El progreso de la confianza cero federal de este año fiscal: una sesión de preguntas frecuentes de expertos

Con el cierre de los fondos federales, es el momento perfecto para mirar hacia atrás a los cambios que vimos en la ciberseguridad del gobierno el año fiscal pasado. Muchas agencias se centraron en fortalecer su postura de ciberseguridad. Zero Trust estuvo en el centro de estos esfuerzos, pasando de un concepto de nicho a una estrategia de seguridad central.  

Recientemente nos sentamos con el CTO del sector gubernamental de Illumio, Gary Barlet, para discutir la evolución de Zero Trust en el gobierno federal de EE. UU.  

En nuestra conversación, Gary compartió sus ideas sobre el estado de Zero Trust en el gobierno, la transformación federal de confianza cero de este año y cómo la tecnología de confianza cero como la microsegmentación está modernizando la ciberseguridad federal.  

P: El gobierno federal de EE. UU. estuvo hablando de Zero Trust durante algunos años. ¿Cómo vio evolucionar las iniciativas de confianza cero de las agencias durante el año pasado?

R: Hubo un gran cambio en la forma en que la gente entiende en los últimos años. Solíamos dedicar mucho tiempo a educar a la gente sobre Zero Trust. Ahora, más personas saben lo que es. Estamos dedicando más tiempo a discutir cómo debería ser una estrategia de confianza cero para las necesidades únicas de su agencia.  

Una cosa clave a la que la gente se está dando cuenta es que no existe un único producto de confianza cero. Zero Trust es una estrategia que implica el uso de múltiples tecnologías juntas.

Creo que todavía hay un poco de lo que yo llamaría una fijación malsana en la identidad. Mucha gente todavía piensa que Zero Trust significa identidad, pero estoy empezando a ver que eso está cambiando.

Creo que el mayor cambio que estoy viendo es cómo la gente piensa en las tecnologías de confianza cero. Mucho de esto se reduce a la exposición. Es posible que los equipos de seguridad no comprendan completamente cuán complejas se volvieron sus redes. Es posible que no se den cuenta de que desarrollamos formas mejores y más fáciles de proteger esta complejidad bajo un modelo de confianza cero. Hay formas de obtener ganancias rápidas al principio del viaje de confianza cero que no estaban disponibles hace solo unos años.

P: En su experiencia, ¿cuáles son los obstáculos con los que se encuentran las agencias al crear Zero Trust?

R: La falta de recursos es un gran desafío en este momento. Las agencias a menudo se enfrentan a cotizaciones ajustadas, no hay suficientes personas y brechas de habilidades cibernéticas. Es difícil para ellos competir con compañías privadas que tienen más recursos y beneficios para atraer trabajadores calificados. Creo que la nueva tecnología de IA puede ayudar a aliviar algunos de estos desafíos de recursos.

Otro desafío es la mentalidad, y esto es cierto tanto para el sector gubernamental como para el privado. Las agencias a veces apuntan a la perfección y se atascan. La guía de confianza cero como el Modelo de madurez de confianza cero (ZTMM) de CISA y la Arquitectura de referencia de confianza cero del Departamento de Defensa presenta Confianza cero como un proceso lineal paso a paso en el que puede marcar cada paso. Pero esa no es la realidad de cómo se hace Zero Trust. Es un proceso continuo. Tienes que trabajar en muchas áreas a la vez y aceptar que nunca serás perfecto, solo mejor.

También es necesario cambiar la idea de que una violación significa un fracaso o que es solo un problema del equipo de seguridad. Se van a producir infracciones. Muchas veces, su origen está fuera del control del equipo de seguridad, como un email de phishing. La ciberseguridad es responsabilidad de todos. Se necesita un nivel de conciencia en todo el gobierno.

P: Estuvo llamando la atención sobre la brecha de habilidades cibernéticas en el gobierno federal. ¿Cómo ayudan las asociaciones del sector gubernamental-privado como las apoyadas por FedRAMP a llenar este vacío?

R: Las asociaciones público-privadas tienen un efecto multiplicador. Ofrecen a las agencias la flexibilidad que necesitan para mantener al día con las nuevas tecnologías, riesgos y requisitos de cumplimiento.

Las organizaciones privadas pueden asociar con el gobierno como asesor de confianza. Aportan conocimientos especializados que a menudo serían imposibles de aprender para los propios equipos de las agencias. Es una excelente manera para que los profesionales de seguridad del sector gubernamental y privado aprendan unos de otros y compartan ideas.

Si podemos compartir información, eliminamos el aislamiento y mejoramos juntos la ciberseguridad.  

P: ¿Qué papel cree que juegan la automatización y la IA en la ciberseguridad del gobierno federal?

R: Como cualquier organización, la automatización de la seguridad y la IA pueden ayudar a los equipos a trabajar más rápido y cerrar la brecha de habilidades. Pero el riesgo de usar estas herramientas se amplifica en el espacio gubernamental.  

Al crear y capacitar modelos de IA, existe el riesgo de exponer información confidencial, incluidos los datos de empleados y ciudadanos. La tecnología es tan nueva que aún no descubrimos una manera de rastrear claramente de dónde provienen los datos de entrenamiento o cómo se compartirán públicamente.

Los modelos de IA también pueden tener sesgos incorporados. Los algoritmos de IA son construidos por humanos y sus datos de entrenamiento a menudo provienen de la entrada humana. Los humanos tienen prejuicios, a menudo que no son obvios para nosotros. Es casi imposible en este momento detectar y corregir las formas en que la IA está enfrentando nuestros sesgos. Este puede ser un problema importante en el gobierno.  

Los ciudadanos deben confiar y compartir información con las organizaciones gubernamentales. Cualquier tipo de sesgo del gobierno podría causar daño a los ciudadanos, e incluso puede tener participaciones de vida o muerte.

P: De cara al futuro, ¿qué impacto cree que tienen las tecnologías de confianza cero como la microsegmentación en las estrategias federales de ciberseguridad?

R: Zero Trust ya está acelerando la modernización de la ciberseguridad para las agencias federales. La tecnología como la microsegmentación está ayudando a las agencias a dejar de depender únicamente de la prevención y detección de infracciones para contenerlas.  

Un cambio positivo que estamos viendo es que más personas están reconociendo que la seguridad es el trabajo de todos.

La tecnología de confianza cero requiere una mejor visibilidad de la red y más colaboración entre equipos. La gente se está acostumbrando a mejores protecciones de seguridad. Ahora es más común preguntar por qué no existen ciertas protecciones en lugar de por qué lo están.

Pero a medida que la ciberseguridad se convierte en un tema principal, creo que existe el riesgo de que nos volvamos complacientes. Hasta que el público exija una mejor protección, es posible que las medidas de seguridad no avancen tan rápido como se necesita. Tengo la esperanza de que conversaciones mejores y más frecuentes sobre ciberseguridad ayuden a continuar con el impulso que estamos viendo ahora.

Construya Zero Trust en su agencia con Nube gubernamental de Illumio, ahora autorizado por FedRAMP®. Obtenga más información en el Mercado de FedRAMP.