Proteger los datos de nuevas maneras

00:03 Sean Connelly

Mirar la seguridad de los datos de nuevas maneras, pero creo que el pilar de seguridad de datos ha sido el más débil y nosotros tuvimos más que hacer.

00:12 Raghu Nandakumara

Bienvenido a The Segment, un podcast de liderazgo de confianza cero. Soy su anfitrión, Raghu Nandakumara, Jefe de Soluciones Industriales en Illumio, la empresa de Segmentación de Confianza Cero. En el episodio de hoy, me une un invitado muy especial, Sean Connolly, ex Arquitecto Federal Zero Trust de la Agencia de Seguridad de Ciberseguridad e Infraestructura, o CISA, para abreviar. Sean también fue el confiable Gerente del Programa de Conexiones a Internet en CISA dentro del Departamento de Seguridad Nacional (DHS). Se unió al DHS allá por 2013 y ha desempeñado una variedad de funciones desde entonces. Fue autor principal del informe de modernización de TI al presidente en 2017 y fue coautor de la Publicación Especial del NIST Hacia arquitecturas de confianza cero en 2019. Grabamos este episodio allá por febrero, así que aunque Sean se ha mudado desde entonces de CISA, lo escucharás hablar desde su perspectiva cuando todavía trabajaba allí. Discutimos la evolución de las arquitecturas de red, por qué los incidentes en los últimos cinco años han catalizado un mayor enfoque federal en la resiliencia cibernética y, específicamente Zero Trust, y cómo CISA está pensando en proteger los datos de nuevas maneras. Entonces, me da un gran placer dar la bienvenida a este episodio de The Segment, Sean Connelly, Arquitecto Federal Zero Trust del CISA. Sean, es un placer. Gracias por acompañarnos.

1:39 Sean Connelly

Oh, gracias. Ha sido un placer de mi parte. Muy contento de estar en The Segment. Gracias.

1:45 Raghu Nandakumara

Muchas gracias. Y es súper emocionante para nosotros porque no es frecuente que tengas la oportunidad de relacionarte con alguien que ha tenido una mano directa en la autoría de los mandatos de Zero Trust a nivel gubernamental. Pero antes de entrar en eso, Sean, cuéntanos un poco sobre tus antecedentes y la trayectoria profesional que has tomado para llegar a ser Arquitecto Federal Zero Trust.

2:07 Sean Connelly

Claro, así que gracias. Entonces, llevo mucho tiempo cerca de las computadoras. Allá por principios de los 80, tuve un proyecto paralelo donde usé una TRS80 modelo tres, una computadora RadioShack. Estuve en la feria de ciencias y aprendí bastante rápido sobre la experiencia del usuario. Porque en la feria de ciencias, fui a una escuela privada, y a una monja de más de 80 años tratando de usar la computadora. Se trata de alguien nacido literalmente allá por el siglo XIX. Y es un poco diferente tratar de explicarle cómo encender la computadora y qué significa un error de sintaxis. Pero empujando hacia adelante, entonces me metí más en la seguridad o en las redes para la seguridad. En los años 90, instalé una tonelada de routers Cisco, switches Cisco, y ahí es realmente donde empecé a conocer los protocolos. Y realmente, cuando haces enrutamiento, tienes que entender los protocolos casi como el nivel real Wireshark o ether, para envejecerme un poco. Y entonces, naturalmente, desde esa red, necesitas empezar a preocuparte por el perímetro. Luego entró en los firewalls a principios de la década de 2000. Y luego 2004 o 2005, tuve la oportunidad de trabajar en el Departamento de Estado. Y el Departamento de Estado, por supuesto, más de 200 embajadas y puestos en todo el mundo, la Red Global. Algunas de las amenazas persistentes más avanzadas llegan al Departamento de Estado. Entonces, realmente fue una gran experiencia para mí y aprender sobre el gobierno federal aprender cómo funciona una red global. Y luego tal vez en 2013, o eso creo, tuve la oportunidad de pasar a NPPD, el antiguo nombre de CISA, y he estado en Cisco durante los últimos 11 años más o menos. Y realmente, esa vez en el Departamento de Estado y tiempo en el CISA, mi enfoque primario ha sido en ese perímetro, específicamente en las dependencias federales. Dependiendo de cómo cuente, hay más de 100 agencias federales civiles, del poder ejecutivo, y hemos estado trabajando con esas agencias ayudando a asegurar sus redes y detener esos tipos de amenazas AP en el perímetro. Y luego llegó Zero Trust, por supuesto, nuevos tipos de discusiones, pero en realidad, es por los últimos casi 20 años. Ha estado trabajando con la empresa federal y ayudando a asegurar de maneras diferentes a las que creo que teníamos antes.

4:16 Raghu Nandakumara

Impresionante. Entonces, usted habló del perímetro. Y creo que si nos fijamos en la evolución de las arquitecturas de las arquitecturas de redes en los últimos 20 años, creo que probablemente el mayor tipo de evolución ha sido alrededor de ese concepto del perímetro. Y sé que has estado involucrado en TIC uno, TIC dos, y más recientemente, TIC tres. Si pudieras explicar a la audiencia cómo ha cambiado la naturaleza del perímetro y por qué, entonces los requerimientos de seguridad tienen que evolucionar con él.

4:46 Sean Connelly

Claro, esa es una gran pregunta. Entonces, mucho de lo que empezamos con TIC uno, TIC dos. A mediados de la década de 2000, la Oficina de Presupuesto Gerencial de la Casa Blanca, habían hecho una pregunta a todos los CIO federales y CISO federales una pregunta bastante simple: “¿Cuántas conexiones tienes en internet? ¿Cuántas conexiones tiene la agencia a las redes de socios o a la propia Internet?” El número que volvió fue asombroso. Nadie pensó que fuera que muchos circuitos son tantas conexiones. Eran más de 4000 circuitos divididos, y esto es solo el lado civil, ni siquiera hablando del DOD. Entonces, realmente, las primeras discusiones fueron en torno a la agregación de tráfico. ¿Cómo podríamos no eliminar necesariamente esos 4000 circuitos de Internet sino poder concentrarnos y hacer lo que se llama Agregación de tráfico de esos circuitos en un número finito de data centers, pilas de firewall, conocidos como puntos de acceso TIC? Y así fue lo primero que primero fue concentrar los datos. Y luego encima de eso, ahora que tenemos los circuitos a controlar y este número finito de puntos de acceso TIC, comencemos a poner un perímetro de seguridad de línea base estandarizado alrededor de esos dispositivos. Y así nuevamente, esto se remonta a 2008, 2012, hasta realmente alrededor de 2015 más o menos, cuando existía esa arquitectura común estaba más enfocada en lo que llamamos el tráfico norte-sur versus el tráfico este-oeste. Y realmente estaba enfocando todos esos datos; se llamaba impuesto TIC; teníamos muchas agencias que tenían sucursales en el Medio Oeste o la Costa Oeste. Pero la sede de la agencia tenía sus puntos de acceso TIC en la costa este. Así que ahora, incluso en todo Estados Unidos, los 40/50 milisegundos de tiempo, y si el centro de datos terminaba en la costa oeste, alguna agencia tiene que cruzar de Los Los A a DC, hacer que su tráfico salga en el tráfico Norte-Sur y regresar a través de la costa oeste. Y hay literalmente un impuesto; fue un compromiso. Y fue entonces cuando las discusiones con la nube comenzaron a evolucionar realmente, y el móvil comenzó a estallar en la escena que necesitábamos mirar de una manera diferente. El procura, el modelo perimetral, el castillo heredado, y el modelo de foso nunca fueron, creo, idealizados ni siquiera atrás hablando de ellos. Ya en ese entonces, Cisco y el Foro de Jericho, por el que he escuchado a John Kindervag sobre entonces fue, hablaban de cómo necesitamos obtener una perimeterización profunda del Foro de Jericó. Creo que John habla de cómo a veces Jericho se enfoca en como conexiones TLS, conexiones encriptadas del cliente al servidor, pero hay Jericho tenía una serie de mandamientos en su documento original. Y uno de ellos era algo que estoy parafraseando aquí, pero como: “Cuanto más se pueda poner la seguridad cerca de los datos, mejor es”. Y eso tiene sentido, ¿verdad? Y eso fue exactamente lo contrario con TIC uno y TIC dos fue. Estaba forzando el forzamiento de datos de las sesiones a través de esas pilas de firewall. Entonces ahí es realmente donde, como estaba la empresa federal, por así decirlo, en 2015 o 2016, iniciamos este nuevo viaje.

7:45 Raghu Nandakumara

Es interesante. Mencionó ese punto debido a que uno de los informa que usted es participante en la autoría del informe al Presidente sobre modernización federal de TI. En el resumen ejecutivo, una cosa que es realmente interesante es que destaca cómo estas acciones permiten a las agencias pasar de la protección de sus perímetros de red y la administración de implementaciones físicas heredadas hacia la protección de datos federales y optimizan las implementaciones en la nube. El informe también enfatiza un enfoque basado en el riesgo que enfoca los recursos de la agencia en sus activos de mayor valor. Y creo que eso es realmente interesante porque esto lleva casi directamente a tu enfoque en TIC tres que está lejos de una especie de perímetros de la organización en general. Pero realmente moviendo ese control y enfocándose en la seguridad de las cosas clave que está tratando de proteger.

8:38 Sean Connelly

Sí, gracias por [mencionar] ese informe. Yo era uno de los numerosos autores que hay ahí. Y se necesita tiempo en el gobierno federal para mover algunas de las diferentes burocracias o políticas o mandatos. Y a su punto, eso fue escrito en 2017. Muchos de esos coautores todavía estaban con nosotros cuando comenzamos a implementar la guía TIC tres después de que se publicara el memo en 2019. Pero tardó esa cantidad de años a pesar de que, a su punto, sabíamos a dónde quería ir, pero aún así se tarda un tiempo solo en dar forma a la política de una manera para comenzar a forzar ese cambio; no quiero decir que se necesitaron fuerzas nada. Pero comenzar a tener diferentes oportunidades y diferentes posibilidades. Pero tal como decía, se trata más de optimización de la nube, alejamiento de la seguridad de datos, de no diría alejarse directamente de la seguridad de la red, sino de tener un equilibrio entre la seguridad de los datos y la seguridad de la red.

09:29 Raghu Nandakumara

Sí, estoy de acuerdo. Y creo que la forma en que este informe en particular y solo esa consolidación de la modernización de la red, la forma en que está redactada, siento que marca el punto de partida para ese cambio hacia la adopción de un enfoque de confianza cero.

09:44 Sean Connelly

No, literalmente, ese era John Kennedy. Lo mencionaré 100 veces en su entrevista probablemente, pero allá en lo que fuera 2010 o 2011 estuvo aquí porque con la mayor impostura escribió que el documento del Chewy Center. En aquel entonces, yo estaba en el Departamento de Estado, y estaba corriendo por el Departamento de Estado con esa orientación, diciendo que aquí es donde tenemos que llegar. No estoy seguro de cómo llegar. Pero este es exactamente el marco que ha avanzado. Honestamente, en ese momento, creo que lo interpretamos más como una solución knack y una solución tipo control de acceso a la red. Para ser justos, NAC está moviendo la seguridad cerca de los datos, tienes como la aplicación, si quieres cambiar y tienes un agente o cliente 802.1x en los propios clientes que van a cambiar. Pero incluso eso, creo, era solo parte de la ecuación. La discusión tardó un tiempo en evolucionar, y vimos lo que Google ha estado haciendo durante los últimos 5-10 años a partir de ahí cuando se vieron comprometidos hace aproximadamente una década, cómo veían con más allá del núcleo y cómo están haciendo datos cifrados. Entonces, creo que todas estas discusiones están sucediendo. Y luego, como dije, solo en términos de oportunidad de momento cuando ese informe salió en 2017, realmente Zero Trust estaba empezando a resonar en torno al gobierno de diferentes maneras. Arriba en el NIST, esto es pre-COVID, el NIST estaba realizando una serie de talleres sobre Zero Trust. Cada año, hay una reunión anual. NSA, estaban teniendo una gran participación en esas reuniones. Randy Resnick, quien estaba en la NSA en ese momento, ahora es el Oficial de Administración de Cartera Zero Trust del DoD, él estaba ahí. Algunos de los autores clave de ese informe de modernización de TI mencionado estuvieron en las conferencias. Entonces, estaba empezando a percolarse; simplemente no estaba realmente en la política per se, la Confianza Cero. Al mismo tiempo, habías mencionado la modernización; había un memo TIC o que modernizaba TIC. Y así tratamos de posicionar al TIC tres esfuerzos para poder apoyar y alinear Zero Trust tanto como fuera posible ahí dentro.

11:38 Raghu Nandakumara

Entendido, porque la otra cosa que noté antes de alejarnos del informe sobre la modernización de TI es que realmente está poniendo el punto de venta también para la adopción de la nube pública por parte de las agencias federales. ¿Por qué vio este cambio al pasar de estar demasiado centrado en el perímetro y en la red a centrarse más en activos críticos en términos de seguridad? ¿Por qué sintió que era esencial para la adopción o para acelerar la adopción de la nube por parte de las agencias federales?

12:10 Sean Connelly

Bueno, desafortunadamente, hemos tenido una serie de estudios de caso donde se muestra que el promedio es una base perimetral amplia. Mucho de tu enfoque en el perímetro, el adversario sigue siendo comprometido. Muchos de los esfuerzos que mencionó con el esfuerzo de modernización de TI en realidad surgieron de la brecha de OPM en 2015. Y esa fue una respuesta a la brecha de OPM. Probablemente hablaremos sobre el EO cibernético y las cosas de Zero Trust que están sucediendo en los últimos dos años. Mucho de eso se centró en la brecha de SolarWinds. Entonces, a veces hay estas brechas, y capta la atención de los líderes y luego fuerza estas discusiones de nuevas maneras. Pero a tu punto, la nube estaba ocurriendo mucho antes de que ocurriera la brecha. Por supuesto, FedRAMP, el líder de GSA, la modernización de la nube o el proceso ATO ha existido desde hace aproximadamente una década, pero un programa tardó un par de años en ponerse de pie y comenzar a lograr que los diferentes proveedores de la nube fueran apoyados en el programa FedRAMP. Puedo recordar cuando Matt Goodrich estaba celebrando como el número 20 CSP ATO alrededor de 2014 o 2015. Ahora, creo que hay más de 300 paquetes diferentes para ATO. Entonces solo toma un tiempo a veces para que esto suceda. Pero sí, la adopción de la nube ha sucedido. Al igual que dijiste, es el mismo punto. Son más grandes o más rápidos, abrazando la nube, estamos empezando a suceder realmente de agencias.

13:27 Raghu Nandakumara

Entendido. Entonces, volveremos a la nube en un segundo. Y usted mismo lo mencionó que algunos de esos los OPM violaron a mediados de la década de 2010. Y entonces, claro, SolarWinds hace un par de años, eso, supongo, fue la gota que colmó la gota que colmó la espalda del camello, y tal vez obligó a la publicación de EO 14028. Entonces, ¿puedes hablarnos un poco sobre, estabas ahí cuando estas cosas se estaban formulando, verdad? Hablar un poco sobre el proceso.

13:52 Sean Connelly

Seguro. Entonces, un par de cosas están sucediendo. Y no voy a conseguir la política de ello. Pero también hubo cambio administrativo. Chris DeRusha, el CISO federal, que entraba. Eric Mill, Eric formó parte de ese grupo que redactó el informe de modernización de TI. Eric estuvo ahí por mucho tiempo. Hay una serie de individuos clave entrando en el gobierno. Y, nuevamente, fuera de los SolarWinds comprometidos y las reverberaciones a partir de eso, nosotros, como gobierno, sabíamos que teníamos que ser capaces de establecer nuevos estándares. Nadie está diciendo olvídate de los perímetros de red, demasiada tecnología heredada, por así decirlo, dentro de las agencias. Nadie va a deshacerse de los firewalls, pero necesitamos una solución de arquitectura más completa. Entonces, volviendo a lo que hablabas sobre la Orden Ejecutiva cibernética, había una serie de taskers ahí hacia OMB, hacia GSA, hacia CISA, hacia NIST, comenzando como conversaciones sobre cómo avanzar y una solución de arquitectura más integral. Entonces de nuevo, mucha de esa gente, es casi como un lanzamiento de porras, por así decirlo, de diferentes grupos, pero había volver al Informe de Modernización de TI, había un claro impulso o dirección puesta en eso. Y entonces la orden ejecutiva cibernética fue capaz de manifestarse de manera más particular y tal como usted está diciendo, centrarse en Zero Trust en sí, de maneras en las que no tuvimos esa oportunidad, creo, o bajo una política previa o simplemente código heredado y esas cosas.

15:19 Raghu Nandakumara

Entonces sin un incidente como SolarWinds, o creo que Colonial Pipeline no estuvo muchos meses después de SolarWinds. ¿Fueron esos solo los que se sirven como un gran enfoque en la importancia de EO 14028? O sin esos, ¿esta orden se habría retrasado potencialmente y tal vez no obtuvo la importancia y el enfoque que ha tenido?

15:44 Sean Connelly

Sí, definitivamente, hubo atención de liderazgo en formas, no estoy seguro de que hubiera estado ahí sin eso. Con SolarWinds, eso realmente, los ataques de advertencia que realmente van a la cobertura de SolarWinds fue el foco en Microsoft y en cómo las agencias tenían muchos de sus datos críticos en diferentes inquilinos de la nube de Microsoft. Y así, teníamos que poder, nuevamente, obtener una solución más integral de frente. Una cosa creo que nos perdimos cuando fuimos al TIC tres, y también pasó, claro, justo cuando ocurrió el COVID, como la liberación de los documentos TIC. E íbamos a lanzar el caso de uso de la nube para TIC, el primer caso de uso. Hay una serie de casos de uso requeridos para las agencias. Cuando OMB lanzó el memo TIC 1926, había una serie de casos de uso, e íbamos a comenzar con el caso de uso de la nube porque ahí es donde creo que estaba nuestra mayor atención. Pero cuando llegó COVID y el foco para el trabajo remoto, nos vimos obligados a cambiar y liberar un caso de uso de usuario remoto. Muchas de las mismas capacidades entre lo que está haciendo para proteger a los usuarios remotos hacia una sucursal y luego hacia la nube. Hay algunas similitudes, pero hay algunas diferencias que quieres señalar. Creo que las agencias realmente están confundiendo los mensajes. Y algunas personas miraron lo que hacíamos, y fue, oh, solo nos estamos enfocando más en el usuario. Y esa no era realmente la intención. Entonces tuvimos que lanzar el caso de uso de la nube al final, pero a donde vamos con esto es, todo el tiempo que estamos lanzando estos diferentes casos de uso para TIC, también estamos trabajando con OMB, la Casa Blanca, el equipo de Clare Martorana en el CIO Federal, y el equipo de Chris DeRusha, el CISO federal, sobre cómo tener esa arquitectura de solución más integral. Entonces, veamos, dentro de la Orden Ejecutiva cibernética, y luego justo después de eso se dio a conocer como borrador a las agencias del memorando de estrategia Zero Trust de OMB. Y nuevamente, eso fue parte del impulso para realmente comenzar a tener discusiones a nivel de liderazgo. En la OMB, estaban teniendo discusiones como con los subsecretarios, que suelen ser los segundos a cargo de los propios organismos no necesitan de la secretaria. Entonces, tuvo la atención del liderazgo, que es lo que él, escuchó John Kindervag, todos sabían que esto tiene que ser como tu interés tanto una alineación de arriba hacia abajo como de abajo hacia arriba. Y estoy más al revés de abajo y ayudando a empujar cuando puedo. Pero necesitábamos ese liderazgo de arriba hacia abajo, y como estábamos hablando antes de la llamada, tener un presidente disponible con claridad, diciendo: “Agencias, necesitan avanzar a medida que modernizan la arquitectura de ciberseguridad”, sin duda ayudó a llamar la atención de todos.

18:10 Raghu Nandakumara

Oh, de pie en el exterior de eso. Absolutamente. Cuando eso salió, y entonces creo que todo lo que ha seguido de ahí, no puedo pensar en que haya más emoción en el mundo de la ciberseguridad de algo que está saliendo de un gobierno de la manera en que eso lo ha impulsado. Cuando se cayó por ti estando por dentro, ¿cómo te sentiste? Bueno, este es un momento seminal en su tipo de historia de ciberseguridad. Y estoy en medio de ello.

18:36 Sean Connelly

Bueno, esa es una buena pregunta. Nunca pensé haber escuchado eso de esa manera. Ha sido un número de como batidos de porra. Mirando hacia atrás ahora, claro, eso puede estar viendo como el momento crítico donde se lanzaron muchas cosas. Pero habiendo estado en CISA y trabajando con OMB y GSA, hay mucho esfuerzo en general; fue una década para llegar a ese punto. Pero claramente, la respuesta, el interés hacia Zero Trust, donde se miraba al gobierno post ciberseguridad, después de OPM y la conversación, su expectativa hacia la postura de ciberseguridad federal, hacia donde estamos ahora, y cómo estamos siendo capaces de platicar con ustedes solo en general y decir: “Esto es lo que está haciendo el gobierno federal; esto es lo que estamos viendo”. Es solo una nave totalmente diferente a tu punto. Ha cambiado la narrativa de una manera que no creo que nadie hubiera esperado, y eso es realmente un cumplido nuevamente, OMB, la Casa Blanca y su previsión, y poder posicionar la arquitectura en los memos de una manera de llamar la atención de todos.

19:33 Raghu Nandakumara

Sí, absolutamente. Y estuvimos hablando muy brevemente fuera de línea antes de comenzar esto que, lo que también es particularmente me parece, abridor de ojos interesante sobre el memo. ¿Eso viene de la Casa Blanca y de la Oficina del Presidente? Algunos de los detalles en la especificidad son inesperados, inusualmente inesperados, pero también muy bienvenidos porque hemos visto demasiados, y seguimos viendo demasiados tipos de regulaciones que son de tan alto nivel que cuando dices: “Bien, bien, ¿qué necesito hacer realmente?” No es particularmente claro. Entonces, ¿por qué fue tan importante tener ese nivel casi de granularidad técnica es algo que está saliendo de la Oficina del Presidente para impulsar la adopción?

20:19 Sean Connelly

Ahora, esa es una gran pregunta. Y tenemos que tener cuidado aquí, porque pude escuchar a John Kindervag, poniendo como alfileres en la muñeca vudú Sean Connelly. Si bien podemos concentrarnos un poco en la tecnología, realmente se trata más del cambio cultural que ocurre. Pero a su punto, siempre hay discusiones sobre la protección de los datos de nuevas maneras. Mi antigua jefa, Sarah Mosley, cuando era Chief Technical Officer en CiscoCissa, estaba ahí predicando: “Tienes que proteger los datos”, allá por 2015, 2016. Hack Diag, que es otro de esos cuasi-think tanks aquí en Washington, DC, publicaron un documento, creo que en 2018, sobre Zero Trust, así que estaba ahí fuera, pero a tu punto hasta que empiezas a poner cosas muy tácticas en un memo Zero Trust, la orden ejecutiva cibernética que realmente llamó la atención de todos. Pero incluso entonces, podríamos hablar un poco sobre esto; incluso cuando ponemos como agencias pueden mover rápidamente la identidad en línea, había preguntas como, ¿qué significa eso realmente? Todos estaban al mismo tiempo volviendo a la tecnología, sabíamos que era necesario cambiar la forma en que las agencias pueden conectarse a la nube y conectarse con sus usuarios, ya sean sus usuarios remotos, usuarios empresariales o base de clientes. Y mover ese tráfico a través de esos puntos de acceso tecnológicos físicos no era la manera de avanzar en la infraestructura moderna. Entonces, necesitábamos ser capaces de liberar algo de presión y ofrecer nuevas formas. Entonces, estamos empezando a ver que las agencias utilizan soluciones de edge de acceso seguro (SASE) o Security Service Edge (SSE), de la manera en que antes no era posible. Entonces, ha habido, casi como dijiste, una manera muy táctica, pilar por pilar. Y solo para retroceder un poco con OMB y esa estrategia, alineamos nuestro lanzamiento de nuestro modelo de madurez Zero Trust, así que complementamos la estrategia. Y en CISA, entonces teníamos esos cinco pilares, ¿verdad? Dispositivo de identidad, datos, red de aplicaciones y, oh, y su memo salió de esa manera. Y tal como se hablaba, tenía oh el pilar de identidad que las agencias necesitan para hacer esto. Bueno, las agencias del pilar de dispositivos necesitan hacer eso. Y dio una hoja de ruta muy clara de cómo elevar la postura de seguridad en toda la empresa federal. Pero realmente, están los cambios organizacionales que ocurren al mismo tiempo que son críticos para esto.

22:29 Raghu Nandakumara

Si. Y estoy de acuerdo, creo que las palabras que usas fueron realmente buenas sobre, realmente se trata de forzar un cambio cultural o un cambio de estrategia. Pero solo especificar eso sin al menos algún nivel de detalle táctico significa que es muy difícil entonces precisar a la gente porque es como, bien, bien, muéstrame en realidad lo que has hecho. Y las brocas tácticas les ayudan a mostrar lo que han hecho. Entonces, usted habló del Modelo de Madurez de Confianza Cero. Y ahí creo, 2.0, que se estrenó el año pasado. 1.0 fue hace un par de años. Háblanos de eso. Eso es bastante rápido, poco después de lanzar una especie de segunda versión. ¿Por qué sentiste que era necesario seguir adelante con eso? ¿Cuáles son los aprendizajes clave de la primera versión, la implementación de la misma y los comentarios que informaron las mejoras o mejoras en 2.0?

23:21 Sean Connelly

Sí, esa es una gran pregunta. Entonces, comencemos de esta manera. Entonces, lanzamos la primera versión en el verano de 2021. Al mismo tiempo OMB dio a conocer estrategia Zero Trust, borrador. Y de verdad, a pesar de que lanzamos la versión uno, porque creo que se requería, estaba en la orden ejecutiva cibernética. En realidad, era más de un draft que quería simplemente sacar algo por ahí. Una de las razones por las que queríamos dar a conocer en ese momento era que las agencias se encargaban de enviar su plan de implementación Zero Trust a la Casa Blanca. Y de nosotros mismos en CISA y OMB, queremos que las agencias tengan como una taxonomía común, un lenguaje común, cuando nos hablan porque, particularmente a OMB y a nosotros mismos, va a ser difícil leer más de 100 planes, y no tienen algo en común. Entonces lanzamos el modelo de madurez para ayudar a guiar a las agencias y a las agencias navales la discusión cuando vinieron a nosotros y nos dijeron cómo están mejorando, pero lo liberé, sabíamos que íbamos a tener que hacer una segunda versión. Entonces, lo interesante fue que mencioné esos planes de implementación que las agencias tenían que dar a conocer a OMB. Y luego el verano, la primavera, y el verano de 2022. Había un equipo tigre con nosotros mismos y, OMB, y algunas otras agencias Pymes (expertos en la materia). Y pasamos por una agencia por agencia, el número de planes de implementación; hay 20/25, agencias de la ley CFO, todas las agencias de parte, y luego un número de las agencias más pequeñas también. Pasamos de nuevo, equipo a equipo a través de esos y tuvimos estas discusiones con las agencias para entender dónde estaban en su viaje Zero Trust. Todo eso se reflejó entonces en la versión dos del memorando que se publicó sobre, creo, abril del año pasado, así que realmente reflejó esas discusiones, nuevamente más de 100 reuniones de grupos de trabajo con agencias, muchas reuniones con las diferentes comunidades de proveedores y luego la academia. Al mismo tiempo, hay interés de otros gobiernos. Y así nosotros y otros grupos estamos platicando con diferentes gobiernos, como: “¿Cómo está avanzando el gobierno federal Zero Trust? ¿Cómo está apoyando la conexión a la nube?” Y así todos esos tipos de discusiones encajan en ese modelo de madurez. Una cosa que mencioné antes, una de las primeras tareas para la agencia fue poder pasar a una identidad rápida, en línea FIDO2. Y a tu punto, estás hablando de antes de poder poner lenguaje en la política. Pero aún así, las agencias todavía quieren saber: “¿Es esto lo que realmente quieres decir?” Y por décadas más cómo las agencias han estado viviendo de su tarjeta CAC en papel; estamos usando empleados del gobierno federal, y ellos tienen su tarjeta. Pero necesitamos otras formas de poder hacer avanzar un MFA multifactor resistente al phishing. Entonces, en esa política, OMB tuvo la previsión de poner la capacidad de usar FIDO. Pero en esas discusiones en 2022, casi todas las agencias, tuvimos que ir y discutir lo que entendíamos con ella porque su identidad es una especie de esas industrias divertidas en cuanto a agencias y cómo respetan. Algunas agencias tienen como asesor de identidad; otras agencias tienen una PYME de identidad? O, si ni siquiera le preguntaba a la agencia, ¿quién lidera la estrategia de identidad para la agencia? ¿Es el grupo de Active Directory? ¿Es el grupo PKI? ¿Es como la nube o las personas que ejecutan las cuentas en la nube? Y así cada uno de esos realmente tenía que ponerse al frente y explicar lo que quisimos decir por ser usados la identidad rápida en línea, o simplemente reflejar algunas de las preguntas que nos están llegando en cada uno de los diferentes pilares fuera de la estrategia.

26:39 Raghu Nandakumara

Impresionante. Entonces, si fuera a resumirse algunos de esos datos clave de retroalimentación que está recibiendo y analizando en todos estos planes, ¿cuáles fueron los fragmentos de retroalimentación más significativos que informaron las actualizaciones del modelo de madurez?

26:52 Sean Connelly

Te refieres a la versión dos, ¿verdad? ¿Una versión diferente? Sí, solo obtén una perspectiva. Es un documento de 20 páginas y ni siquiera incluye a todos los trabajadores; acabamos de hablar de cuando tuvimos el RFC público en septiembre, creo, o 2021. Teníamos más de 300 comentarios o más de 200 páginas, y más de 30 comentarios, y un documento de 20 páginas. Entonces, tardó un tiempo en destilar los temas comunes. Estás hablando de, por supuesto, que algunos vendedores quieren posicionar su tecnología; tuvimos que sacar el texto de esa naturaleza; realmente estamos hablando de lo que estamos tratando de hacer, cuál es nuestra intención aquí. Cuando ponemos priorización se buscan agencias. Entonces, por ejemplo, las agencias querían que este tipo fuera interesante; querían más información sobre el desaprovisionamiento, sobre cómo desaprovisionar dispositivos. Mucho, pongamos algo en línea o no se trata mucho de desaprovisionamiento. Entonces, queríamos hacer cumplir que eso comenzara a hacer que las agencias pensaran cómo tienen que desaprovisionar cosas. Mencioné la alineación MFA a MFA resistente al phishing y FIDO2. Ponemos un lenguaje más fuerte, tanto hacia eso como hacia v2. Otra cosa estaba en el lado de la red era más hacia la microsegmentación. Y fue interesante. Entonces, nuevamente, la comunidad documental, realmente se trataba de segmentación de aplicaciones. Entonces, hay segmentación de aplicaciones yendo al pilar de aplicaciones, pero lo estamos haciendo a través de diferentes herramientas de networking, y decidimos ponerlo en el networking. Y para ser justos, todos los modelos están equivocados. Algunos modelos son útiles, y solo estamos tratando de liberar esto. No estamos diciendo que esta sea la única manera de verlo. Es entonces cuando hablamos con las agencias. Cuando me habló solo ayudó a la agencia a entender a la comunidad entender lo que significa CISA. Pero no estamos diciendo que ciertamente tengamos razón, y de lo que estamos hablando hacia la seguridad de las aplicaciones, la segmentación es como el pilar de la red. Otro es el cifrado. Algunas comunidades pensaban que el cifrado debería estar, creo, en el pilar de datos; creo que tenemos ya sea el pilar de red o de aplicaciones. Entonces, solo hay muchas formas diferentes de posicionarse y no definitivamente no está aquí para decirlo, lo cual fue correcto o incorrecto. Otro modelo de madurez que está ahí fuera, como mencioné, es Randy Resnick ante el Departamento de Defensa (DoD) y su Zero Trust. El DoD tiene mucha información excelente por ahí, tienen una estrategia para obtener la arquitectura de referencia, se inclinan por muchas de las capacidades o controles, creo que tienen siete jugadores cruzando. Tenemos los cinco pilares que mencioné antes y luego tres capacidades transversales: visibilidad, automatización y gobierno. Nosotros simplemente realmente, honestamente, muchos de nosotros solo estética. Cuando escuchas la charla de Randy y nos escuchas, estamos diciendo lo mismo, solo ligeramente diferente darle una óptica un poco diferente y ayudar a la gente a entender porque una cosa que hago yo vengo de experiencia en marketing, y una de las cosas que escuchas es, tienes que explicar algo siete veces siete maneras diferentes, y eso es lo que estoy tratando de hacer aquí solo ayudar a explicar esto de diferentes maneras la intención. Volveré a lo que John Kindervag estaba posicionando hace más de 10 años.

29:45 Raghu Nandakumara

Sí, absolutamente. Mi mente está a toda velocidad con todas las cosas a las que puedo reaccionar y todo lo que acabas de decir. Pero comencemos primero con lo último. Creo que poder enmarcarlo de varias maneras en última instancia, creo que, como practicantes de Zero Trust, es realmente lo que queremos es para, para las agencias, para las organizaciones, etc., adoptar una estrategia Zero Trust y luego ejecutar las tácticas para madurar su postura. Y así sea como sea que cuentes esa historia, siempre y cuando una de esas formas resuene, eso es genial. Entonces tener múltiples formas de saber que es, es realmente importante. Hablemos más o menos de ese camino hacia la madurez en la tierra ZTM, si me dejan llamarlo así. Tienes una especie de esas etapas iniciales avanzadas y óptimas tradicionales, y tienes estos mapas abajo para cada uno de los pilares. Cuando inicialmente liberaste el modelo de madurez y luego, por supuesto, el seguimiento hacia el punto cero, ¿inicialmente viste que esa organización se dirigía de cabeza hacia alcanzar una especie de madurez óptima en un pilar antes de que luego pasaran al siguiente pilar? Porque veo eso reflejado en alguna de sus redacción 2.0.

30:51 Sean Connelly

Sí, ese es un gran punto. Y algo que incluso había mencionado sobre la diferencia entre v1 y v2. V1 tiene lo tradicional, avanzado y óptimo. En v2, tenemos tradicional inicial y avanzado óptimo. Y realmente necesitamos poner esa inicial porque hay una distancia tan amplia, por así decirlo, entre lo tradicional y lo avanzado, y como necesitábamos alguna forma para que la inicial solo pudiera tener una agencia u organización entender cuándo están comenzando en ese viaje. Y así, era crítico para nosotros tener iniciales ahí. Pero a tu punto, mucho lenguaje, hablamos muchas organizaciones un poco diferentes en las agencias civiles del Poder Ejecutivo, donde ya empiezan a transitar. Estamos hablando con muchas agencias que todavía están en lo tradicional y apenas empiezan. Y así simplemente migrando, solo de lo tradicional a lo inicial es donde están gran parte del mayor conjunto de organizaciones. Pero a tu punto, al igual que los propios pilares, de nuevo, intencionalmente lo hicimos abstracto de una manera para que pudiera ser ampliamente interpretado. Pero hemos escuchado algunos, como creer que necesitamos llegar al pilar de identidad óptimo antes de poder enfocarnos en el pilar de la red. Y esa no es realmente la intención de nuestro modelo en términos de categorización o cómo los alineamos. Idealmente, las organizaciones se moverán paralelas y las distintas columnas mismas. Y mucho de mi enfoque y el enfoque de John Kindervag, creo que algunas de las cosas que ves de Zero Trust realmente comenzaron más en el lado de la red. Entonces creo que algunas agencias u organizaciones ya estaban un poco más avanzadas, si se quiere, en la red, frente al pilar de datos. En general, volviendo a iniciamos esta conversación, mucho de esto se trata de seguridad de datos de nuevas maneras. Pero creo que el pilar de seguridad de datos ha sido el más débil y como el que más teníamos que hacer. Y casi hemos hecho esto, otra vez, para darnos cuenta de esto. Cuando comenzamos a escribir el modelo de madurez, es casi como si pusiéramos estas otras categorías, aplicaciones e identidades de dispositivos y redes alrededor de los datos porque realmente no podíamos manejar los datos a escala de la manera que podemos hacer ahora.

32:55 Raghu Nandakumara

Sí, estoy completamente de acuerdo. Creo que también en términos de eso, la forma en que te mueves en el modelo de madurez, y creo que el gráfico de montañismo que tienes en la oscuridad es apropiado, porque realmente es algo así, si pienso también en tu informe de modernización de TI, es ese enfoque basado en el riesgo. Y si pienso en ese camino que sube a la montaña, es cuál es la fruta baja o el siguiente paso más fácil que puedo dar para llevarme a la siguiente etapa. Y como que zigzagueo por el camino y, y podría ser mejor. Y eso es exactamente, llévame de un pilar a otro. Porque lo siguiente obvio basado en mi evaluación de riesgos está en un pilar diferente al que estoy enfocado hoy en día.

33:43 Sean Connelly

Sí, solo una nota personal. Entonces, lanzamos el modelo de madurez, creo, en abril del año pasado. Y dentro de una semana, solo por coincidencia, Kevin Mandia, y todos conocen Kevin Mandia, se presentaba en la Conferencia RSA. Y tomó esa montaña modelo de madurez y la puso en su mazo, y estoy seguro de sacar los puntos de conversación y conseguir que sea aprobado por todos; es bastante monumental. Pero para ellos poder poner esa cubierta de montaña fue bastante complementario para nosotros. Pero revelación completa, era como el de Johnson como un colega; era más de uno empujando por esa montaña. Ha resonado. Creo que la burla, sin embargo, es cuando llegas a la cima, esa montaña, realmente es una cordillera, y puede haber montañas detrás de ti, no han matado analogía, pero la razón por la que digo eso es porque así óptimo, moveremos la bandera, moveremos los postes de meta en algún momento justo a medida que evoluciona la tecnología, necesitamos agregar nuevas y nuevas formas. Pero sí, entonces por alguna razón, a tu punto, eso ha resonado subiendo la montaña que no veía venir.

34:48 Raghu Nandakumara

Sí, me gusta mucho. Entonces, ¿cómo están... entonces si pensamos en el progreso, las agencias están haciendo, cómo están rastreando esto? ¿Con qué frecuencia se realiza el seguimiento? ¿Y cómo se les hará rendir cuentas?

35:01 Sean Connelly

Sí, voy a andar de puntillas alrededor de eso. El lujo de ser arquitecto en CISA, estamos enfocados en la ciberseguridad. Pero para ser absolutamente justos, es una pregunta prioritaria para Oficina de Presupuesto Gerencial, el cerro, y tenemos equipo que se sienta ahí para ayudar y responder esas preguntas ellos mismos. Existe una necesidad crítica de contar con mediciones. Entonces volviendo a la estrategia, la estrategia Federal Zero Trust, las agencias se han medido en función de qué parte de su flota, quién en su ecosistema tiene MFE resistente al phishing en ella, qué parte de sus datos en la nube es categorización de datos. Entonces, hay medidas, afortunadamente, volviendo a lo que hablábamos antes, para tener el memo en sí para medir eso. Y cada uno de esos es para mí, la capacitación, y pude ver que no quiero profundizar en qué agencia versus qué agencia lo está haciendo bien, pero es más, claramente estamos viendo un empujón hacia Fisher's como a MFA en los últimos años que solo puede ayudar al gobierno federal pueda ayudar a los ciudadanos en cuanto a que puedan usar estas redes de manera segura. Estamos viendo una clara tendencia hacia que las agencias se alejen de lo que hablamos con TIC uno y TIC dos; varias agencias federales tuvieron que usar proveedores comerciales de TIC. Se llaman M proveedores TIC. Son un servicio administrado que pocos proveedores diferentes brindan, y las agencias, durante años, han estado pidiendo otras soluciones, además de M tips. Es muy costoso, es muy ineficiente, como hablé del impuesto TIC. Estamos empezando a ver a la agencia alejarse de las soluciones ingresadas para poder avanzar en las soluciones SASE con servicio de cert de seguridad y soluciones de maneras que claramente no solo crea redes más eficientes, es una mejor seguridad en general, sino para obtener una mejor visibilidad. Entonces, hay tendencias claras para cada uno de esos pilares que complementan volver a reclamar el éxito, si se quiere, en algunos de esos diferentes pastos fuera de la estrategia.

36:54 Raghu Nandakumara

Impresionante. Cuando el, cuando se publicó el memorándum, y se fijaron las expectativas de eso, había una especie de necesidad de ver avances significativos para el ejercicio fiscal 24. Desde su perspectiva, ¿están las agencias en camino de lograr eso? Parece que sí.

27:14 Sean Connelly

Sí, entonces la OMB está trabajando con la agencia para medir algo de eso. Pero nuevamente, se remonta al phishing a la adopción de MFA es crítica. Ser capaz de poner y realmente mencionar la detección de punto final y la respuesta EDR. Hay un gran impulso de estar, tener un número, un mayor número de dispositivos que soportan algún tipo de agente de respuesta de detección de punto final allí. Por el lado de la red, mencioné SASE. Entonces, estamos midiendo, como se imaginó, estamos trabajando para asegurarnos de que nosotros, CISA, aún ganemos visibilidad porque es fundamental para nuestra misión, ya que las agencias se están moviendo hacia estas nuevas plataformas. Entonces, hay una serie de formas en que OMB y la colina y diferentes organizaciones, creo que en GAO, de ser responsables, dimensionarlas, están midiendo nuevas formas.

38:00 Raghu Nandakumara

Entonces, ¿qué pasó? Entonces, estamos en el año fiscal 24, eso va y viene, hemos logrado el avance que se deseaba. ¿Qué sucede ahora para dar el ímpetu para la siguiente etapa de progreso? ¿O es suficiente el impulso para que ahora más o menos las agencias vayan, más o menos, van a estar en su camino alegre y van a continuar?

38:21 Sean Connelly

No, esa es una gran pregunta que desde mi perspectiva, puedo decir que OMB es capitán de equipo en Zero Trust, y algunos otros tendrán que esperar para ver qué sale de OMB. Pero hay discusiones sobre cuál es el siguiente paso para su tablero.

38:34 Raghu Nandakumara

Bien, solo recuerdo, estás hablando de los comentarios que se proporcionaron de nuevo en la superficie del Modelo 1.0 de Madurez, y recuerdo como que proporcioné comentarios en nombre de nuestra empresa. Pero sí recuerdo, creo, el punto que mencionaste sobre ciertos proveedores esencialmente simplemente introdujeron toda la documentación de su producto y dijeron: “Así es como se despliega desde hasta el do x”. Y recuerdo haber visto versiones de eso y algunas de las, algunas de las revisiones que conseguimos revisar y dar comentarios. Y recuerdo entrar y una especie de reescribirlo desde la perspectiva de esta es una especie de capacidad que estás tratando de introducir, y por eso, etc. Entonces, si piensas en tus comentarios, estoy seguro de que te has encontrado con cosas que he comentado en algún momento.

39:15 Sean Connelly

Sin embargo, tengo una forma diferente de girar eso. Una de las posiciones que ocupe es que soy miembro alterno de la junta directiva del fondo de modernización tecnológica, los fondos de modernización tecnológica, TMF, solo para la concientización de todos. TMF es una solución para agencias que tal vez no puedan obtener financiamiento a través de canales normales que tanto el Congreso como la Casa Blanca son capaces, creo que en 2018, crear esta otra forma alternativa para que las agencias presenten propuestas a la TMF. Se ha quedado sin la estrecha alineación de GSA con OMB y nosotros en CISA. Una serie de agencias, pero es una forma de que las agencias envíen propuestas y cómo modernizar el sistema de una manera nueva. Pero cuando tenemos esa discusión, miré mucho el sitio web de TMF. Puedes leer justo en la primera página, hay artículos sobre cómo la modernización de sistemas para una agencia para agricultores para que los agricultores procesen sus datos más rápido. Hay otro premio que fue para una agencia para que las empresas puedan obtener productos personalizados a través de sus puertos adecuados más rápido, otro para veteranos y obtener esos servicios, su servicio se beneficia más rápido. Lo que no me escucha decir es que no me escucha decir que esas agencias pueden haber sido galardonadas con algo MFA, o las dos agencias pueden estar usando el cambio de la nube y aprovechando las nubes de etiquetado de datos y categorización de datos. Pero incrustado en cada uno de esos premios otros son el principio de Confianza Cero, son los inquilinos Zero Trust. Y de eso se trata con TMF de obtener servicios, fondos o información a las personas más rápido. Y así se ha vuelto a hacer mucho, idealmente queríamos inquilinos de Zero Trust y que los productos se hornearan. Entonces, al igual que usted está hablando con los vendedores, y cómo vinieron a nosotros con sus comentarios y sus servicios y su propiedad intelectual, aún pudimos permitir, bien, ¿cuál es la verdadera intención aquí? ¿Dónde está el valor real y utilícelo para informar el modelo de madurez?

41:11 Raghu Nandakumara

Impresionante. Entonces, ¿qué ves como el cuando miras hacia adelante? Y piensa en, bien, ¿la madurez continua de Zero Trust en todas las agencias? ¿Cuáles ve como una especie de desafíos clave que prevé en el futuro?

41:22 Sean Connelly

Sí, entonces quiero decir, después de un poco diferente, como lo que ha sido el reto que realmente ha empezado a desbloquearse en el último poquito. Honestamente, creo que en realidad esto es más que la orden ejecutiva cibernética, nuevamente, la precursora del memo, pero es necesario que cada agencia tenga una Pyme Zero Trust, experta en la materia. Hemos visto cómo ese rol se rebotó dentro de algunas agencias donde puede haber sido solo un ejemplo abstracto pero puede haber comenzado donde era la Pyme Zero Trust en la oficina del CIO, y luego puede ir a la oficina del CISO, y luego puede ir a la CTO ha sido indicativo de como, solo para entender cómo posiciona los principios de confianza cero? Y las ideas, y entonces lo llamamos, ¿tienes disciplina dentro de la agencia? Y no me malinterpreten, no hay una respuesta perfecta. Algunas agencias han hecho más como consejeros de Zero Trust y han traído algunas de sus Pymes de los diferentes pilares, si se quiere, como tener identidades Pymes en sus redes Pymes. Otras agencias han hecho más donde tienen una casi, una sola persona o una sola oficina dejan eso para esa agencia. parte de eso fue solo el posicionamiento de los cambios organizacionales que están sucediendo dentro de la propia agencia, pasando de mucho tiempo, como como las agencias se están trasladando a la nube, cómo cambia la organización, entonces antes lateralmente, las operaciones de red, operaciones de seguridad, para data centers, operaciones de data center seguras enfocadas en paquetes y enfocarnos en asegurarnos de que obtuvimos tu p cap y tener nuestras identificaciones o tener nuestros centros en su lugar. Bueno, todo ese tipo de visibilidad cambia en la nube. Y así teniendo en juego los cambios organizacionales, entonces las agencias ahora tienen el tipo correcto de Pymes para equilibrarse. A veces, todavía lo vemos con los proveedores de la nube; están teniendo que proporcionar, yo no lo llamaría, heredado, sino algunos de los servicios primordiales. Entonces, PCaps, cuando siempre escuchamos que los proveedores tienen que regresar y dar soporte. Creo que los proveedores de la nube, en general, no pensaban que los SoC y NOC quisieran tener esa captura de paquetes sin procesar. Pero así es como mucha de la organización, no solo hablo por el gobierno federal. Es decir, solo en general, muchas organizaciones todavía tienen ese deseo, tienen herramientas o tienen libros de jugadas basados en la captura de paquetes. Y así, todavía hay ese cambio organizacional que está sucediendo con diferentes posiciones a diferentes ritmos que son clave, creo, para poder aprovechar las soluciones Zero Trust, nativas de la nube, más monetización.

43:53 Raghu Nandakumara

Quiero decir, que eso creo que abre un sentido, la apertura abre otra lata de gusanos, que es todo un episodio de podcast separado se trata de una especie de cómo, a medida que te modernizas, cómo evitas una especie de levantar eres algo de tu deuda heredada y llevarla contigo adoptando nuevas técnicas y procedimientos, pero eso es para cuando vuelvas al podcast, Sean. Tendremos un episodio completo sobre eso. Entonces, pero solo un par de cosas antes de que concluya, tomando un poco de perspectiva global. Estoy seguro de que hay gobiernos a nivel mundial, muchos tipos de aliados de Estados Unidos que miran el éxito que Estados Unidos, las agencias estadounidenses están teniendo con la adopción de Zero Trust y que buscan adoptar enfoques similares para impulsar su modernización de seguridad. ¿Eres capaz de poner un poco de contexto y detalles sobre cómo estás viendo la proliferación de Zero Trust más allá de las fronteras de Estados Unidos?

44:47 Sean Connelly

Claro, voy a tener cuidado aquí, pero ha habido discusiones con agencias, algunos de los gobiernos federales, y algunas de las discusiones son hacia la FedRAMP. Y justo en términos del programa que es FedRAMP, algunos gobiernos todavía están tratando de levantar su versión de gobierno o su versión de FedRAMP dentro de su país. Algunos países han hecho lo que hicimos con TIC dos en cuanto a si tenían estos datos o si hay agregación de red, estos puntos de acceso TIC finitos. Y ahora el gobierno está en el mismo lugar donde hay nube, hay móvil. Y así, los gobiernos vienen a nosotros. ¿Cómo aprovechamos esa solución de servicio de acceso seguro o la solución SSE? Entonces, estamos teniendo ese tipo de discusiones. Otro que se remonta al MFA resistente al phishing. Esa es otra área. De nuevo, creo, donde el gobierno federal es un poco diferente, teníamos tarjetas PIV y CAC. Pero un poco diferente a nuestros otros gobiernos. Pero ahora está viendo un claro interés en las soluciones FIDO2. Entonces, es un amplio espectro de esas discusiones, no solo una posición hacia lo que hace CISA. Pero nuevamente, la evolución de la nube y solo la soberanía de los datos es otra área en la que escucho muchas preguntas.

45:56 Raghu Nandakumara

Impresionante. Bien. Entonces, para terminar, desafortunadamente, tenemos que poner fin a esto. Entonces, estás en el inicio de una sala de reuniones con una nueva agencia, y ellos están a punto de comenzar su viaje de Zero Trust. Y dicen: “Oye, Sean Connelly, Arquitecto Federal Zero Trust, no tenemos idea de lo que es Zero Trust. ¿Puede iluminarnos en lo que nos estamos metiendo?” ¿Qué dices?

46:22 Sean Connelly

Entonces eso, eso sería interesante porque no hay nuevas agencias en el gobierno federal, ¿verdad? Entonces, mucho de esto es tecnología muy, muy antigua; tenemos algunas de las tecnologías más antiguas, ¿verdad? Nadie está diciendo, como a la NASA, que necesitan poner MFA de phishing en los satélites Voyager que están a 10 mil millones de millas de distancia o que necesitan poner un agente EDR alrededor del rover marciano. Entonces, no se trata tanto de la nueva organización. Pero a tu punto, donde creo que vas con una pregunta, mencioné a John Kindervag un par de veces; tuve el placer de trabajar con John hace unos años en un puerto diferente al presidente desde la pila de bolígrafos. Siempre me equivoco en esto. Creo que fue un Comité Asesor de Telecomunicaciones de Seguridad Nacional. Esos documentos están disponibles en el sitio web de CISA. Si solo escribe NSTAC Zero Trust, debería estar a la altura. Pero en ese documento, una de las cosas que hay ahí, y esto es lo bueno de colaborar con John, fue que John pone los cinco pasos para Zero Trust. Y John, en su haber, siempre está diciendo que Zero Trust es, es realmente fácil. Entonces, en ese documento están esos cinco pasos. El primero es definir la superficie protegida. Y ese es el primer paso. Ahora, eso es diferente a lo que éramos con TIC Two sea lo que sea que estés tratando de proteger, intentas proteger el mainframe, tratando de proteger parte de la nube, ponerla detrás del TIC. No se definió la superficie de protección. En Zero Trust, ¿es lo que intentas proteger? Ahora sabes que tienes ese primer paso, el siguiente paso es mapear los flujos de transacción. Una de las cosas clave, sin embargo, volviendo a, acabamos de hablar de flujos de transacciones, no nos referimos solo al sistema, el sistema, el cliente-servidor, sí, esos son importantes, como algún tipo de captura de paquetes o simplemente de manera, sino que también es la organizativa quien está hablando con quien tiene un firewall entre hablar con el equipo de contabilidad o con la propia organización. Entonces, esos tipos de flujos son críticos aquí. Entonces empiezas a construir esta nueva arquitectura. Y de nuevo, lo ideal es que las soluciones centradas en los datos estén tratando de acercar la seguridad a lo que se está protegiendo. Parte de la clave es volver al modelo de madurez; a medida que está construyendo este nuevo sistema, lo ideal es comenzar a recibir señales diferentes de cada uno de esos pilares. El pilar de red, quieres señalizar desde el dispositivo host, quieres tener señal de identidad quieres señal, todas esas señales que puedan alimentar a lo que es el cuarto paso, que es la creación de las políticas. Significando políticas dinámicas. Entonces, como cliente, voy a servir, o puede haber acceso a eso, pero también, nuevamente, a las políticas organizacionales en sí. Y entonces el quinto paso es tanto manifestarlo, monitorearlo y mantenerlo. Por lo tanto, esos cinco pasos, que comienzan con la búsqueda de un servicio de protección, debe realizar flujos de transacción, construir la arquitectura, definir las políticas y mantener y monitorear. Esos son los cinco pasos y cosas que yo empezaría con esa pregunta.

49:01 Raghu Nandakumara

Impresionante. Bueno, Sean, quiero decir, tengo tantas preguntas más para ti, entonces sé que tienes un día ocupado al que volver. Muchas gracias por este tiempo de hoy. Realmente lo agradezco. Ha sido fantástico hablar con ustedes.

49:13 Sean Connelly

No, esto es genial. Usted conoce claramente la modernización de la red, sabe a dónde vamos. Esta ha sido una conversación divertida. Muchas gracias.

49:20 Raghu Nandakumara

Muchas gracias, Sean. Gracias por sintonizar el episodio de esta semana de The Segment. Volveremos con nuestro próximo episodio en dos semanas. Mientras tanto, para obtener más recursos de Zero Trust, asegúrese de visitar nuestro sitio web, www.illumio.com, y encuéntrenos en LinkedIn y X usando los enlaces de nuestras notas de programa. Eso es todo por hoy. Soy tu anfitrión, Raghu Nandakumara, y pronto volveremos con más.

‍