Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
La batalla cotidiana en el ciberespacio
Season One
· Episodio
8

La batalla cotidiana en el ciberespacio

En este episodio, el presentador Raghu Nandakumara se sienta con Gary Barlet, CTO de Campo Federal en Illumio, para discutir su propia experiencia personal con Zero Trust, los principales desafíos cibernéticos que enfrentan las organizaciones federales y por qué adoptar un enfoque de “asumir incumplimiento” en materia de ciberseguridad.

Transcripción


00:09 Raghu Nandakuma: Bienvenido a The Segment: A Zero Trust Leadership Podcast. Soy su anfitrión Raghu Nandakumara, Jefe de Soluciones Industriales en Illumio, la empresa de Segmentación de Confianza Cero.

El día de hoy, me une Gary Barlet, CTO de Campo Federal en Illumio.

En Illumio, Gary es responsable de trabajar con agencias gubernamentales, contratistas y el ecosistema federal más amplio para ayudarlos a cumplir sus objetivos de seguridad Zero Trust. Anteriormente, Gary fue director de información federal y también es un oficial retirado de operaciones cibernéticas de la Fuerza Aérea con más de 29 años de experiencia en el ejército y en el gobierno.

Hoy, Gary se une a nosotros para discutir su propia experiencia personal con Zero Trust, los principales desafíos cibernéticos que enfrentan las organizaciones federales y por qué adoptar un enfoque de “asumir incumplimiento” en materia de ciberseguridad es importante. Gary, es un absoluto placer tenerte hoy aquí. Muchas gracias por acompañarnos.

01:13 Gary Barlet: No, gracias, Raghu. Estoy muy emocionado de estar aquí.

01:15 Raghu Nandakuma: No tan emocionado como estoy de tener esta oportunidad de hablar con usted, Gary. Así que has estado en la industria durante bastante tiempo, y estoy seguro de que has visto toda una gama de escenarios y experiencias diferentes. ¿Puedes decirnos qué te atrajo a la ciberseguridad?

01:30 Gary Barlet: Claro. Entonces cuando empecé mi carrera en la Fuerza Aérea, era temprano en el mundo de las redes para la Fuerza Aérea, y de hecho pasé la primera mitad de mi carrera sin hacer nada que ver con las redes. Realmente me invirtió mucho cerca de la segunda mitad de mi carrera. Pero hay que entender, estando en la Fuerza Aérea, éramos un blanco principal para los adversarios, especialmente los adversarios de Estado-nación, adversarios muy serios. Así que rápidamente se da cuenta de lo crítica que es la verdadera seguridad de la red de la verdadera seguridad empresarial, y se da cuenta de que no se trata solo de: “Oh, ¿tiene antivirus actualizado en su computadora portátil? ¿Tiene un firewall activado en su computadora portátil? ¿Tiene una buena contraseña?” Entiende la complejidad que implica tratar de proporcionar seguridad real y verdadera a nivel empresarial, y eso me pareció fascinante. Y encontré el reto de tratar de ser más astutos que tus adversarios y librar una batalla, era una batalla diaria. En el ejército, no todo el mundo se encuentra en combate. Los diferentes conjuntos de habilidades se encuentran más a menudo que no en combate, muy raramente. En el ciberespacio, estás en combate todos los días, y esa es una de las cosas que más he disfrutado de mi tiempo haciendo esto, es que estás en una pelea y lo estás haciendo todos los días.

02:46 Raghu Nandakumark: En mi tiempo libre, me geek con los videos de infraestructura en YouTube. Y estaba viendo la escala de infraestructura que despliegan la Fuerza Aérea y las Fuerzas Armadas. ¿Cómo se asegura una red que es tan rápida y tan diversa? ¿Cómo se hace siquiera para diseñar eso?

03:07 Gary Barlet: Entonces tiene sus retos. No voy a mentir. Una cosa es pensar en hacerlo en trozos pequeños. Tienes que tratar de identificar dónde vas a enfocar tus recursos. Eso es una cosa de estar en ciberseguridad, nunca tienes recursos suficientes para hacer todo. Siempre tiene una lista de tareas pendientes que es más larga de lo que podría esperar lograr, y constantemente está volviendo a priorizar esa lista de tareas pendientes. Entonces la realidad es, miras las cosas... Usted hace su administración de riesgos, cuáles son sus mayores amenazas, cuál es el impacto de... Si hay un compromiso, qué va a tener el mayor impacto, y realmente intentas concentrar tus esfuerzos en proteger esas cosas. Y tratando de bloquear las cosas que crees que puedes bloquear, y lo último es que pasas muchas noches sin dormir. No duermes muy bien la mayoría de las noches como resultado de ello.

03:52 Raghu Nandakuma: Estoy completamente de acuerdo. Entonces en tu experiencia, y por supuesto, ni siquiera hemos hablado de tu experiencia en el servicio postal... ¿cuándo te topaste por primera vez con el término Confianza Cero?

04:03 Gary Barlet: Entonces, la primera vez que me encontré con el término Zero Trust fue probablemente, no sé, hace cinco años. Hace cinco, seis años, tal vez. Hace tiempo que existe. Pero es interesante. La primera vez que lo escuché, estaba como, “Oh, aquí vamos. Es otro cambio de marca”. Ya sabes cómo es el mundo de TI. Re-brand cosas, lo viejo otra vez es nuevo, y simplemente rebrand las cosas. Entonces, cuando escuché por primera vez el término Zero Trust, estaba como, “Aquí vamos”. Y honestamente, parte de la razón por la que me sentí así es algunas de las primeras cosas que se destacaron en Zero Trust, hablaron de identidad y saber quién está accediendo a qué. En el ejército, llevamos mucho tiempo hablando de eso. Así que al principio, se sintió como un cambio de marca. Y luego, cuando realmente empiezas a ahondar en lo que realmente está en el corazón de Zero Trust, realmente empiezas a entender que realmente es una forma diferente de ver las cosas con una mentalidad diferente, especialmente cuando realmente llegas al corazón de la misma y hablas sobre la mentalidad de “asumir violación”. Y suponga que nunca va a ganar completamente la batalla de detener una brecha, pero lo que puede hacer es tratar de minimizar el impacto de esa brecha.

05:01 Raghu Nandakuma: Entonces en realidad, lo que acabas de decir, eso es algo realmente interesante. Quiero ahondar un poco más. Entonces dijiste que eras una de esas personas que cuando te cruzaste por primera vez con Zero Trust, pensaste: “Esto es solo bombo publicitario”. Y de hecho, probablemente todavía hay gente hoy en día que dice que Zero Trust es solo bombo publicitario. Pero entonces lo interesante fue que dijiste que lo buscaste y te diste cuenta que esto era... En realidad, no era como ropa nueva en el mismo problema, en realidad era una manera completamente diferente de abordar el problema de cómo protegemos las redes empresariales y las organizaciones empresariales. ¿Qué le hizo ver esto como un enfoque diferente? ¿Cuál fue la diferencia que viste que compró?

05:46 Gary Barlet: Fue gracioso. Entonces siempre había tenido conversaciones solo genéricamente, mi tiempo en la Fuerza Aérea, mi tiempo como CIO federal, sobre el hecho de que no siempre puedes ganar, vas a perder, y siempre había tenido esta idea de, “Bien, ¿y si? ¿Qué vamos a hacer? ¿Cómo vamos a responder si perdemos?” Y luego, como dije, cuando realmente empecé a entender un poco Zero Trust y a pensar en ese cambio de mentalidad, no fue solo un cambio de mentalidad para mí, sino un cambio de mentalidad para las personas que tenía trabajando para mí, la forma en que abordamos los problemas. Siempre tuve esta filosofía del 80 por ciento es lo suficientemente buena. Y eso se reduce a cada vez que intentas desplegar algo o intentas hacer algo, esa búsqueda de la perfección es imposible. Y Zero Trust Creo que realmente llega al corazón de: Mira, quieres seguir tratando de dar lo mejor de ti, pero no hay tal cosa como perfecto. Y hay que estar listo para la alternativa. ¿Qué sucede cuando el arte de lo perfecto te falla y tienes que lidiar con la brecha? Y creo que eso es... Ese cambio monumental de enfoque en filosofía es algo que creo que las entidades modernas, agencias y negocios, si no hacen ese cambio, simplemente van a seguir perdiendo.

06:57 Raghu Nandakuma: Derecha. Y esa es una gran manera de enmarcarlo. Esencialmente, creo que lo que estás diciendo es, no dejes que lo perfecto sea enemigo del bien, y toma ese enfoque con visión de futuro, porque también mencionaste este término, “asumir incumplimiento”. Para los oyentes, ¿a qué te refieres con asumir incumplimiento?

07:16 Gary Barlet: Entonces si miras... Ha habido todo tipo de reportes publicados recientemente que... El tema popular hoy en día es el ransomware. Y ha habido estudios recientes publicados que dicen que algo así como el 76 por ciento de las organizaciones se han visto afectadas por algún tipo de ataque de ransomware. Bueno, si nuestras defensas eran tan grandes, entonces ¿por qué el ransomware es siquiera una conversación? ¿Por qué estamos hablando incluso de ransomware? Pero aquí está la realidad, miras el mercado antivirus, desde hace décadas, el mercado antivirus ha dicho: “Si solo compras nuestro producto, vamos a detener los virus, muertos en sus huellas”. Nunca sucede. Constantemente infectarse, lidiar constantemente con ese tipo de cosas y todo tipo de diferentes tipos de malware. Así que aquí está la realidad: es solo una batalla en curso que es imposible de detener y ganar el 100 por ciento de las veces. Entonces la pregunta es, pudimos hacer... Mucha gente pudo hacer el cambio de, “Bien, mira, sé que tengo antivirus actualizado, pero Necesito copias de seguridad. Necesito hacer una copia de seguridad de mi información porque si este material se infecta, ¿cómo me recupero de una infección? Oh, restauraré desde el backup”.

08:17 Gary Barlet: Pero, ¿qué hacemos con las brechas? Y ahí es donde creo que muchas agencias siguen rezagadas, es la comprensión, va a pasar. En algún momento, va a suceder. Hay un... Entonces, siguiendo esa mentalidad, solo tienes que asumir que en algún momento, algo va a pasar. Todos somos humanos. Las redes son manejadas por humanos. Creo que la gente pierde de vista el hecho de que las redes son manejadas por humanos. Los humanos cometemos errores, y esos errores se van a capitalizar, y hay que estar preparado para lidiar con lo que sucede cuando esos errores se capitalizan.

08:46 Raghu Nandakuma: Entonces creo que lo que estás diciendo es que está absolutamente bien tomar ese enfoque de la suposición de que algo inesperado va a suceder. ¿Es esa una buena manera de expresarlo?

08:58 Gary Barlet: Absolutamente. Y te diré, eso es algo difícil, especialmente para la gente que ha crecido en TI tradicional, hacer ese cambio, porque básicamente lo que estás diciendo es, “te lo estoy diciendo de inmediato, en algún momento, voy a fallar. Voy a fallar. Voy a fallar en el trabajo que me has dado, que es defender el emprendimiento que me has confiado”. En algún momento, voy a fallar. Y ahora la pregunta es, ¿qué voy a hacer al respecto cuando falle? Mucha gente no quiere admitir que van a fallar. Y es... De nuevo, va a suceder. Entonces bien podría aceptar el hecho de que va a suceder y luego tener sus planes de contingencia en lugar de “¿Qué voy a hacer al respecto cuando, no si, cuando suceda?”

09:35 Raghu Nandakuma: Y creo que eso es correcto. Es como asumir esencialmente lo inesperado. Y entonces si empiezas con eso, entonces, esencialmente, qué harías para asegurar que ese evento inesperado tenga el menor impacto negativo posible.

09:47 Gary Barlet: Y esa es la clave. Entonces algunas personas piensan en el hecho de que, Bien, pasó algo malo, ese es el fracaso. En mi mente, siempre ha sido, Algo malo ha pasado, ¿cuál fue el impacto? ¿Qué le hizo a mis operaciones? ¿Qué tan extendido fue el impacto? ¿Cuánto se sintieron mis clientes? Porque honestamente, si los clientes no sienten algo y es solo algo en el back-end con lo que estás tratando pero los clientes no lo sienten, eso es una victoria. Si los clientes no notan el impacto, esa es una de las mayores victorias que puedes tener, ¿verdad?

10:16 Raghu Nandakuma: Sí, absolutamente, absolutamente. Y así vamos a partir de ahí. Entonces hemos entendido cómo te compraste en ese concepto de Zero Trust. Entonces, ¿ahora puedes contarnos un poco sobre cómo entonces realmente pusiste eso en práctica, tal vez algunos de los proyectos que ayudaste a pilotar y encabezar donde tomaste este enfoque en el sector público?

10:35 Gary Barlet: Estuve involucrado en el despliegue de tarjetas CAC en el ejército. Y la tarjeta CAC es la tarjeta física que tienes que poner. Fue la implementación generalizada de la autenticación de dos factores en el ejército. Y eso es tener esa identidad segura, así que cada uno de nosotros tenía una tarjeta, tenía un certificado en ella, estaba atada a nosotros como individuo, para bloquear y tratar de centrarnos en esa pieza de identidad. Y luego capitalizamos esas piezas de identidad en todos los sistemas a lo largo de todo el ejército de, Bien, ahora que sabemos que se supone que este es Gary porque es la tarjeta física que está en su mano, él ha ingresado el pin que solo él conoce, ahora tenemos una autenticación basada en certificado que podemos, con algún nivel de garantía, decir: “Este es Gary”. Ahora podemos usar eso para acceder a los sistemas en todas las fuerzas armadas.

11:23 Gary Barlet: Entonces eso fue... En el mundo actual, eso se ve como Zero Trust. Nuevamente, realmente no se llamaba Confianza Cero cuando estábamos haciendo esas cosas, pero ese tipo de enfoque, creo, es crítico cuando estás pensando en estas cosas. Y luego proyectos de migrar a la nube y tratar de adoptar los mecanismos de seguridad que la nube puede traerte. Y especialmente cuando comenzamos a dedicarnos a cosas como hacer evaluaciones del lugar desde donde las personas inician sesión, mirar Comply-to-Connect en computadoras portátiles. Estuve involucrado en un proyecto de implementación de Comply-to-Connect, donde analizamos muy a fondo cuál era el estado del dispositivo que alguien intentaba usar para acceder a la empresa, y luego qué hicimos basándonos en ese punto final de evento estatal. Así que solo hay un par de ejemplos de proyectos que... Nuevamente, ¿se les llamaba necesariamente Zero Trust en ese momento? A veces, sí, a veces no, dependiendo del momento del proyecto, pero desde una perspectiva de intentar implementar algunos de los principales locatarios de Zero Trust, intentamos...

12:24 Gary Barlet: Te lo diré, intentamos... Yo estaba con una agencia. Intentamos una implementación muy grande de 802.1X y VLAN dinámicas para intentar realizar la segmentación. Y te diré, no fue muy exitoso. A veces intentas algo y simplemente no funciona. Ese fue uno de esos proyectos que no fue una implementación exitosa de tratar de hacer una implementación de Zero Trust para mí.

12:48 Raghu Nandakuma: Sí, eso es algo realmente interesante porque creo que a veces el reto, particularmente con algo como segmentación, no es esa segmentación y lo que sea que quieras prefijar eso con, segmentación de red, macro, micro, etc. Eso ha sido algo que nosotros como profesionales de seguridad de redes hemos estado queriendo hacer desde, voy a decir, tiempos inmemoriales. Pero solo la tecnología que nos permite hacer eso a la escala de las redes empresariales de hoy en día solo se ha vuelto esencialmente disponible y verdaderamente utilizable, razón por la cual todavía vemos montones y montones de redes planas, es porque las organizaciones siguen poniéndose al día. ¿Ese es, esencialmente, el desafío con el que te encuentras?

13:32 Gary Barlet: Absolutamente. Quiero decir, justo cuando intentas hacer algo así como un proyecto de segmentación a escala, te encuentras con un par de obstáculos principales, el número uno es simplemente el volumen. Si realmente va a hacerlo correctamente, tiene que implementarlo realmente con todos los dispositivos principales que hay en su empresa. Y si tiene una gran empresa, son miles y miles y miles de direcciones IP de las que está tratando de realizar un seguimiento. Y luego solo la pura dinámica de una empresa, especialmente si se ha metido en el mundo de las máquinas virtuales y ha girado rápidamente las cosas en la nube y entornos de múltiples nubes, solo esa complejidad que implica. Así que ahora magnificas tu problema de, no solo estás tratando de hacer un seguimiento de todas estas instancias de cosas, todas estas IPs diferentes, sino que están en todas estas diferentes ubicaciones.

14:20 Gary Barlet: ¿Y cómo se supone que vas a hacer un seguimiento de todas esas cosas? Y luego tira encima de eso, tienes... La mayoría de los lugares tienen un personal de TI muy limitado para todo el trabajo que tienen que hacer, solo su trabajo diario de tratar de mantener las cosas funcionando, y luego intentas aplicar algo como esto encima de ellos y decir: “Oye, te voy a elegir. Es tu trabajo asegurarte cada vez que algo nuevo se une a la empresa, tienes que averiguar todos los cientos de lugares a los que tienes que ir actualizando para que esa cosa se conecte de la manera en que se supone que debe conectarse, pero no cruce fronteras que no se supone que cruce”. Ese es un reto imposible de darle a alguien.

14:53 Raghu Nandakuma: Sí, completamente. Es por eso que entonces... Creo que cuál es el respaldo”, Pero es como, “Bueno, ¿qué controles compensados tengo?” O la mayoría de las veces, “¿Estoy bien solo para aceptar este riesgo y seguir adelante?” Y eso a menudo es en lo que aterrizamos, es que simplemente lo agregamos al registro de riesgos y decimos: “Sí, lo sé”.

15:15 Gary Barlet: Y eso es algo gracioso. Eso es lo que suele acabar pasando, se consigue gente que dice: “Bien, ¿qué me va a hacer falta para tratar de mitigar este riesgo? Oh, bueno, si triplico el tamaño de mi personal de TI y triplico mi presupuesto de TI, entonces tal vez podría ser capaz de mitigarlo hasta cierto punto”. Y los tomadores de decisiones están como, “Sí, ¿dónde firmo? Porque no puedo... "Esa es una inversión imposible de hacer para ti. “¿Dónde firmo? ¿Cuál va a ser el impacto si no hago esto?” Y ellos... La gente doblan y tiene un poco, y luego quien sea responsable dice, voy a firmar esto porque no hay manera, señor CIO, voy a triplicar su personal y triplicar su presupuesto para hacer esto que, honestamente, estoy luchando por entender de todos modos. Porque lo que espero que hagas es mantener mi empresa rodeada con esta bonita capa de defensa, y cualquier cosa dentro debería estar a salvo. Entonces, ¿por qué estoy acariciando este cheque por ti?”

16:04 Raghu Nandakuma: Entonces, ¿cree que ahora estamos en un lugar, ya sea en el espacio de la Fed o en la empresa en general, donde hemos ido demasiado hacia la aceptación del riesgo y la importancia de la mitigación del riesgo se ha dejado de lado?

16:23 Gary Barlet: Sí, en realidad, esa es una pregunta interesante porque creo que la respuesta es sí. Creo que hemos llegado a un punto donde... Solía ser el problema opuesto. No queríamos asumir ningún riesgo. Queríamos mitigar todo. Y luego a medida que se le pegó a la cabeza de la gente que ese es un enfoque ridículo, ese es un objetivo imposible de lograr, la gente empezó a aflojar un poco los estrangulamientos, aflojar un poco los grilletes, y se encontraron, creo, hasta el punto en que ahora casi no hay controles en su lugar. Y la gente está diciendo: “Oye, siempre y cuando se trate de hacer el trabajo, sí, no nos importa si dejas entrar dispositivos personales a la empresa, porque se trata de mantener el..." Escuchas mucho sobre: “Bueno, ¿cómo atraemos talento más joven?” Y el talento más joven no está acostumbrado a ser constreñido. Entonces tenemos que hacer cosas para asegurarnos de que no estamos limitando el talento que estamos tratando de contratar. Entonces ahora de repente, has ido a: “Voy a aceptar todo el riesgo y como que crucen los dedos y cierren los ojos y realmente espero que no pase nada malo”.

17:18 Raghu Nandakuma: Sí, sí, exactamente. Y cuando algo malo sucede, lo que espero es que no vayan a mirar el registro de riesgos y digan: “¿De verdad aceptamos este riesgo?” Y por qué y quién, y etcétera Volvamos a una especie de gobierno federal y desafíos de seguridad que enfrentan y por qué están adoptando Zero Trust. Entonces siempre hemos visto esto... Este es un gran empujón en el espacio federal estadounidense. En primer lugar, ¿cuáles son los retos, cuáles son los retos de seguridad que enfrenta hoy el gobierno federal? ¿Y por qué necesitan adoptar Zero Trust?

17:53 Gary Barlet: Claro. Por lo que algunos de los retos que enfrentan, el número uno, y este... Mucho de esto es similar a lo que vas a escuchar... lo que escucharías si haces la misma pregunta sobre sectores privados. Pero en el espacio federal, dinero, gente, y luego flexibilidad para hacer las cosas. Entonces empiezas con el hecho de que constantemente están lidiando con el ciclo de presupuestación federal, cuánto dinero se les está asignando. Y oh, por cierto, la gente no se da cuenta con qué anticipación estás trabajando tu presupuesto desde una perspectiva federal. No es cuestión de, “Oye, es julio y el próximo ejercicio presupuestario comienza el primero de octubre. Aquí está cuánto dinero quiero”. Eh, has tomado esas decisiones hace años sobre cuánto dinero necesitas para un determinado año fiscal. Entonces estás tratando de pronosticar hacia el futuro desde una perspectiva presupuestaria, y ellos no... El sistema de presupuesto federal no está diseñado para decir: “Oh, bueno, siéntete libre de pedir un par de millones de dólares que no puedes explicar en qué lo vas a gastar. Siéntase libre de pedir el excedente de efectivo en caso de que algo se presente en el futuro”. Así que eso es un...

18:52 Gary Barlet: Todo ese ciclo es un desafío para el gobierno federal, y luego solo obtener los recursos adecuados cuando se observa el panorama a nivel mundial, la escasez de personal de TI y la escasez de experiencia en TI, y especialmente cuando comienzas a llegar a la seguridad, esa es una parte más pequeña del problema de TI... ¿Cómo compite el gobierno federal por esos recursos? Si eres un joven hechicero, en seguridad de TI, y miras y te vas, ¿a dónde voy a ir a trabajar?

19:19 Gary Barlet: ¿Quiero ir a trabajar al gobierno federal, voy a ser un GS como sea, y por lo general es una calificación de rango GS más baja haciendo $40-50,000 al año? O, quiero ir a trabajar a alguna empresa a algún lugar ganando $140-150,000 al año? Y el gobierno federal tiene que encontrar una manera de tratar de atraer a esa persona para que venga a trabajar en el gobierno y no vaya a trabajar por una de las 10 mil aperturas en su estado natal. Eso ni siquiera está preocupado por el teletrabajo y en cualquier parte del mundo. Pero ese es un reto enorme para el gobierno federal y luego el tipo de mentalidad, ¿verdad? Tratando de hacer que la gente rinda cuentas. Correcto, entonces cuando necesitas hacer turnos, y necesitas hacer cambios en el gobierno federal, tratar de responsabilizar a la gente para hacer esos cambios puede ser un desafío en el gobierno.

20:09 Gary Barlet: Es muy difícil despedir a la gente. Y entonces, si alguien no está haciendo un buen trabajo, pasas mucho tiempo tratando de traerlo contigo antes de que podamos deshacernos de él, y mientras ese proceso se lleva a cabo, están llenando un asiento, se supone que están cumpliendo con una responsabilidad. Y si esa resulta ser una de las posiciones clave para proteger tu empresa y la persona no la está cortando, puede llevar mucho tiempo deshacerte de esa persona, y ahora estás de vuelta al reto de ¿cómo vuelves a llenar ese asiento?

20:35 Raghu Nandakuma: Sí, entonces eso me lleva a una pregunta. Entonces, obviamente ha habido un gran impulso, existe la Orden Ejecutiva del presidente Biden el año pasado que realmente aceleró la adopción del enfoque de seguridad Zero Trust entre las agencias federales. Entonces como que hablabas de esencialmente un gran problema de personas que enfrentan las agencias federales. Dado eso, ¿crees que la adopción de Zero Trust y realmente seguir adelante con este EO va a ser realista?

21:06 Gary Barlet: Creo que... Espero que al final sea realista. No se va a realizar en un corto periodo de tiempo. Entonces cuando salió el Orden Ejecutivo, aquí vamos, bien. Aquí viene otro mandato de lo alto, es decirle a todas estas agencias federales que es algo que tienen que ir a hacer, y no hay dinero que venga con él para ir a hacerlo. IPv6 es, un ejemplo perfecto. Perdí la pista de cuánto tiempo atrás se suponía que el gobierno federal iba a ser migrado a IPv6, la mayoría de las agencias... ni siquiera saben deletrear IPv6 -mucho menos han implementado IPv6. Y eso fue un mandato federal hace siglos.

21:40 Gary Barlet: Ahora bien, creo que donde Zero Trust tiene más posibilidades de éxito es... Creo que hay una necesidad mucho más reconocida de implementar los principios de Zero Trust, entonces hay un... por otra vez, algo así como IPv6. Entonces creo que hay algunos de los principios fundadores y los principios centrales de Zero Trust, creo que resuenan con la gente y ellos entienden volviendo a eso, Oye, ya sabes, me di cuenta de que probablemente hemos aceptado demasiado riesgo y tenemos que encontrar una manera de minimizar esa estructura de riesgo que tenemos aquí, y creo que Zero Trust trae algo de eso a la vanguardia para las agencias.

22:14 Raghu Nandakuma: Creo que solo al comentario de IPv6, creo que si alguien que ha trabajado en redes o seguridad de redes en los últimos 20 años, cada uno tiene su propia pequeña historia divertida de IPv6. En mi caso, fue en un ex empleador, creo que hubo esta cosa llamada Día Mundial del IPv6, probablemente hace una década, y todos estábamos participando en ello y... ¿Qué teníamos que hacer para ese día? Sólo eso por ese día. Por ese momento, mostrar que nuestro sitio web externo podría ser accedido por IPv6. Sólo por ese momento. Y después de eso, estamos de vuelta en IPv4 para todos. Bien, entonces dices que Zero Trust por la importancia de ello, al tipo de resiliencia y ciberseguridad de las agencias federales en general y la criticidad de la misma, esta es una que va a conseguir la tracción, no va a ser otro tipo de IPv6, para decirlo ¿verdad?

23:11 Fecha de la siguiente fecha: Cuando miro el mandato, y por un lado como practicante de Zero Trust, me entusiasma. Como finalmente, tenemos una agencia de gobierno y eso también el Gobierno de Estados Unidos ordenando el... Y esto sólo puede ser bueno tanto para el sector público en otros países a nivel mundial, pero también ahí goteando al sector privado. Pero del otro lado, como que miro la línea de tiempo que se ha trazado, y una parte de mí piensa que no es lo suficientemente agresiva. Estamos llegando a las piezas reales de reducción de riesgos, demasiado lejos en la línea, y ¿por qué no podemos ir a lo profundo, amplio y antes? ¿Estoy siendo demasiado codicioso aquí y esto es algo bueno, y nos subiríamos al tren y dejaríamos que esa línea de tiempo se mapeara a sí misma?

23:54 Gary Barlet: Entonces creo que me encantaría agitar una varita mágica y que se haga mucho más rápido. Habiendo pasado tanto tiempo en el gobierno, les diré que las líneas de tiempo que se han trazado son bastante agresivas para el gobierno. Y es correcto, y de nuevo, vuelvo a, de nuevo, toda la conversación de presupuestación, correcto, y al hecho de que tu presupuestación con varios años de anticipación, el proceso de compras. Y ten en cuenta, y esto es una cosa que creo que algunas personas pierden de vista, las agencias federales operan bajo las leyes que han sido aprobadas por el Congreso. Entonces las restricciones que tienen, se pregunta la gente, ¿por qué le toma tanto tiempo al gobierno comprar algo? Bueno, te diré por qué, porque hay tantas reglas establecidas para garantizar una competencia leal, para asegurarte de que intentes evitar el abastecimiento único y conseguir el bloqueo de proveedor, así que ahí hay todas estas cosas diferentes.

24:41 Gary Barlet: Y todos son controles y equilibrios muy justificables para haber puesto en marcha, pero las ramificaciones de algunos de esos controles y contrapesos hacen que sea muy difícil para las agencias hacer adquisiciones y realmente pueden arrastrar los plazos. Entonces no se trata de “Oye, vamos a sacar tu tarjeta de crédito e ir a comprar algo hoy y elegir a quien quieras”, eso no funciona en el gobierno federal. Las entidades privadas pueden en su mayor parte, ir a comprar lo que quieran de quien quieran, cuando quieran. El gobierno federal y el DOD, no tienen ese tipo de lujo, por lo que en sí automáticamente agrega una enorme cantidad de tiempo a una línea de tiempo para tratar de implementar algo, solo por la gran cantidad de reglas que hay que seguir y los controles y equilibrios, y tratar con usted sabe, gente protestando, ¿verdad? Haces un premio importante, obtienes una protesta, es posible que acabes de aumentar tu cronograma de adquisiciones en un 50 o 100 por ciento.

25:33 Fecha de la siguiente fecha: Bien, bien. Entonces, ¿cómo cree que las agencias federales organizadas van a rendir cuentas de tal manera que estén dando seguimiento en contra de este plan y entregando contra... Y entiendo, bien, que estas son agencias gubernamentales, las cosas toman su propio tiempo, pero como ¿cómo se va a hacer cumplir la rendición de cuentas?

25:57 Gary Barlet: Entonces la pieza de rendición de cuentas es la pieza que más me preocupa, porque si la historia es cualquier juez y cualquier cosa por la que medir, la rendición de cuentas es siempre una de las cosas que no parece surtir efecto cuando este tipo de cosas van por la tubería. Se puede ver en un escenario diferente, en una empresa privada, si le dijiste a alguien, “Raghu te he dado un plazo, espero que cumplas con ese plazo”, y si no cumples con ese plazo, hay una muy buena posibilidad de que vayan a ir... “Gracias por su servicio. Ya puedes irte, y voy a tratar de traer a alguien ahí y la próxima vez que le dé un plazo, voy a cumplir con ese plazo”. En el gobierno, la mayoría de las personas no son despedidas porque no cumplieron con un plazo, no cumplieron con un mandato. No... no es por eso que los despiden. Y es lamentable que a veces algunos de estos... Y no estoy diciendo que Zero Trust sea uno de estos, pero a veces los mandatos bajan y realmente se trata solo de marcar la casilla, para que alguien pueda decir: “Oye, hicimos algo”, y luego está, “Oye, ¿qué es lo siguiente?”

26:52 Gary Barlet: “Cuál es el próximo objeto brillante que vamos a ir a perseguir y nadie se moleste nunca en mirar hacia atrás”, eso es de todas las cosas que afectan a Zero Trust, es esa responsabilidad. Porque realmente va a estar en manos de las agencias hacerse responsables, y probablemente lo más cercano a la rendición de cuentas será, la mayoría de las agencias federales tienen una Oficina del Inspector General, esto es algo cercano a mi corazón, ya que de ahí es de donde vengo, van a entrar y van a escribir auditorías y decir: “Oye, agencia federal, se suponía que tenías que hacer x para este momento, te vamos a escribir, no has hecho eso”. Bien, y entonces eso se publicará, eso podría ser observado por el Congreso. Congreso, puede preguntarle al titular de la dependencia federal: “Oye, tengo que reportar mi mano que dice 'El Congreso, el Presidente te dijo que hicieras algo en un determinado cronograma, no lo hicieras'. ¿Qué vas a hacer al respecto?” Y su respuesta puede ser: “Lo sentimos, vamos a ir a hacerlo hoy, o... Sí, vamos a ver cómo se ve el artículo dentro de dos años cuando nos vuelvan a ver”.

27:45 Raghu Nandakuma: Sí, bueno, a quien no le encanta una auditoría o estar en C-SPAN. Creo que hay mucho que otros gobiernos a nivel mundial pueden aprender del tipo de enfoque de Estados Unidos para adoptar Zero Trust, pero alejándose del sector público, ¿cuáles crees que son las lecciones para el sector privado? Y no necesitamos tomarlo como el sector privado en general, sino tal vez verticales específicos dentro del sector privado, ¿qué pueden aprender del tipo de enfoque que está tomando el gobierno federal?

28:17 Gary Barlet: Creo que, nuevamente, hablamos de algunas de las ineficiencias de las partes del gobierno federal tomadas, sin embargo, ese enfoque generalizado de alto nivel. Entonces dentro de las verticales, cuando miras si es en la vertical bancaria, si es en la vertical médica, tratando de tomar algo para que se convierta en el estándar de facto, y “Oye, si no estás haciendo esto, estás seriamente rezagado”. Y en el sector privado, bien... tienes competencia. Entonces puedo ver si la competencia empieza a ir, “Oye, bueno, nosotros hacemos esto y ellos no... Mis competidores no hacen esto, pero yo estoy haciendo esto, he adoptado Zero Trust, he adoptado estas prácticas de seguridad, estoy protegiendo tu información, mis competidores no protegen la información”. Cierto, creo que esa adopción de un estándar, ocurre más rápido en el sector privado por el hecho de que estás compitiendo por dólares. Cualquier cosa que puedas usar como diferenciador es clave, así que me imagino una empresa del sector privado diciendo: “Oye, el Presidente pensó que algo era tan importante que emitió su mandato al gobierno”.

29:18 Gary Barlet: “Ya estamos haciendo eso, ¿verdad? Mira lo buenos que estamos, verdad”. Entonces dentro de diferentes verticales, fácilmente podría ver que algunas de estas cosas se convierten en una especie de estándares de facto, no es diferente a cuando empiezan a tratar de competir entre sí en: “Oye, ¿qué beneficios ofrecemos? ¿Qué capacidades ofrecemos?” Creo que eso es crítico y si puedes conseguir que esa mentalidad de seguridad diga: “Oye, esta es otra de esas cosas que deberíamos estar comparándonos unos con otros”, eso puede convertirse en esa cosa a la que puedo señalar y decir, yo hago esto, tú no... Entonces yo animaría, justo en el sector privado, a pensar en algunas de estas cosas y ir, ¿Cómo puedo usarlo a mi favor? Pero mejor que lo estés haciendo, porque lo último que quieres hacer es fingir que lo estás haciendo y entonces sabes que algo pasa y tienes que explicarle a tu base de clientes por qué no lo estabas haciendo.

30:00 Raghu Nandakuma: Así que esencialmente casi usando Zero Trust para la seguridad como diferenciador, y como una especie competitiva de diferenciador entre usted y su competencia... Derecha.

30:08 Gary Barlet: Absolutamente. Es interesante, verdad... Porque te ves bien cuando es una empresa privada, y creo que vas a empezar despacio, estás viendo este cambio. Cuando una empresa privada se incumple bien, qué pasa... Es un gran chapoteo en las noticias. Entonces van, bien, por lo general si la respuesta es: “Oh, vamos a pagar un monitoreo de crédito gratuito para ti durante un año”. En el peor de los casos, tal vez alguien presente una demanda colectiva y usted recibe la carta por correo y luego termina recibiendo un 50$ como parte del acuerdo. Pero creo que estás empezando a ver empresas que realmente están empezando a recibir golpes ahora, cuando estas cosas pasan, ¿verdad? Porque si de repente como cliente, empiezas a sentir que no puedo confiar en la empresa X con la información de mi tarjeta de crédito...

30:46 Gary Barlet: ¿Qué vas a hacer? Vas a dejar de comprar ahí. Y creo que a medida que el populus se vuelve cada vez más astuto sobre las cosas, y creo que hay... Estamos llegando a este punto de inflexión donde la gente está cansada de escuchar “Oh, volvió a pasar. Y simplemente sucede”, ¿verdad? Realmente creo que el populus se está cansando de eso y van a empezar a responsabilizar a la gente, y tal vez sea solo con sus pies y sus talonarios de cheques. Se van a llevar sus dólares a otro lugar porque están cansados de oír hablar de: “Oh, aquí vamos de nuevo, mis cosas se comprometieron de nuevo”.

31:13 Raghu Nandakuma: Y ese es un punto realmente interesante, ¿verdad? El final ahí, porque creo que el público en general ahora tiene una comprensión básica mucho mejor de las brechas de seguridad. Tienen una comprensión básica mucho mejor de un ataque de ransomware. Entonces no es que las organizaciones puedan simplemente desempolvarlo debajo de la alfombra y olvidarse de ello. Cuando sucede, la gente tiene muy parecido a un: “Oh, Dios mío, aún no. No estoy a salvo ahí” tipo reacción ahora.

31:44 Gary Barlet: Absolutamente, sé que las cosas han cambiado cuando recibe una llamada telefónica de mi madre de más de 70 años que dice: “Oye, esto pasó en esta empresa, estoy bastante molesto por esto”, y mi respuesta es, “lleva tu dinero a otro lugar”. Y ella dice “probablemente sea una buena idea”. Cuando estás al punto en que los clientes están haciendo ese tipo de preguntas, realmente creo que hemos cruzado un umbral de... Y no sé si vamos a volver, y creo que la gente realmente está empezando a cansarse de esto, y las empresas están teniendo que empezar a tomar esto cada vez más en serio, porque algunas de estas brechas, han pasado de sus vergonzosas brechas. Pero están empezando a convertirse en brechas que realmente impactan financieramente porque los clientes están empezando a perder la confianza en las empresas.

32:29 Raghu Nombre: Absolutamente, pero también creo que lo preocupante es que cuando desempaquetas los detalles de lo que causó esas brechas, las causas raíz suelen ser siempre las mismas. Es como cuando muchas veces no estamos aprendiendo, y creo que esa es la frustración.

32:48 Gary Barlet: Sí, esa es definitivamente la frustración, y puedo pensar en la última vez que hubo algo que... De nuevo, voy a volver con mi madre. Estábamos hablando de algo que había sucedido con una empresa con la que ella estaba haciendo negocios, y ella tenía suficiente comprensión del problema como para decirme: “Entendí que alguien tenía una contraseña de administrador débil. ¿Qué tan tonto es eso?” Y eso venía de mi madre. Si ha llegado al nivel de mi madre, que es la persona más des-IT que quieres conocer, puede decir algo así y hacer una pregunta así, algo ha cambiado en el entorno.

33:24 Fecha de la siguiente fecha: Parece que se le debería dar un trabajo en ciberseguridad, ¿verdad? Ella tendría las habilidades, tendría la conciencia de ello. Entonces, volviendo a una especie de adopción de Zero Trust muy rápidamente, ¿ve una diferencia de enfoque entre cómo el sector privado va a adoptar Zero Trust y cómo el sector público va a adoptar Zero Trust?

33:43 Gary Barlet: Entonces antes que nada, creo que el sector privado ya está mucho más en el camino de la Confianza Cero que el sector público... Se puede ver que con diferentes entidades y algunas de las cosas que han desplegado e implementado, el gobierno recién ahora empieza a hablar, entonces creo que ya están más abajo... Y creo que tienen un par de cosas diferentes. Entonces hablamos de esto de la competencia, cierto. Entonces toma cualquier vertical que quieras, y hay múltiples empresas en esa vertical, que si como cliente siento que no estás haciendo algo seguro, voy a ir a otro lugar. Pero ahora, comparemos eso con el sector público.

34:15 Gary Barlet: Solo hay una Administración del Seguro Social, solo hay un IRS, solo hay una VA. No puedo tomar mi dinero e ir a otro lugar porque los servicios que me están brindando, solo hay uno de esos. Correcto, entonces no hay tanto incentivo impulsor en el sector público como lo hay en el sector privado, porque la base de clientes está atascada. No hay competencia en el gobierno, no hay otro lugar adonde ir, así que no necesariamente tienen las mismas cosas colgando sobre su cabeza del lado gubernamental, como lo hacen en el sector privado, porque en el sector gubernamental, sabes que tu base de clientes no va a ninguna parte. Mientras que en un sector privado, tienes que ser flexible y adaptativo porque no quieres perder a tus clientes y su base de ingresos y no puedes permitirte perder clientes.

34:58 Gary Barlet: Entonces por eso creo que esa es una de las otras razones por las que creo que las cosas tardan un poco más en público, en el gobierno, es por eso, el hecho de que no hay competencia, no hay otro lugar al que vayan tus clientes.

35:09 Fecha de la siguiente descripción: Si. Impresionante, no, esa es una gran observación, una especie de factor impulsor detrás de por qué el sector privado va a tomar esto probablemente... No se trata de tomarlo más en serio, pero en realidad va a ser más agresivo y hacer algo al respecto. Así que para concluir este punto, ¿cómo se ve el futuro de Zero Trust desde tu perspectiva?

35:33 Gary Barlet: Entonces creo que el futuro de Zero Trust va a ser sobre, de nuevo, volver a todo este supuesto incumplimiento. Creo que tratar de reducir las cosas a la pieza más pequeña posible. Habla de proteger los datos, a nivel de elemento de datos. Está hablando de asegurar las aplicaciones a nivel de aplicación, y en la pieza individual, entramos en la microsegmentación de las piezas individuales de una aplicación. Tratando de dibujar ese anillo de defensa lo más pequeño y lo más cerca posible de la fuente, a diferencia de lo tradicional, simplemente dibujemos grandes círculos y tratemos de evitar que alguien pase por el círculo grande, ¿verdad? Y hacerlo de tal manera que esté en capas, por lo que realmente dificulta que los avisos se metan. Y entonces la última pieza es, es creo que como inteligencia artificial y machine learning y ese tipo de cosas realmente empiezan a arraigarse más en el mundo de la seguridad, y que esas cosas sean adaptativas y no tengan que tener tanta implicación, interacción humana. Creo que eso va a ser crítico al tratar realmente de aislar las cosas a un ritmo mucho más rápido, entonces ahora se pueden aislar. Y además acaba de desplegarse...

36:36 Gary Barlet: ¿Correcto? Solo se configuró al principio, ¿verdad? Con solo mirar cómo implementamos estas herramientas en primer lugar, si tienes que depender de la gente para hacer todo ese trabajo, entonces por definición va a tomar un tiempo volver al límite de recursos. Pero a medida que más y más cosas se automatizan, más y más cosas se vuelven con el aprendizaje automático y la inteligencia artificial, no solo con la implementación, sino con la implementación de la capacidad desde el principio. De verdad tengo mucha confianza alta en que la seguridad no tiene adónde ir, pero arriba, ¿verdad? Siempre es una batalla cuesta arriba, así que no tiene a dónde ir sino arriba. Y creo que hay mucho margen de crecimiento y mejora cuando se trata del despliegue de Zero Trust, y creo que a medida que la tecnología se adapte, solo va a permitir que la seguridad se adapte más rápido.

37:18 Fecha de la siguiente fecha: Entonces creo que lo que estás diciendo aquí es, es que eres optimista, eres una de esas personas que creen que como seguir adelante, Zero Trust, y particularmente si pienso en la formulación original de la misma, y esos anillos que están alrededor de una especie de monitoreo continuo y orquestación de automatización, un poco mirando hacia adelante, terminaremos con la arquitectura Zero Trust, ecosistemas Zero Trust donde sí tienes ese tipo de seguridad por diseño, un bucle continuo donde la retroalimentación los datos provienen de sus sensores, que su motor de políticas, etc., está procesando para entonces adaptar esa política de seguridad para mantener ese estado menos privilegiado, y eso es algo que ves como realista en el futuro... Derecha.

38:05 Gary Barlet: Absolutamente. Sí, no, creo que está bien dentro... Y ya estás viendo un poco de eso, ¿verdad? Lo ves, ves algo de eso, ya está en juego hoy, solo creo que eso se va a convertir más en la norma. La seguridad va a ser rápidamente adaptable, vamos a salir del mundo de la espera: “Oye, cuál es la última actualización de firmas, cuál es la última actualización que viene”. Vamos a ser cada vez mejores en el manejo de exploits de día cero y en el cuidado de situaciones únicas con nuestros usuarios, realmente creo que la tecnología nos va a llevar ahí.

38:37 Fecha de la siguiente fecha: Así que solo me mudo de Zero Trust por unos breves minutos. Fuera de Zero Trust, ¿qué más te gusta de la ciberseguridad? ¿Cuáles son las tendencias que sigues?

38:47 Gary Barlet: Hay un par de cosas diferentes, ¿verdad? El número uno es, simplemente me encanta el desafío continuo, constante e interminable. Simplemente me encanta el hecho de que algunas personas lo odien, el hecho de que no haya línea de meta, no hay fin en lo contrario. Me encanta el hecho de que es constantemente desafiante. Me encanta el hecho de que continuamente te va a dar algo que hacer, ¿verdad? Cada mañana te despiertas, tienes algo en lo que concentrarte, y sabes que hay un nuevo desafío a la vuelta de la esquina. Así que me encanta jugar al ajedrez. El ajedrez se trata de estrategias. El ajedrez se trata de tratar de salir pensar a tu oponente, tratar de mirar múltiples movimientos hacia adelante, y ahí es donde debería estar la seguridad de TI, si no es para alguien, es el hecho de que tiene que ser sobre anticipación, tiene que ser sobre pensar en el futuro, y estoy realmente emocionado de ver... Estoy preocupado y emocionado al mismo tiempo de ver qué avances y cosas como cuando apenas a lo largo de los incrementos en capacidades de la inteligencia artificial y luego empiezas... Cada vez más personas hablan de computación cuántica, la computación cuántica podría ser potencialmente la mayor bendición para la seguridad de TI de la historia, o también podría ser la mayor amenaza para la seguridad de TI de la historia.

39:53 Gary Barlet: Y creo que esa incertidumbre, es un poco divertido, para ser honesto contigo... Soy un bárrago cuando se trata de eso.

40:00 Raghu Nandakumara: Tipo de a... Siempre es bueno tomar para las OSC y el CIO, que están escuchando ávidamente esto, todos quieren escuchar cuál es tu única pepita de sabiduría. Entonces, para ellos, lo más destacado es la resiliencia cibernética en estos días. Si pudieras dar un pequeño consejo a tus compañeros CIO y OSC, y cómo construir y optimizar la resiliencia cibernética, ¿cuál sería eso?

40:08 Gary Barlet: Sí, entonces yo diría que volver a algo de lo que hablabas antes es, si no estás asumiendo una violación, debes estar asumiendo una violación. Si aún estás en el campamento de, “voy a detener la brecha”, tu campamento se está haciendo más pequeño y está anticuado. Debes estar en el campo del supuesto incumplimiento, y luego necesitas estar mirando internamente a tus empresas y preguntándote, cómo puedo mitigar el impacto de esa brecha, cómo trato de hacer lo mejor que pueda para mantener los servicios funcionando para mis clientes, y no ser la persona que diga: “Voy a presionar el gran botón rojo y desconectar toda la red”. Esa era una cosa que solía luchar contra algunos de mis amigos menos avanzados que funcionaban para mí cuando era CIO al principio, cuando decían: “Oh, tenemos que desconectarlo todo”. No, no vamos a desconectarlo todo. No podemos hacer eso, estamos en el negocio de brindar servicio, verdad. Entonces, con ese enfoque, tienes que implementar las cosas internamente, tu red. Y obviamente, soy un gran creyente en la segmentación y la microsegmentación, que tienes que tener cosas a su vez en tu red que te permitan aislar el impacto hasta la menor huella posible.

41:15 Gary Barlet: Para que el resto de tu empresa pueda seguir funcionando y no tengas que apagar todo solo por un malware, ransomware, algo puede tomar un pequeño pie, pero quieres detenerlo lo más cerca posible de la fuente de origen y lo más rápido posible, para que puedas continuar con las operaciones y luego solo enfocarte en un problema muy pequeño y no tener que enfocarte en un problema mayor porque permitiste que se propagara fuera de control.

41:39 Raghu Nandakuma: Sí, creo que... Entonces me encanta como lo pronuncian bien, porque creo que es el mensaje clave para los profesionales de la seguridad es señoras y señores hay tres letras de la tríada AIC: y la A significa Disponibilidad, es tan importante como la integridad y la confidencialidad. Bueno, Gary, ha sido un placer absoluto, muchas gracias por acompañarnos en el podcast de hoy.

42:01 Gary Barlet: Lo agradezco, gracias y realmente disfruté la conversación.

42:06 Raghu Nandakuma: Gracias por sintonizar el episodio de esta semana de The Segment. Para obtener aún más información y recursos de Zero Trust, consulte nuestro sitio web en www.illumio.com. También puedes conectarte con nosotros en LinkedIn y Twitter, en Illumio. Y si te gustó la conversación de hoy, puedes encontrar nuestros otros episodios dondequiera que consigas tus podcasts. Soy tu anfitrión — Raghu Nandakumara — volveremos pronto.

Volver arriba
Leer más