John Kindervag habla sobre lo que los líderes de seguridad siguen perdiendo sobre Zero Trust

John Kindervag no se propuso crear un movimiento. Simplemente pensó que el cortafuegos era tonto.

En aquel entonces, los firewalls particulares con los que trabajaba asignaban niveles de confianza a cada interfaz. Si iba del lado “confiable” de la red al lado “no confiable”, ni siquiera necesitaba una regla.

John, entonces un probador de penetración, sabía exactamente lo peligroso que era eso. Y cuando habló, captó la atención del cliente, de su empresa y del proveedor de cortafuegos.

Pero no pudo evitar la idea: ¿Por qué estábamos construyendo redes sobre algo tan vago (y francamente, sin sentido) como la “confianza”?

Esa pregunta lanzó lo que ahora llamamos Zero Trust. Y décadas después, John, ahora el evangelista jefe de Illumio, sigue derribando suposiciones obsoletas y empujando a la industria de la ciberseguridad a pensar de manera diferente.

En esta publicación de blog, desglosaremos la sabiduría de la reciente conversación de John con el Dr. Chase Cunningham sobre el Sin confianza podcast, De la teoría a la práctica: El viaje de confianza cero con John Kindervag y el Dr. Chase Cunningham, donde compartió los principios clave de Zero Trust que considera que los líderes de seguridad siguen desapareciendo.

No más centros masticados: el nacimiento de Zero Trust

Cuando John se unió a Forrester, finalmente tuvo el espacio para explorar esta gran idea, y la formación de analistas de la compañía la alentó.

“Escribieron nuestra descripción de trabajo en la pizarra”, dijo. “'Piensa grandes pensamientos'. Entonces dije, quiero estudiar la confianza en los sistemas digitales”.

Eso llevó a dos años de investigación primaria, incluyendo conversaciones con el Foro de Jericho (que originalmente se opuso a Zero Trust), arquitecturas de prototipos y un sinfín de pinchazos de expertos de la industria que intentan romper el concepto.

Pero ninguno pudo.

Finalmente, John publicó su innovador artículo, No más centros masticados, presentando Zero Trust. Un documento de seguimiento, Construya la seguridad en el ADN de su red: la arquitectura de red Zero Trust, expuso una visión que enfatizaba segmentación, un concepto que John ha visto durante mucho tiempo como el núcleo de Zero Trust.

“Para proteger una superficie, se necesita segmentación”, dijo. “Por eso ahora estoy en Illumio”.

El iceberg de visibilidad

Si Cero Confianza se siente como que de repente irrumpió en escena hace unos años, John dice que solo estás viendo la punta del iceberg.

“La gente piensa que se reavivó en 2021, pero siempre ha estado ahí”, explicó. “Simplemente no tenías visibilidad”.

Señala el Infracción del objetivo de 2013 y el Brecha de OPM de 2015 como momentos críticos que ponen a Zero Trust en el radar de las agencias gubernamentales de Estados Unidos.

Entre bastidores, la adopción comenzó a ser una bola de nieve, especialmente en los círculos federales. Pero las empresas estaban nerviosas de admitirlo.

“Cuando pedí hacer estudios de caso, los equipos legal y de relaciones públicas dijeron que no”, dijo. “'No queremos que la gente sepa que estamos haciendo Zero Trust. Eso podría convertirnos en un objetivo”.

Todo eso cambió con Orden ejecutiva 2021 del presidente Biden ordenando Zero Trust para las agencias federales. De repente, lo que había sido un movimiento tranquilo cobró impulso público.

“Ya no sigo las amenazas”

Una de las creencias más contrarias a la intuición de John es que no rastrea las amenazas.

“No estudio lo último malware o campañas de ataque”, dijo. “Porque en un entorno Zero Trust bien diseñado, no importan”.

¿Por qué? Porque Zero Trust asume que las brechas son inevitables y crea controles en torno a la protección de lo que importa en lugar de perseguir cada alerta.

“No existe una política en un entorno Zero Trust que permita que un recurso desconocido de Internet deje caer una carga útil desconocida en su superficie protegida”, explicó.

No estudio las últimas campañas de malware o ataque porque en un entorno Zero Trust bien diseñado, no importan.

Los protocolos que utilizan los atacantes no han cambiado. Y los mismos vectores de ataque básicos, como enlaces de phishing o contraseñas malas, siguen dominando.

“Los atacantes siguen usando las mismas herramientas de hace 20 años”, dijo. “Este no es el mundo cinético. En el cibernético, siguen atrapados dentro de los mismos rieles TCP/IP”.

En lugar de perseguir información sobre amenazas, John se centra en políticas aplicables y en proteger superficies.

Zero Trust no se trata necesariamente de reaccionar más rápido. Se trata de eliminar las opciones del atacante en primer lugar.

Olvídate de los pilares: siguiendo el modelo de 5 pasos para Zero Trust

Una razón por la que tantos esfuerzos de Zero Trust se estancaran es porque las organizaciones tratan de seguir marcos rígidos llenos de palabras de moda y pilares. John dice que es hora de simplificar.

“Yo uso el modelo de cinco pasos. Siempre. Empezar con la superficie de protección, no con una lista de productos”, alentó.

Los cinco pasos, esbozados en publicaciones gubernamentales como Informe de la NSTAC al Presidente sobre Confianza Cero y Administración de Identidad Confiable, incluyen:

1. Definir la superficie de protección
2. Mapear flujos de transacciones
3. Construir una arquitectura Zero Trust
4. Crear política
5. Supervisar y mantener

John advierte contra tratar de abordar Zero Trust de una sola vez o pensar que es un viaje de madurez lineal.

“La gente piensa: 'Primero haremos toda la identidad, luego los dispositivos, luego la red'”, dijo. “Nunca lograrás nada de esa manera”.

En su lugar, recomienda que los equipos dividan el proyecto en superficies de protección que son pequeños fragmentos de alto valor de su red que se pueden asegurar de extremo a extremo.

Y siempre empezar con la pregunta más importante: ¿Qué estamos protegiendo?

La confianza cero es un imperativo de liderazgo

Cuando se le preguntó cómo mantener el impulso de Zero Trust, John ofreció una verdad simple: “Obtenga la aceptación del liderazgo. Todo cambia cuando están a bordo”.

Eso es lo que convierte los incentivos desalineados en alineación.

“He tenido tanta gente que me dice: 'Nunca vamos a hacer Zero Trust aquí'. Y entonces el CEO dice que lo estamos haciendo, y de repente está sucediendo”.

¿La única manera de cambiar la mentalidad de las compras de seguridad a corto plazo a la estrategia a largo plazo? Convirlo en una prioridad de liderazgo.

“La ciberseguridad no es una partida presupuestaria trimestral”, dijo John. “Es lo que dirige tu negocio”. O como él lo expresó sin rodeos, “Si la computadora se baja, los aviones no vuelan”.

La ciberseguridad no es una partida del presupuesto trimestral. Es lo que dirige tu negocio.

Zero Trust: no está de moda o opcional

Zero Trust se ha vuelto mainstream. Lo ves en mandatos gubernamentales, campañas de proveedores y documentos blancos llamativos. Pero la mayor parte pierde el punto.

Lo que John Kindervag está compartiendo, y lo ha sido durante casi 20 años, no es un lanzamiento de producto o un marco de marketing. Es un cambio de mentalidad. Una que obliga a las organizaciones a dejar de reaccionar y comenzar a diseñar. Uno que esté arraigado en la estrategia real, no en el gasto basado en el miedo.

En un mundo de ataques constantes, herramientas superpuestas y presión para moverse rápido, la voz de John es fundamental. Nos recuerda que la ciberseguridad no se trata de seguir tendencias, se trata de proteger lo que más importa.

Esa es exactamente la razón por la que Zero Trust ya no es opcional. Es antifragilidad operacional, por diseño.

¿Quieres escuchar más podcasts de líderes de Zero Trust como John? Suscríbete a nuestro galardonado podcast El segmento: un podcast de liderazgo de confianza cero.