todos. É preciso um nível de conscientização em todo o governo.
P: Você tem chamado a atenção para a lacuna de habilidades cibernéticas no governo federal. Como as parcerias do setor público-privado, como as apoiadas pelo FedRAMP, ajudam a preencher essa lacuna?
R: As parcerias público-privadas têm um efeito multiplicador. Eles oferecem às agências a flexibilidade de que precisam para acompanhar as novas tecnologias, riscos e requisitos de conformidade.
Organizações privadas podem fazer parcerias com o governo como consultoras confiáveis. Eles trazem conhecimento especializado que muitas vezes seria impossível para as próprias equipes das agências aprenderem. É uma ótima maneira de os profissionais de segurança dos setores público e privado aprenderem uns com os outros e compartilharem ideias.
Se pudermos compartilhar informações, removeremos silos e melhoraremos a segurança cibernética juntos.
P: Que papel você vê a automação e a IA desempenharem na segurança cibernética do governo federal?
R: Como qualquer organização, automação de segurança e IA pode ajudar as equipes a trabalhar mais rápido e preencher a lacuna de habilidades. Mas o risco de usar essas ferramentas é amplificado no espaço governamental.
Ao construir e treinar Modelos de IA, existe o risco de expor informações confidenciais, incluindo dados de funcionários e cidadãos. A tecnologia é tão nova que ainda não descobrimos uma maneira de rastrear claramente de onde vêm os dados de treinamento ou como eles serão compartilhados publicamente.
Os modelos de IA também podem ter preconceitos embutidos. Os algoritmos de IA são criados por humanos e seus dados de treinamento geralmente vêm de informações humanas. Os humanos têm preconceitos, geralmente aqueles que não são óbvios para nós. Neste momento, é quase impossível identificar e corrigir as formas como a IA está enfrentando nossos preconceitos. Isso pode ser um grande problema no governo.
Os cidadãos são obrigados a confiar e compartilhar informações com organizações governamentais. Qualquer tipo de preconceito do governo pode causar danos aos cidadãos — e pode até ter implicações de vida ou morte.
.webp)
P: Olhando para o futuro, que impacto você vê que as tecnologias de confiança zero, como a microssegmentação, têm nas estratégias federais de segurança cibernética?
R: A Zero Trust já está acelerando a modernização da segurança cibernética para agências federais. Tecnologia como microsegmentação está ajudando as agências a deixarem de confiar apenas na prevenção e detecção de violações para contê-las.
Uma mudança positiva que estamos vendo é que mais pessoas estão reconhecendo que a segurança é o trabalho de todos.
A tecnologia de confiança zero exige melhor visibilidade da rede e mais colaboração entre as equipes. As pessoas estão se acostumando com melhores proteções de segurança. Agora é mais comum perguntar por que certas proteções não estão em vigor e não por que estão.
Mas, à medida que a cibersegurança se torna um tópico comum, acho que existe o risco de nos tornarmos complacentes. Até que o público exija melhor proteção, as medidas de segurança podem não avançar tão rápido quanto necessário. Espero que conversas melhores e mais frequentes sobre segurança cibernética ajudem a manter o ritmo que estamos vendo agora.
Crie Zero Trust em sua agência com Nuvem governamental da Illumio, agora autorizado pelo FedRAMP®. Saiba mais na Mercado FedRAMP.
.webp)
.webp)
