Las 3 verdades de confianza cero de John Kindervag para agencias gubernamentales

En los últimos años, el sector gubernamental de EE. UU. recibió una multitud de orientaciones sobre Zero Trust , desde el Modelo de Madurez de Zero Trust de CISA hasta EO 14028 y NIST SP 800-207. Puede parecer una cantidad abrumadora de información para clasificar o saber por dónde empezar en su agencia.  

Es por eso que el Federal Tech Podcast se sentó en un episodio reciente con John Kindervag, el padrino y creador de Zero Trust y evangelista jefe de Illumio, para comprender las tres verdades clave sobre Zero Trust. Esta información es vital para ayudar a las agencias a encontrar y mantener en el camino correcto mientras cumplen con los mandatos de Zero Trust.

1. No puedes hacer Zero Trust de una vez

Según Kindervag, uno de los principales conceptos erróneos sobre Zero Trust, especialmente en el gobierno federal, es que se puede lograr Zero Trust de una sola vez y dentro de un periodo de tiempo específico.  

Sin embargo, eso está lejos de ser cómo diseñó la estrategia.

"Es un viaje que emprendes, y estás en él para siempre", explicó Kindervag.  

Comenzar Zero Trust ahora es esencial para que las agencias desarrollen resiliencia de la misión. Pero saber cuándo su agencia alcanzará la confianza cero total es imposible porque es un esfuerzo continuo. Kindervag dijo que las preguntas más importantes que las agencias deberían hacer es qué están protegiendo, no cuándo.

"No me preocupo tanto por el tiempo, sino por implementar los incentivos y programas adecuados", dijo Kindervag.  

Recomienda que las agencias comiencen por obtener una visibilidad completa e integral de su entorno. Con esta información, pueden ver dónde se encuentra el riesgo , priorizar la seguridad de las áreas que están en mayor riesgo y más críticas para la misión, y luego trabajar a través de una superficie de protección a la vez: "Construyes Zero Trust en trozos", dijo.

2. La confianza cero no es difícil

Kindervag creó la estrategia de seguridad Zero Trust para resonar en toda una organización, desde el liderazgo de alto nivel hasta los profesionales de la seguridad. Con este fin, la estrategia fue diseñada para ser fácil de entender e implementar.

"¿Por qué toda esta gente hace que Zero Trust parezca tan difícil?", bromeó. "Es incremental. Lo haces una superficie de protección a la vez".

Al hacer que la aplicación sea un proceso iterativo, los equipos de seguridad pueden centrar en un sistema, aplicación o recurso a la vez, desde el más crítico hasta el menos. Un beneficio importante de esto es que causa poca o ninguna interrupción en la misión.

"Implementas controles de confianza cero una superficie de protección tras otra, y eso hace que no sea disruptivo", explicó Kindervag. "Lo máximo que puedes arruinar es una superficie protectora. No se puede arruinar toda la red o todo el entorno".

3. Implementar Zero Trust de forma proactiva

La confianza cero se basa en el hecho de que las infracciones son inevitables; Refleja la estrategia de seguridad de mejores prácticas para la superficie de ataque moderna.  

"La superficie de ataque es como el universo: se expande constantemente", dijo Kindervag.

Las herramientas de seguridad tradicionales de prevención y detección se crearon para una época en la que los entornos informáticos eran mucho más pequeños, más simples y todo dentro de un solo perímetro. Hoy en día, las redes son complejas, distribuidas y sin perímetro.  

Una arquitectura Zero Trust ayuda a las agencias a gestionar el mayor riesgo resultante de esta evolución. "Zero Trust invierte el problema, reduciéndolo a algo pequeño y fácilmente conocido llamado superficie de protección", explicó Kindervag.

Si bien las herramientas de prevención y detección siguen siendo importantes, no son suficientes para proteger contra las amenazas cibernéticas en constante evolución. Es vital que las agencias construyan una seguridad proactiva tanto para el exterior como para el interior de la red. Las tecnologías de Zero Trust, incluidas herramientas fundamentales como Zero Trust Segmentation (ZTS), ayudan a las agencias a preparar de manera proactiva para las infracciones.

"Hay mucha gente que no hará nada hasta que algo malo sucedió", dijo Kindervag, señalando que esta es una forma obsoleta de pensar sobre la seguridad. "Es como cuando llega la tormenta de granizo y luego quieres obtener un seguro para tu auto. ¿Qué le dice la compañía de seguros? No, es demasiado tarde".

"Necesitas ponerte frente a la seguridad, no detrás de ella", recomendó Kindervag.

Los 5 pasos para Zero Trust

Kindervag alienta a las agencias a seguir su proceso de cinco pasos para la implementación de Zero Trust a medida que construyen el cumplimiento de Zero Trust:

1. Defina su superficie de protección: No puede controlar la superficie de ataque porque siempre está evolucionando, pero puede reducir la superficie de protección de su organización en partes pequeñas y fáciles de conocer. La superficie de protección suele incluir un único elemento de datos, servicio o activo.

2. Mapear la comunicación y los flujos de tráfico: No se puede proteger el sistema sin entender cómo funciona. Obtener visibilidad de sus entornos muestra dónde se necesitan controles.

3. Diseñe el entorno de Zero Trust: Una vez que obtenga una visibilidad completa de la red, puede comenzar a implementar controles hechos a medida para cada superficie de protección.

4. Cree políticas de seguridad confiable cero: Cree directivas que proporcionen una regla granular que permita al tráfico acceder al recurso en la superficie de protección.

5. Monitorear y mantener la red: Inyecte telemetría de nuevo en la red, creando un bucle de retroalimentación que mejore continuamente la seguridad y construya un sistema resistente y antifrágil.

Illumio puede ayudar a su agencia a seguir estos cinco pasos en su viaje hacia Zero Trust. Obtenga más información sobre cómo apoyamos a las agencias gubernamentales y contáctenos hoy para comenzar.