Desempacar la confianza cero en la educación superior

0:00:03 Raghu Nandakumara: Bienvenido al segmento: Un podcast de liderazgo de confianza cero. Soy su anfitrión, Raghu Nandakumara, Jefe de Soluciones Industriales en Illumio, la Compañía de Segmentación de Confianza Cero. Hoy, me une George Finney, Director de Seguridad de la Universidad Metodista del Sur. En SMU, George supervisa todos los aspectos de la seguridad física y cibernética, encontrando formas creativas de mejorar las protecciones nuevas y existentes. George también es el autor más vendido de varios libros de ciberseguridad, entre ellos Project Zero Trust y Well Aware: Domine the Nine Cybersecurity Habits to Protect Your Future. George se une a nosotros para platicar sobre sus experiencias con Zero Trust en la educación superior. Hoy, estamos desempaquetando los elementos culturales de la ciberseguridad, lo que no es Zero Trust y por qué fracasan los proyectos Zero Trust. George, es un placer absoluto tenerte como invitado en nuestro podcast. Lo primero que quiero preguntarte es, ¿cómo pasa un egresado en derecho de graduarse en derecho a hacer una pasantía de derecho, a convertirse en ingeniero de redes, para luego convertirse en el Chief Security Officer de SMU? Eso son bastantes cambios de dirección.

0:01:16 George Finney: Así que, en realidad, mi licenciatura estaba en artes liberales, lo que significaba que estudiaba mucha filosofía y matemáticas, cosas diferentes, idiomas. Aprendí a hablar griego antiguo. Realmente, realmente increíble experiencia. Y pensé cuando salí de la universidad que iba a ir a ser corredor de bolsa. De hecho, me entrevisté en Wall Street y me di cuenta como, “Sí, no querría hacer eso”. Entonces, en realidad, conseguí un trabajo en GTE. Empecé trabajando en sus líneas DSL, su departamento. Me convertí en ingeniero de redes a partir de ahí, y de hecho fui a un par de startups diferentes, una en Denver y luego otra en Dallas. Y me he dado cuenta de que me encantan las startups, me encanta el código abierto, y esa fue en realidad la génesis de por qué fui a la escuela de derecho fue: “Oye, hay esta cosa, el GPO, realmente quiero meterme en eso”. Hay muchas licencias de código abierto por ahí. Mientras estaba en la facultad de derecho salió la versión 3 de la GPL, en realidad hice una investigación dirigida en torno a eso. Y de nuevo, pensé que iba a ir a ser como abogado, nunca esperé estar en SMU por 20 años, pero recibí ese toque en el hombro de nuestro CIO y me dijo: “Oye, realmente necesitamos un Chief Security Officer”. La escritura está en la pared, todas las personas de seguridad en ese momento reportaron a nuestro departamento de redes de infraestructura. Y tenía esa experiencia como administrador de CIS, una de mis startups haciendo soporte de Linux o lo que sea además de ser ingeniero de redes.

0:02:35 George Finney: Así que tenía esta loca formación en derecho, seguridad de red y el administrador de CIS, así que tenía mucho sentido agrupar todo eso y trajimos al equipo debajo de mí. Y Dios, solo ha sido divertido. Estar en educación superior, es como el salvaje, salvaje oeste, así que realmente gratificante y eso es lo que realmente me ha permitido escribir algunos de estos libros, es solo estar en este ambiente que es realmente reflexivo sobre la forma en que hacemos las cosas. Y llevo tanto tiempo ahí, he tenido la oportunidad de hacer crecer todo el programa y ser parte de cada faceta, mientras que si estuviera en una organización grande, estaría mucho más especializado. Así que Dios, ha sido un viaje increíble, increíble.

0:03:15 Raghu Nandakumara: Oh, eso es fantástico. Y creo que la pérdida de Wall Street y la pérdida del Bar ha sido la ganancia de la comunidad de InfoSec. Entonces habla de su papel como OSC en SMU y de lo interesante que es y lo variado que es. Simplemente creo que el papel de un jefe de seguridad en un instituto educativo debe ser tan variado y exigente por varias razones. Debido a que estaba leyendo algunas de las entradas del blog que habías escrito y hablaste de cómo cuando llegaste a hablar de mejorar la seguridad, creo que uno de los becarios de investigación bastante arriba en la organización dijo: “Oh, de ninguna manera, la investigación debe ser abierta y gratuita”. Y tu otra vez una especie de libertad académica. ¿Cómo equilibras todas estas cosas en tu papel?

0:04:01 George Finney: Así que es interesante. No me di cuenta de esto cuando empecé, claro. La educación superior está realmente altamente regulada. Si por ejemplo estuvieras en un banco o en una tienda minorista, tendrías unas buenas barandillas en lo que haces, mientras que en educación superior, nosotros lo hacemos todo. Tenemos préstamos estudiantiles, eso nos hace en cuanto al cumplimiento bajo las mismas obligaciones que tendría un banco. Al mismo tiempo, tenemos un centro de salud y tenemos HIPAA, hacemos procesamiento de tarjetas de crédito, tenemos registros de estudiantes, tenemos gente europea. Entonces, al lidiar con las leyes de privacidad y todo, la variedad es realmente desafiante. Y eso es en realidad lo que me atrae, y creo que solo en términos generales, en el mundo de la seguridad, tenemos que quedarnos al borde sangrante. Siempre estamos teniendo que asegurar esa próxima cosa nueva. Bien, los contenedores están entrando, ¿cómo hacemos eso? ¿Cómo simplemente hacemos seguridad en este nuevo juego de pelota? Y francamente, me aburro muy fácilmente. Y creo que si hubiera estado haciendo el mismo trabajo durante 30, 40, 50 años —sin llamar a la gente que todavía está haciendo programación COBOL—, pero hombre, me habría quedado muy agotado por hacer lo mismo tanto tiempo. Necesito estar al día con lo último, y la seguridad es esa carrera que me da eso.

0:05:12 Raghu Nandakumara: Completamente. Estoy fascinado por solo nuevas cosas interesantes que la seguridad, la ciberseguridad en todas sus manifestaciones arroja. Y en realidad, usted describió de tal manera que, que muchas veces no pensamos en las organizaciones educativas, las instituciones académicas como en realidad esta... Es casi como un conglomerado de muchas industrias diferentes agrupadas. Entonces, ¿cómo traes todos estos diversos departamentos que tienen diferentes prioridades y diferentes desafíos? ¿Cómo haces para establecer una cultura de seguridad unificada?

0:05:48 George Finney: Es muy difícil. Y algunos dicen que es arriba abajo, otros dicen que es de abajo hacia arriba, son ambos. Y lo realmente único de SMU, y no tuve nada que ver con esto, fue mucho antes de mi tiempo. Pero lo que la mayoría de la gente sabe de Southern Methodist University es que obtuvimos la pena de muerte de la NCAA, somos la única universidad. Entonces allá por el 88, ¿recuerdas que hubo el gran escándalo futbolístico donde estábamos pagando a los jugadores antes de que fuera genial pagar a los jugadores? Todo el mundo lo estaba haciendo bien, nosotros somos los que quedamos atrapados. Fascinante ser parte de la universidad 15 años después, y eso no es algo que George hiciera como CSO, eso lo heredé. Pero pensando, oh Dios mío, cada decisión que tomamos, cada nuevo proveedor, la forma en que manejamos las decisiones financieras, todo eso, creo que está influenciado por ese único incidente. Y muchas organizaciones han tenido brechas o incidentes menores, existe ese famoso dicho por ahí, “nunca dejes que una buena crisis se desperdicie”. Entonces nuevamente, creo que esas cosas son las cosas que destacan en la memoria de las personas y que impulsan colectivamente la cultura, por lo que quería encontrar formas de ser proactivo en lugar de reactivo.

0:06:56 George Finney: Entonces esas son grandes oportunidades, y también puedes crear esas oportunidades y también puedes construir relaciones con tu equipo de liderazgo, de nuevo, eso es algo que lleva tiempo, pero recuerdo cuando implementé mi programa simulado de phishing —esto es hace ocho años— y la primera campaña que envié atrapé a mi presidente y no me gritaron, no me castigaron. Pero es fascinante porque conozco otros CISO que han lanzado campañas de phishing simuladas que sí atraparon a su CEO o lo que sea, y ya no hacen campañas simuladas de phishing. Así que tienes que tener esa confianza de que todos van a trabajar juntos hacia el objetivo común. Y nuevamente, cuando puedes alinear eso con la misión de la organización, necesitamos proteger a nuestra comunidad, estamos aquí para proteger a nuestros estudiantes que son vulnerables, que están creciendo y aprendiendo, eso es magia. Aprovechar eso para ayudar a impulsar la cultura es nuevamente, algo que es tan sorprendente que podamos ser parte de eso en el mundo de la seguridad.

0:07:50 Raghu Nandakumara: Y creo que solo en ese último punto algo que se expresa regularmente es que para hacer tu trabajo como profesional de seguridad, lo primero es que necesitas entender la organización que estás protegiendo, y esencialmente su utilería de valor y luego tu propio utilero de valor que se empata con esto. Entonces, ¿puede expresar cómo expresa su valor de utilería a su tablero?

0:08:15. George Finney: Sí, así que no sé si alguna vez has visto la película de Charlton Heston, Soylent Green. Desde allá por la década de 1970, una especie de cosa de ciencia ficción.

0:08:23 Raghu Nandakumara: No, me encantaría escucharlo.

0:08:24 George Finney: Voy a estropear el final, pero esencialmente el mundo ha crecido tanto, se han quedado sin comida, y así hay esta comida especial, se llama “Soylent Green” que a la gente le encanta y salvó al mundo, porque ahora podemos alimentar a todos, y resulta... El famoso dicho es que a Charlton Heston se le acaba cuando se da cuenta de lo que está pasando, dice: “¡Soylent Green es gente!” Estás alimentando a la gente de vuelta a la gente, pero oh Dios mío, en seguridad, la seguridad es la gente. Cuando tengo conversaciones con nuestro directorio o con nuestro equipo de liderazgo, cuento historias sobre humanos, cuál es el impacto humano en nuestra organización. Cuando empecé a hacer esto, tenía un informe de seguridad mensual, todo estaba enfocado en métricas, y bien, “cuántos bloques de firewall hemos visto” o lo que sea, no era humano. Fueron solo números. Pero bien, genial, ¿qué significa eso? Cuando puedes atarlo de nuevo a: “Bien, teníamos una persona que se enfrentaba al robo de identidad, aquí está el impacto para ellos”, y así lo convertí en cosas más impulsadas por artículos, más basadas en historias, y de nuevo eso cambió a la audiencia.

0:09:34 George Finney: Voy a enviar este boletín a todos en la organización, incluidos los estudiantes. Voy a hacerlo públicamente accesible a las interwebs o compartirlo en LinkedIn o lo que sea, y esa respuesta de nuevo, oh Dios mío, que es muy diferente a la forma tradicional en que la gente hace seguridad donde es una caja negra: “Voy a jugar mis cartas cerca del cofre; no voy a hablar de cosas”. Al escribir algunos otros libros que he escrito, cuando hablo con la gente, la gente quiere ayudar y luego dicen: “Tiene que ser fuera del registro porque no puedo contar estas historias. Nuestro departamento de relaciones públicas no quiere que lo haga o tengo un NDA o lo que sea”. Y hombre, si no estamos compartiendo nuestras historias, entonces la próxima generación de gente de seguridad va a tener que aprender todo esto desde cero, y no podemos hacer eso. Tenemos que estar por delante de los malos por ahí y volver a contar historias como autor siempre dicen: “muestra, no cuentes”. Y creo que hay mucho que decir cuando damos consejos de seguridad en lugar de mostrar. Esa es la diferencia.

0:10:38 Raghu Nandakumara: Absolutamente, y creo que casi aplicar toda esa seguridad a través de la oscuridad no es seguridad en absoluto. Es lo mismo con las historias, si no entiendes los temas que estás aquí para combatir, ¿cómo puedes entender cómo vas a asegurarlos o el valor de la seguridad que se está construyendo? Entonces todos aquí están aquí para aprender sobre Zero Trust y aprender sobre Zero Trust de usted. Muy bien, así que comencemos con uno fácil. Dame tu analogía favorita de Zero Trust.

0:11:06 George Finney: Bueno, te voy a dar la peor analogía, y vamos a partir de ahí. Entonces, lo que Zero Trust no es... Obviamente, las dos palabras implican como Los Expedientes X, ¿verdad? Eso es como el “Trust No 1” de Fox Mulder, y eso no es lo que es Zero Trust. Así que Cero Confianza... La analogía... No utilice la analogía X-Files. De hecho, tienes que trabajar con otros seres humanos para que Cero Confianza suceda. Aunque Zero Trust implica “no confíes”, no tomes el enfoque cínico de, “Bien, Dios, no puedo confiar en nadie”, pero lo que estamos haciendo ahí es que estamos sustituyendo el cinismo por el buen juicio. Zero Trust requiere análisis, se necesita un ejercicio reflexivo de la práctica de la seguridad para ayudar a proteger a nuestras comunidades. Probablemente mi analogía favorita es solo un rompequidas. Entonces, en lugar de un M&M, que es el exterior crujiente con el suave masticable por dentro, un rompequidas es duro hasta el final. Entonces en cuanto a un caramelo, si quieres hacer Zero Trust, haz de tu organización un rompequidas y ojalá los malos se rompan los dientes en el rompequidas cuando intenten morderlo.

0:12:17 Raghu Nandakumara: Te lleva de vuelta a los últimos días de la escuela primaria, donde vas a estas tiendas de peniques y llenas tu bolsa de dulces con un montón de rompequidas y pequeñas botellas de colores, etcétera, y luego deseas tener cuidado con esos rompequidas ya que te dolen los dientes al masticarlos. Bien, así que me encanta la forma en que describiste lo que es Zero Trust, y lo que es más importante, lo que no es. Y definitivamente lo poco sobre Zero Trust no significa no confiar, y a menudo es algo que escuchamos en conferencias, etcétera, casi gente diciendo que ya no quiero escuchar sobre Zero Trust, y no me gusta el término. Entonces, ¿cuál es una mejor manera de expresar Zero Trust?

0:12:57 George Finney: La forma en que pienso sobre Zero Trust, hay un libro fenomenal de Stephen Covey, que en realidad es el hijo del Stephen Covey que escribió 7 Hábitos de personas altamente efectivas, el hijo Stephen Covey también escribió un libro llamado Speed of Trust. Y en su libro, argumenta que hay que tener tanto confianza como análisis al mismo tiempo para tener buen juicio. Entonces piensa en una matriz: en el eje X está la confianza, no es una cosa binaria. Al igual que un espectro, o confío o no, en realidad tienes un eje Y y el eje Y es análisis o escepticismo o como quieras llamarlo, pero tienes que tener ambos al mismo tiempo. Si tienes poca confianza y bajo escepticismo, eso es una especie de crédulo. Si tienes poca confianza y alto escepticismo, vas a tener indecisión. No vas a poder hacer nada. Covey habla de un impuesto de fideicomiso a una organización, donde si no confías en ninguno de los seres humanos que te rodean, no vas a hacer nada o va a llevar mucho tiempo.

0:13:57 Raghu Nandakumara: Sí, absolutamente.

0:13:58 George Finney: Lo mismo ocurre con los socios en sus diferentes organizaciones o fuera de su organización. Entonces, tener ambos realmente críticos, y creo que entender fundamentalmente, de la confianza es algo de lo que no necesariamente hablamos mucho en las organizaciones, y francamente, cuando te metes en Zero Trust, el verdadero truco es, ¿cómo puedo detectar la confianza? Cuando miro la configuración de un enrutador de computadora o servidor de firewall, ¿cuál es la confianza? ¿Cómo paso y me deshago de ellos? De eso se trata Zero Trust, no se trata de no confiar en la gente, se trata de encontrar esas confianzas en nuestros sistemas digitales y deshacernos de ellas. Llevamos años haciendo esto, ya sea que sea la desperimeterización como táctica que cae bajo Zero Trust. Tal vez el endurecimiento del servidor, tan simple como eliminar todo el bloatware que proviene de cualquier proveedor de SO que tenga y solo necesita las cosas que necesita para ejecutar. De eso se trata realmente Zero Trust, es reunir todas esas tácticas separadas. Porque eso es lo que estábamos haciendo. Estábamos implementando tácticas en todos los ámbitos para eliminar los fideicomisos: la confianza cero es la estrategia general que nos ayuda a ponernos a todos en la misma página y nos hace marchar en la misma dirección.

0:15:03 Raghu Nandakumara: Entonces, sin llegar a ser demasiado filosófico, ¿cuál es el significado de la confianza en el contexto de lo cibernético?

0:15:10 George Finney: Creo que sí, ¿qué es un fideicomiso? Hay muchas personas diferentes que hablan de confianza por ahí, y creo que en términos de un sistema digital, se trata de la facilidad de conexión. Y por eso ponemos confianzas en, “voy a poner una regla de firewall para que me permita platicar con cualquier servidor de mi data center” (no hagas esto por cierto, este es un mal consejo). Esto es lo que no se debe hacer, pero eso es un fideicomiso. Bien, genial. Ahora, cuando mi computadora o mi dispositivo se ve comprometido, eso es lo que los malos explotan para ir y tener rienda suelta a una organización, eso es lo que los malos explotan en términos de autenticación multifactor. Confié en ese dispositivo por el tiempo que se le permita establecer un fideicomiso. Eso es un reto, y tenemos que encontrar el equilibrio adecuado, y no creo que haya una compensación entre usabilidad y seguridad, creo que eso es un mito. Pero esa es la forma en que mucha gente piensa, bueno, “mi usuario final es que mis clientes se van a rebelar si no lo hago”... y en realidad, creo que tocaste esto al principio, cuando la persona académica de más alto rango de mi universidad decía: “No pongas un firewall entre mí e internet”.

0:16:16 George Finney: Bien, lo que decían en segundo plano era, “No quiero ralentizar mi organización. Quiero poder realizar mi investigación sin restricciones, sea cual sea mi investigación”. Y tenemos que habilitar eso. Y creo que Zero Trust en realidad nos ayuda. Entonces en algún momento nuestros clientes o nuestros clientes, o en SMU, son nuestros estudiantes, empezaron a preguntar: “¿Por qué no estás haciendo X?” Y creo, Dios mío, si hoy te estás apuntando a un banco, y no te configuran con autenticación multifactor, bueno, espera, ahora no voy a hacer negocios con ese banco, así que en algún momento de nuestra historia, se convirtió en la Tabla 6 para tener seguridad, y creo que para cada industria, para cada tecnología, ese es el camino. Solo están averiguando cómo funcionan estas cosas. Estamos innovando, y no necesariamente pensamos en seguridad como: “Oh, hombre, vamos a salir del negocio si no estamos haciendo seguridad”. Y creo que la salsa secreta de ser un CISO hoy es trasladar ese modelo de madurez hacia donde se está construyendo en seguridad desde el primer día.

0:17:15 Raghu Nandakumara: Así que has hablado de cosas como, creo, para citarlo, es como que no crees que la usabilidad, la productividad y la seguridad son contradictorias entre sí. Crees mucho que esos van de la mano, pero luego tú también, y esto es para citar algo de tu libro, dijiste: “La gente de DevOps es todos como Ricky Bobby. Simplemente quieren ir rápido”. Entonces, como CSO, ¿cómo proporciona el marco de seguridad para permitir que los Ricky Bobby vayan rápido, pero hacerlo de manera segura?

0:17:48 George Finney: Creo que, de nuevo, se vuelve a entender a los humanos. Me encanta el chiste de Ricky Bobby en realidad, lo usé con permiso de John Kindervag quien creó Zero Trust. Entonces, gracias, John, por eso. Cuando escribí el libro, tuve el enorme beneficio de tener a John Kindervag montando escopeta, poder rebotar ideas, pero también dije: “No soy un experto en todos los dominios de la seguridad, así que no soy un experto en identidad necesariamente, no soy un experto en la nube o DevOps”, así que traté de encontrar tantos expertos como pude, y cuando me senté con algunas de las personas que son realmente geniales en DevOps, los desarrolladores, no es que no quieran hacer seguridad, es que están incentivados a... Todos sus jefes necesitan sacar el código por la puerta. Nuevamente, eso es genial, es realmente necesario para muchas organizaciones, y en realidad eso es un beneficio... Zoom es un gran ejemplo. Zoom es una empresa de DevOps, así que cuando —no voy a llamarlos cibercriminales, sino un hacker, una ex persona de la NSA— revelaron dos Días Cero, ¿qué hacen? Son como, “Genial, estamos deteniendo todo lo demás, y vamos a dedicar todos nuestros ciclos de DevOps a arreglar esto”.

0:18:59 George Finney: Eso es increíble. Esa es una historia de cómo DevOps permite la seguridad. Y de nuevo, nosotros en la comunidad de seguridad tenemos algunas normas, y creo que nos gusta revelarle primero a una empresa y darles algo de tiempo, no creo que ese proceso se haya seguido en ese caso, así que realmente, es enormemente inédito que una organización pueda darle la vuelta a una solución en 24 horas sin previo aviso. Es una historia increíble, pero solo te muestra cuánta seguridad y DevOps se pueden alinear, y creo que tenemos que ser capaces de venir a nuestros socios y trabajar con ellos y conocerlos donde están. Mucho de lo que podemos hacer con Zero Trust en el mundo DevOps, en particular, es simplemente ser parte de su pipeline. Ya están haciendo pruebas como parte del pipeline, así que vamos a agregar algunas pruebas. ¿Podemos verificar los secretos antes de que el código sea empujado? Así que pensándolo bien, en lugar de tratar de asegurar el código al final de la canalización, Zero Trust es realmente acerca de la Administración de Problemas. Eliminemos categorías enteras de problemas antes de que se conviertan en un problema. Pensemos en la prevención, pongamos a todos en la misma página y, de hecho, eso permite que las personas de CTO y DevOps no tengan que ir y hacer esas correcciones al final del ciclo; simplemente está integrado en el proceso.

0:20:14 Raghu Nandakumara: Así que voy a citar tu libro otra vez. Creo que al inicio del capítulo de introducción, usted dice, el medio más eficaz que tenemos disponible para protegernos dentro de la seguridad es la prevención, y la estrategia más efectiva para la prevención es Zero Trust. Y voy a desafiarlos un poco —así que tengan paciencia conmigo— es que si pensamos en el conjunto, la era de la seguridad perimetral, así que pensar en, digamos, los años 90 a 2000 fueron en gran medida la era de la prevención. Los malos actores estaban por fuera, todos en el interior son de confianza, así que siempre y cuando cerremos la puerta principal o que mantengas esa bien cerrada todos estamos bien. Y entonces nos damos cuenta de que en realidad eso estaba fallando, seguían entrando, y luego hubo un enfoque en torno a la detección y respuesta. Bien, pongamos todo nuestro esfuerzo o la mayor parte de nuestro esfuerzo en ser capaces de detectar, poder responder, poder recuperarnos, y ese tipo de se convirtió en la fuerza motriz para yo diría la década de 2010. Y voy a decir también, que la era actual está en torno a la contención —suponiendo que el mal actor va a entrar, puede que no seamos capaces de detectarlos.

0:21:22 Raghu Nandakumara: Así que la atención se centra en minimizar el impacto de eso, ¿qué piensas al respecto? Sobre la idea de que, Zero Trust se trata realmente de contención, más que de prevención. ¿Cuáles son tus pensamientos?

0:21:34 George Finney: Técnicamente, la definición que usamos para Zero Trust es la definición de John Kindervag, y vamos con eso en el libro. Pero la definición de Zero Trust se trata de una estrategia para prevenir o contener brechas. Queremos eliminar la confianza en los sistemas digitales e idealmente los prevendremos. La prevención es posible, y creo que mucha gente tal vez ha renunciado a eso. Y uno de los locatarios de Zero Trust es asumir incumplimiento, y también intentaremos contención. Entonces creo que se trata de ambos. “Una onza de prevención vale una libra de cura” es realmente cierto en seguridad. Han hecho estudios sobre esto para mostrar, de nuevo, llegar al comienzo de tu canalización de código, mucho menos costoso que tener que arreglar las cosas después del hecho. Entonces sostengo que Zero Trust es en realidad lo único en seguridad hoy en día que realmente cumple con la definición de una estrategia. Entonces tuve una discusión con otro CISO sobre si la defensa en profundidad cumple con la definición de una estrategia. Yo sostengo que no, pero cuando se piensa en ello, una estrategia tiene que tener dos cosas. Tienes que tener una meta que estés tratando de alcanzar.

0:22:35.2 George Finney: Y tienes que tener un plan de cómo llegar allí. E idealmente, con una buena estrategia, puedes medir qué tan avanzado estás para lograrlo, así que cuando piensas en algo... Nuevamente, pienso en la defensa en profundidad como una táctica, pero cuando piensas en la defensa en profundidad, “Bien, genial. ¿Cuál es el objetivo?” Creo que si miras la definición técnica de defensa en profundidad, el objetivo es tener múltiples capas para evitar una falla en una de las capas. Entonces, en última instancia, si hay un objetivo para la defensa en profundidad, se trata de lidiar con el fracaso, no prevenir o contener las brechas. Con la defensa en profundidad, en realidad no está abordando por qué falló una capa en particular, y mucha gente llamará a la defensa en profundidad “gasto en profundidad”, porque ¿qué hacemos? Simplemente agregamos más capas. Eso es genial. No eficiente. Pero genial, y así cuando estás lanzando tu tablero en algo que suena como: “Vamos a agregar un montón de capas”. “¿Cómo sabes cuándo has terminado, George? Bueno, ¿cuánto dinero necesitas?” Honestamente, si JP Morgan puede gastar mil millones de dólares al año y aun así ser violado, en mi universidad, si yo seguí ese mismo enfoque, ¿cómo sabe que va a ser efectivo? No es una estrategia efectiva.

0:23:38 George Finney: Creo que es más como una táctica. Zero Trust es esa estrategia para ayudar a que todos los equipos se comprometan de la manera correcta. Podemos aprovechar las tácticas adecuadas y en el momento adecuado para que no necesitemos 50 o 100 herramientas para lograr lo que podemos hacer con tres o cuatro.

0:24:00 Raghu Nandakumara: Por supuesto, estoy de acuerdo con eso, pero hay algunas cosas realmente interesantes que dijiste. Habló sobre el costo asociado con cuando solo está persiguiendo un enfoque de defensa en profundidad sin realmente tener una estrategia a su alrededor. Hoy en día, particularmente con las condiciones macro, existe todo este tipo de, si alguna vez hubo un enfoque realmente puntiagudo en el ROI, lo tenemos en este momento. Entonces, ¿cómo es que seguir una estrategia de Zero Trust realmente brinda no solo beneficios de seguridad, sino también ROI, costos, eficiencias operacionales y una simplicidad en las arquitecturas? ¿De qué manera una estrategia de confianza cero ofrece estas cosas?

0:24:40 George Finney: Sí, entonces en el libro, utilizamos la metodología de diseño de John Kindervag para Zero Trust. Entonces, hay un proceso de cinco pasos, y realmente la base de ese proceso de cinco pasos es este concepto de una superficie de protección. Así que proteger la superficie es como lo opuesto a una superficie de ataque, y entiendo que Gartner tiene toda una palabra de moda como “gestión de superficie de ataque” en su Ciclo de Hype o Cuadrante Mágico. La administración de la superficie de ataque es una mentira. Es un término de marketing que te da la idea de que si solo pudieras reducir tu superficie de ataque, entonces estarás más seguro y no podrás reducir tu superficie de ataque. Tu superficie de ataque es cualquier dispositivo en el mundo. Entonces, cuando miras las brechas del Pelotón o Parler, ¿qué hacen? Ambas organizaciones tenían una API para ir a teléfonos móviles, una para ir a cintas de correr o bicicletas de ejercicio o lo que sea.

0:25:27 George Finney: Bueno, ¿adivina qué? Los malos acaban de hacer ingeniería inversa a esa API. Había un punto ciego para esas organizaciones. No veían ni tenían controles a su alrededor para poder detectar nada a través de la API. Y los malos de exportación comercializaron todos los datos de manera útil a través de la API que proporcionó la compañía. Eso es administración de superficie de ataque. Si tienes una aplicación móvil, cualquier teléfono móvil del mundo es tu superficie de ataque. Entonces, en cambio, Zero Trust utiliza este concepto de una “superficie de protección”. Qué estoy tratando de proteger, eso requiere que tenga que entender cómo funciona el negocio, que tengo que tener un inventario, tengo que saber cuáles son mis principales aplicaciones o dónde están mis datos críticos. Entonces voy a poner mis brazos alrededor de lo que estoy tratando de proteger dentro de una superficie de protección. Y voy a tener un proceso repetible que sigo para proteger eso.

0:26:09 George Finney: Entonces, cuando pienso en implementar herramientas como CISO, en los viejos tiempos pienso: “Bien, tengo que desplegar firewalls en todas partes. Tengo que implementar EDR en todas partes”. En realidad, cuando pienso solo en una superficie de protección, voy a proporcionar controles a medida para esa superficie de protección. Entonces, en lugar de licenciar para toda mi organización, todas estas herramientas diferentes solo voy a usar las que se necesitan dentro de esa superficie de protección dada. Entonces, si tengo una superficie de protección que tiene una API, por ejemplo, voy a ir a una de esas increíbles empresas que tienen la seguridad API instalada. Voy a poner eso ahí. Si es de cara a la web, voy a tener un firewall de aplicaciones web. Si es un dispositivo, obviamente necesito EDR de punto final. Voy a tener un firewall, pero voy a hornear eso y lo voy a hacer a medida, si se quiere, para proteger esa superficie de protección individual de la manera que necesita.

0:26:59 George Finney: De nuevo, tengo múltiples superficies de protección, este es el concepto de microsegmentación, otra táctica que cae bajo la Cero Confianza. Voy a juntar como activos. Y entonces voy a contener ese incidente solo para que uno proteja la superficie. Y comprenda cómo interactúan esas otras superficies de protección y ojalá haya contenido eso en una sola superficie de protección. Ese es realmente el poder de esta metodología de diseño Zero Trust es realmente tener controles a medida. Y luego nuevamente, iterar, monitorear, registrar todo. Nuevamente, otro de los locatarios de la metodología de diseño. Pero al tener ese bucle de retroalimentación, se trata de: “Ahora que tengo mi superficie de protección, ¿cómo puedo detectar los fideicomisos? ¿Cómo los elimino?” A veces eso es a través de una arquitectura proactiva. Puedo pensar en el futuro. A veces eso es a través de pruebas de pluma o ejercicios tipo mesa u otras cosas que me ayudan a encontrar mis propios puntos ciegos. Y ojalá esté siendo proactivo y haciendo eso antes de que los malos los encuentren para mí.

0:27:51 Raghu Nandakumara: Tuve el placer de tener algunas conversaciones con John sobre el concepto de la superficie de protección. Obviamente, constantemente enfatiza eso nuevamente, y absolutamente tiene sentido porque creo que algunos de los desafíos con la adopción de Zero Trust cuando las organizaciones dicen que, “Muy bien, es realmente difícil para nosotros seguir la estrategia Zero Trust porque cómo voy a aplicarla a absolutamente todo”. Y dices, en realidad no. Casi tienes que darle la vuelta de cabeza y decir: “¿Qué es lo que más necesito proteger y concentrarme en eso? ¿Por qué seguimos teniendo este reto?” Porque de nuevo, a mi me viene como una estrategia Zero Trust que para mí es sentido común, pensando en la superficie de protección que es sentido común. En cuanto a por dónde empezar. Y luego a medida que iteras, constantemente miras eso, ¿qué es lo siguiente a lo que te mudas, pero ¿por qué sigue siendo la barrera para la adopción?

0:28:42 George Finney: Sí, es fascinante. He hablado con muchos CISO tanto antes como después de que saliera el libro, y honestamente, el denominador común de las personas que han lanzado sus iniciativas Zero Trust y han fracasado se debe a la gente. No es la tecnología, no es que no tuvieran todas las herramientas que necesitaban o lo que fuera —se trataba de política. Se trataba de que la gente no supiera qué hacer. No sabían por dónde empezar. Y de nuevo, estoy insidiendo en la gente de aquí, pero Dios mío, si la seguridad, si Zero Trust es solo para nosotros los nerds de seguridad, vamos a fallar. Porque no son los nerds de seguridad los que están teniendo que salir y hacer todas las cosas. Tiene equipos de infraestructura, tiene equipos de DevOps, tiene personal de soporte técnico o de escritorio. Por lo que todos en TI necesitan ser capaces de entender Zero Trust.

0:29:30 George Finney: Y si como CISO no puedo entender Zero Trust porque todo el bombo publicitario o lo que sea y hay tantos compitiendo como las cosas, si no puedo entenderlo, ¿cómo espero que un nuevo ingeniero de redes de mi organización pueda ir y cumplir con Zero Trust? Correcto, oh Dios mío. Obviamente, la respuesta correcta aquí es ahora ir a comprar el libro de George Project Zero Trust disponible en Amazon y Audible y tenerlos para derribar las barreras. O simplemente podemos hacerlo realmente simple. Pero de nuevo, todo el mundo tiene que entender Zero Trust para que nuestros proyectos en torno a Zero Trust sean exitosos.

0:30:03 Raghu Nandakumara: Sí, estoy de acuerdo. Y creo que lo que me encanta del libro, y hay mucho que amar en él, pero lo que me gustó es la validación del progreso, el ejercicio de mesa que ejecutan. Y aquellos de ustedes que aún no han leído el libro ni lo han escuchado, obtendrán la referencia cuando lo hagan. La validación es tan importante, creo que como profesionales de la seguridad no hacemos suficiente validación real. Entonces, ¿por qué es esto particularmente importante para mostrar una especie de ROI en su tipo de programa Zero Trust, pero también obtener la validación de que está progresando?

0:30:40 George Finney: Sí, y de nuevo, esta es otra de las razones por las que los proyectos Zero Trust fallan. Cuando he hablado con otros CISO, el tiempo promedio que toma una transformación de Zero Trust es de 3-5 años dependiendo de dónde estés comenzando, puede variar en un par de años. Pero oh, Dios mío, piensa en la rotación ejecutiva y piensa en la rotación de CISO y piensa en el ciclo presupuestario. Entonces, si no estás mostrando progreso de año en año, bueno, ¿cómo sigues justificando eso? ¿Cómo continúas recibiendo apoyo? Como CISO, debería estar desarrollando relaciones, construyendo confianza, pero parte de eso es romper Project Zero Trust en trozos pequeños. Y así en el libro sugerimos que su viaje dura seis meses y eso fue impulsado por el lanzamiento de un nuevo proyecto de producto.

0:31:26 George Finney: Y así tuvieron que hacerlo para una fecha determinada. Creo que eso realmente se alineó bien con el negocio. Todos los líderes empresariales se dieron cuenta, sí, sacamos este nuevo proyecto o producto saliendo, tuvimos algunos incidentes de seguridad, queremos que la gente sea parte y se sienta cómoda de que vamos a entregar buena seguridad, buenos productos. Si no lo hacemos, creemos [rirse] que el nuevo producto no va a competir en el mercado. Y de nuevo, eso es alinearse con el negocio, eso es conectar los puntos. Eso no quiere decir: “Sabemos que tenemos este nuevo proyecto, producto que sale en seis meses. Terminaremos con Zero Trust en cinco años”. No, de nuevo, hay un modelo de madurez Zero Trust por ahí, amigos. Hay uno en un libro que es bendecido por el propio Kindervag. También hay uno ahora de CISA.

0:32:08 George Finney: Y así que soy parte del grupo de trabajo de Cloud Security Alliance sobre Zero Trust y Kindervag y Chase Cunningham y otros están colaborando con CISA para que ese documento sea correcto. Pero guau, creo que colectivamente estamos trabajando juntos — ¡Oh, Dios mío, la comunidad de seguridad está trabajando junta! : tener una definición consistente de Confianza Cero. Algo con lo que empezar en lugar de, “tengo que ir a ver Forrester y Gartner y ponerme detrás del muro de pago” y escucho a todas estas startups lanzándome productos Zero Trust. Bien, vayamos a una definición consistente que todos podamos respaldar. Y habla de, bien, tengo una herramienta que puede ayudarte en tu viaje Zero Trust. No, tengo la herramienta que es todo lo que necesita Zero Trust todo en uno. De eso se trata realmente. Y de nuevo, tenemos que hacerlo simple y traer a todos a la mesa.

0:32:52 Raghu Nandakumara: Sí, absolutamente, como todo el tipo de cosas sobre poder casi mirarlo en seis meses bloques a la vez. Y alinearse a un modelo de madurez y poder decir que en seis meses queremos estar aquí, en 12 meses queremos estar aquí, es simplemente una manera más digerible de poder adoptar y también curso correcto porque de lo contrario es una especie de, “Financia este programa de cinco años, pero no vengas a preguntarnos en ningún lugar entre ahora y cinco años qué hemos estado haciendo”.

0:33:22 George Finney: Una vez más, ¡en dos años la compañía podría estar usando tecnología completamente diferente! ¿Cómo te mantienes al día con eso en términos de Zero Trust? Dios, sí. Tienes que convertirlo en un enfoque paso a paso. Entonces el lema para la compañía ficticia en el libro, entonces el nombre de la compañía es March Fit, y el lema de su compañía es “cada paso importa”. Y cada paso importa porque tienes que dar un paso para habilitar el paso después de eso. No tienen que ser grandes pasos. No tienes que estar corriendo, puedes caminar — bebé los pasos cuentan, y creo que ese es el enfoque de Zero Trust. Siempre estamos mejorando paso a paso. Todo el mundo puede venir a caminar con nosotros y hacerlo inclusivo. Eso es realmente lo que se va a mover.

0:33:53 Raghu Nandakumara: Sí. 100%. Así que solo un poco mirando hacia adelante, echemos un vistazo al 2023. Como OSC, ¿qué es lo que más le preocupa?

0:34:02 George Finney: Dios, gente. Creo que honestamente, hay mucho burnout que ha pasado con la pandemia. Creo que reclutar obviamente es el gran reto. Creo que la gran renuncia es una gran preocupación, esa batalla se está librando en nuestros equipos de liderazgo a través de diferentes organizaciones. ¿Cómo continuamos habilitando la seguridad? ¿Cómo continuamos elevando las organizaciones y cada una de nuestras propias transformaciones digitales únicas? Creo que tenemos que seguir invirtiendo en la gente para seguir progresando. Y si dejamos de hacer eso, de nuevo, la seguridad siempre está al borde sangrante. Entonces, si no nos dedicamos al aprendizaje continuo, al aprendizaje a lo largo de toda la vida, eventualmente vamos a empezar a quedarnos rezagados. Y creo que cuando estás sobrecargado y te estás quemando, eso es lo primero que debes ir es, “voy a dejar de leer, voy a dejar de escuchar libros en cinta” o lo que sea.

0:34:47 George Finney: Eso nos va a hacer retroceder años. Tenemos que estar dando la bienvenida a nuevas personas a la seguridad. Sigo escuchando que la gente está apagada por la seguridad porque son los espeluznantes tipos Fox Mulder. Quiero hacer algo que ayude a las personas y la seguridad sí ayuda a las personas, pero si estamos alejando a las personas de la seguridad porque no estamos invirtiendo en personas, estamos poniendo descripciones de trabajo que se supone que son de nivel de entrada pero que requieren 20 años de experiencia con Zero Trust. Es cierto que piensa en algunas de las descripciones de trabajo que dicen 20 años de experiencia con Zero Trust. ¿Adivina qué? Kindervag inventó Zero Trust hace 12 años.

0:35:26 Raghu Nandakumara: Sí. Excelente. Exactamente.

0:35:28 George Finney: De todos modos, bajaré por mi caja de jabón.

0:35:29 Raghu Nandakumara: Estás predicando a los convertidos aquí. Entonces estoy completamente de acuerdo. Creo que casi siento que no está lejos de que vemos una especie de instituciones académicas que ofrecen licenciaturas en Zero Trust. Entonces George, ha sido un placer absoluto hablar con usted hoy. Simplemente disfruté de la conversación y podría haber durado para siempre. Por favor, todos van y vean el último libro de George Project Zero Trust: Una historia sobre una estrategia para alinear la seguridad y el negocio en Amazon o como yo si lo prefiere a través de sus oídos en lugar de a través de sus ojos, vaya y compruébelo en Audible. George estará muy contento de saber que estoy bastante seguro de que tengo el disco mundial de lo rápido que se termina ese libro. Así que sí, como que encontré el tiempo entre ayer y hoy para simplemente pasar por él. No faltó en una palabra — excepto el apéndice. Tengo que admitir que no hice caso en el apéndice. Es fantástico. Siento que hoy en nuestra conversación he sido el Dylan, o el Luke Skywalker de la historia y tú has sido mucho el Obi-Wan. Entonces, agradezco el tiempo George, muchas gracias por pasar este tiempo con nosotros.

0:36:32 George Finney: Muchas gracias por tenerme.

0:36:37 Raghu Nandakumara: Gracias por sintonizar el episodio de esta semana de El Segmento. Para obtener aún más información y recursos de Zero Trust, consulte nuestro sitio web en illumio.com. También puedes conectarte con nosotros en LinkedIn y Twitter en Illumio. Y si te gusta la conversación de hoy, puedes encontrar nuestros otros episodios dondequiera que obtengas tus podcasts. Soy tu anfitrión, Raghu Nandakumara, y volveremos pronto.