.png)
6 recomendaciones de expertos sobre Zero Trust para agencias gubernamentales
El sector gubernamental se enfrenta a grandes preguntas cuando se trata de enfoques de ciberseguridad. ¿Qué se puede hacer para reducir las vulnerabilidades y mitigar la propagación de las infracciones? ¿Qué estrategias son clave para mejorar la resiliencia cibernética en medio de un panorama de amenazas en constante cambio?
Para averiguarlo, Gary Barlet, director de tecnología de campo federal de Illumio, se unió recientemente a los expertos en ciberseguridad del gobierno, el Dr. Mark A. Stanley, líder de la agencia de la NASA para Zero Trust, y Gerald J. Caron, director de información de la Administración de Comercio Internacional, en GovExec TV para discutir la segmentación de aplicaciones y su papel en la arquitectura Zero Trust para el sector gubernamental.
Continúe leyendo para obtener las seis recomendaciones clave de su discusión sobre la implementación de Zero Trust y la segmentación de aplicaciones.
1. Las iniciativas de Zero Trust deberían ser la prioridad en este momento
Para comenzar, el Dr. Stanley habló sobre su papel en la NASA y el panorama de la política de Zero Trust que encontró a su llegada.
"Cuando llegué a la NASA, me quedé totalmente impresionado", dijo. "Estas personas ya estaban pensando en Zero Trust y en cómo íbamos a llegar allí mucho antes de que saliera la orden ejecutiva. Ya tenían aceptación y toneladas de apoyo del equipo de liderazgo ejecutivo".
Al principio de su mandato en la NASA, fue nombrado líder de Zero Trust de la NASA. Ayudó a agregar Zero Trust como uno de los elementos fundamentales de la NASA para la transformación digital.
"Desde una perspectiva de prioridades, cualquier cosa que pueda hacer para ayudar a hacer avanzar a Zero Trust ocupó la mayoría de nuestros ciclos", explicó.
2. La visibilidad es clave para implementar con éxito una estrategia de Zero Trust
La respuesta de Barlet abordó el pensamiento central que va de la mano con la estrategia Zero Trust y la segmentación de aplicaciones.
"Zero Trust es un término muy amplio. Lo primero que creemos que es importante para la seguridad es comprender cómo fluye realmente la información en su compañía", dijo Barlet.
Barlet recomendó que las organizaciones que trabajan hacia Zero Trust comiencen con la visibilidad. Y esto no es solo un mapa de red. Las redes híbridas actuales no tienen perímetro y están dispersas. Los equipos de seguridad deben realizar un seguimiento de cómo interactúan las aplicaciones a nivel granular, y Barlet explica que obtener visibilidad de los flujos de comunicación de las aplicaciones es fundamental para comprender cómo funciona la aplicación. Una vez que se establece la visibilidad, los equipos de seguridad pueden comenzar a trazar límites alrededor de esas aplicaciones para segmentar la red.
"Si algo sucede, la realidad es que no se trata de si te vas a comprometer, sino de cuándo. Cuando ocurra ese compromiso, ¿qué sigue?" Dijo Barlet.
Descubra cómo el mapa de dependencias de aplicaciones de Illumio ofrece visibilidad en su entorno de TI híbrido aquí.
3. Si no está trabajando en Zero Trust ahora, está atrasado
Barlet continuó explicando las trampas para las compañías que están atrasadas en la adopción de Zero Trust.
"Muchas compañías hoy en día están abiertas de par en par", dijo. "Una vez que un adversario se afianza, tiene una capacidad sin restricciones para extender por toda su compañía".
Los adversarios emplean el movimiento lateral para propagar de una parte del entorno a otra. Si esos entornos están cerrados entre sí, las infracciones no pueden propagar. Esto se logra con la segmentación, también llamada segmentación de confianza cero.
"Con la segmentación, ves todos estos diversos componentes y dibujas un anillo aplicación por aplicación", dijo Barlet. "Entonces, una vez que eso se ve comprometido, se puede contener y no puede infectar otras aplicaciones".
4. Las iniciativas de Zero Trust requieren una colaboración interfuncional
Para alcanzar un nivel de adopción de Zero Trust con el que las organizaciones puedan sentir cómodas, es importante adoptar una mentalidad colaborativa. El Dr. Stanley comparó la mentalidad de la NASA con su enfoque similar al descubrimiento científico, donde la NASA adopta el mandato de compartir investigaciones y hallazgos con el mundo para el mejoramiento de la humanidad.
"Nosotros, en el lado federal, debemos comenzar a pensar en cómo podemos trabajar juntos", dijo el Dr. Stanley. "Creo firmemente que la ciberseguridad es un deporte de equipo".
Caron continuó con el sentimiento del Dr. Stanley, ilustrando las trampas del antiguo enfoque de la colaboración en ciberseguridad.
"Tienes este aislamiento de excelencia, pero todos estos grupos deben trabajar juntos para lograr una verdadera confianza cero", explicó Caron. "En los viejos tiempos, tenías un incidente y hacías un round robin. Seguirías dando vueltas hasta que encontraras el problema".
Pero según Barlet, "Ya no puedes hacer estas cosas manualmente. Es imposible mantener al día con la difusión de la tecnología, la difusión de datos y la difusión de nuestros usuarios. La tecnología es la única forma en que podemos esperar mantenernos a la vanguardia o a la altura de esa curva y ese cambio.
5. Zero Trust es una estrategia, no una receta
A medida que continuaba el seminario sitio web, los tres expertos exploraron otro aspecto importante de la estrategia de ciberseguridad del gobierno: el cumplimiento.
Caron abrió la discusión haciendo una distinción clave entre cumplimiento y efectividad: "Esas son dos palabras muy diferentes con dos significados diferentes. El cumplimiento puede significar algo como: 'Tengo un sistema, así que debo proporcionar autenticación'. El nombre de usuario y la contraseña podrían cumplir, pero no son efectivos".
En otras palabras, el hecho de que algo sea un requisito para el cumplimiento no significa que logre simultáneamente la efectividad. Caron alienta a las organizaciones a ver Zero Trust como un esfuerzo por ser más efectivos además de lograr los requisitos de cumplimiento.
"El cumplimiento se establecerá a medida que se haga efectivo", dijo Caron. "Eso es lo mejor que aplaudo de la estrategia Zero Trust y la orden ejecutiva que menciona Zero Trust. Nos está moviendo hacia ser más efectivos. Es una estrategia, no una receta".
6. Dar pasos graduales hacia Zero Trust
Para cerrar, Barlet y el Dr. Stanley hablaron sobre las mejores prácticas para la adopción de Zero Trust en las compañías.
Según Barlet, "Las organizaciones más efectivas dan un paso a la vez".
Explicó que demasiadas agencias asumen que podrán pasar de cero a 100 por ciento de aplicación de Zero Trust. Luego, cuando no logran el objetivo, la iniciativa pierde fuerza o se considera demasiado difícil.
"La realidad es que nunca vas a llegar al 100 por ciento", dijo Gary. "En el mundo en el que vivimos, tratar de llegar al 100 por ciento de cualquier cosa es un objetivo inalcanzable".
En cambio, Barlet alienta a las organizaciones a trabajar hacia Zero Trust en piezas. Al crear Zero Trust de forma incremental, las agencias pueden lograr ganancias rápidas y aumentar las defensas, la seguridad y la protección con el tiempo.
"Barlet estuvo absolutamente en lo cierto", intervino el Dr. Stanley. "Tienes que abordar todos los pilares de Zero Trust. Tienes que ser capaz de aprovechar la protección que ofrece para tus aplicaciones y datos, incluso mientras realizas esas mejoras incrementales en tu infraestructura".
Obtenga más información sobre cómo Illumio puede ayudar a proteger su agencia gubernamental aquí.
Contáctenos hoy para una demostración y consulta gratis.
.webp)
