Sean Connelly comparte cómo Zero Trust modernizó la ciberseguridad federal

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) está a la vanguardia de la defensa de la infraestructura crítica de EE. UU. de las amenazas cibernéticas en evolución. También fue un actor clave para ayudar al gobierno federal a evolucionar su ciberseguridad de una estrategia tradicional basada en el perímetro a un enfoque moderno de Zero Trust.

En un episodio reciente de The Segment: A Zero Trust Leadership Podcast, me senté con un arquitecto líder detrás de este cambio a Zero Trust: Sean Connelly, ex director de la Iniciativa Zero Trust de CISA. Ofreció una mirada a los cambios transformadores en la ciberseguridad federal, la evolución de los perímetros de la red y consejos prácticos para cualquiera que se embarque en un viaje de Zero Trust.

Sigue leyendo para obtener un resumen de nuestra discusión.

Acerca de Sean Connelly

Sean es una figura destacada en la ciberseguridad federal, desempeñando un papel crucial en la configuración de iniciativas en CISA durante la última década. Avanzó en el modelo de ciberseguridad Zero Trust, esencial para la estrategia de defensa del gobierno federal. También dirigió el desarrollo del primer modelo de madurez de confianza cero y fue coautor de la arquitectura de confianza cero del NIST.  

A principios de este año, lanzó la Oficina de la Iniciativa de Confianza Cero de CISA para proporcionar a las agencias gubernamentales la capacitación y los recursos que necesitan para fortalecer sus medidas de ciberseguridad.

Cómo CISA ayudó a modernizar la ciberseguridad federal

A mediados de la década de 2000, las redes de las agencias federales crecían rápidamente y las conexiones de red a Internet aumentaron a un número alarmante. La superficie de ataque estaba creciendo. Sean reconoció que el gobierno federal necesitaba encontrar una manera de reducir el riesgo en todo el gobierno federal.

Sean y el equipo de CISA se asociaron con otras agencias de ciberseguridad de EE. UU. para crear la iniciativa Trusted Internet Connections (TIC) en 2007. El objetivo era limitar el número de puertas de enlace en las redes gubernamentales. Requiere que todo el tráfico federal de Internet se enrute a través de una agencia aprobada por TIC.  

Inicialmente, la atención se centró en cerciorar el perímetro de la red, que dependía de un modelo tradicional de red radial. Pero con el tiempo, los líderes federales de ciberseguridad como Sean se dieron cuenta de que necesitaban un enfoque más descentralizado y centrado en los datos con el auge de la nube y la tecnología móvil.  

"Incluso en ese entonces, Cisco y el Foro de Jericó mencionaron la necesidad de una perimetrización profunda", explicó. "Uno de sus mandamientos era: 'Cuanto más se pueda poner la seguridad cerca de los datos, mejor será'. Y eso tiene sentido, ¿verdad?"

TIC evolucionó a 2.0 y, finalmente, a 3.0, lo que ahora alienta a las agencias a adoptar servicios en la nube y Zero Trust para proteger contra el complejo panorama de amenazas actual. TIC 3.0 se enfoca en un enfoque más flexible y basado en el riesgo que las versiones anteriores del programa TIC.  

Sean calificó a TIC 3.0 como un "nuevo viaje" para la ciberseguridad federal. Condujo a un mayor equilibrio entre la seguridad de los datos y la seguridad de la red. Este también fue un hito clave en la adopción por parte del gobierno federal de un enfoque de confianza cero.

Construyendo el modelo de madurez Zero Trust de CISA

Una parte importante de este "nuevo viaje" fue brindar a las agencias información práctica sobre cómo construir Zero Trust. Zero Trust requería un cambio de mentalidad para las agencias, pero los líderes de las agencias también necesitaban detalles tácticos sobre cómo hacer Zero Trust.

Sean dirigió los esfuerzos de CISA para crear el Modelo de Madurez de Confianza Cero (ZTMM), publicado en 2021. El ZTMM es una de las hojas de ruta más importantes que las agencias federales pueden emplear a medida que avanzan hacia la confianza cero.

El ZTMM es un hito importante en la adopción de Zero Trust por parte del gobierno federal. Esto se debe a que proporciona un lenguaje común para las agencias a medida que crean sus planes Zero Trust. Sean reconoció la necesidad de una guía precisa cuando se trata de construir Zero Trust. En ese momento, cada agencia tenía una comprensión diferente de Zero Trust. Estaba causando confusión sobre cómo se veía Zero Trust en la práctica y cómo se aplicaba a los mandatos de seguridad federales. Señaló: "Puedes poner lenguaje en la política, pero las agencias aún quieren saber: '¿Es esto lo que realmente quieres decir?'".

Luego de lanzar la primera versión, CISA se unió a otras agencias cibernéticas y pymes para ir agencia por agencia para discutir su progreso y madurez de Zero Trust. Esto resultó en 100+ reuniones, incluidas aquellas con proveedores, academia y gobiernos internacionales. CISA agregó esta retroalimentación a la segunda versión del ZTMM, publicada en 2022.

"Resonó", dijo Sean, reflexionando sobre la cantidad de veces que vio el gráfico de la montaña del ZTMM en presentaciones y artículos. "Creo que la burla, sin embargo, es que cuando llegas a la cima de esa montaña, es realmente una cadena montañosa".

Sean enfatizó que Zero Trust nunca está completo; es un viaje continuo. "Moveremos la bandera, moveremos los postes de la portería en algún momento a medida que evolucione la tecnología", explicó. "Siempre necesitamos agregar nuevas formas de construir Zero Trust". Con ese fin, Sean ve el ZTMM como un documento vivo que debe reflejar continuamente el estado actual de la ciberseguridad.  

5 pasos para Zero Trust

Según Sean, si tuviera que entrar en una reunión con personas que recién comienzan su viaje de Zero Trust, recomendaría que comiencen con el reporte NSTAC Zero Trust. Esta guía, creada junto con John Kindervag, el creador de Zero Trust y evangelista jefe de Illumio, describe cinco pasos para crear un programa Zero Trust.  

Aquí hay un desglose de los cinco pasos que discutimos:

1. Defina la superficie de protección: Identifique lo que necesita protección.

2. Asignar flujos de transacciones: Documente los datos y los flujos de comunicación dentro de su organización, incluidas las interacciones del sistema, cliente-servidor y de la organización.

3. Construya la arquitectura: Desarrolle una arquitectura de seguridad centrada en los datos con medidas de seguridad cercanas a los activos protegidos, empleando señales de la red, los dispositivos host y la identidad.

4. Cree políticas dinámicas: Establezca políticas adaptables que respondan a las condiciones cambiantes, considerando las interacciones cliente-servidor y organizacional.

5. Manifiesto, monitoree y mantenga: Construya, monitorear continuamente y mantenga el entorno de Confianza cero para garantizar la seguridad y el cumplimiento continuos.

Escuche, suscribir y revise The Segment: A Zero Trust Podcast

¿Quieres saber más? Escuche el episodio completo con Sean en nuestro sitio web, Apple Podcasts, Spotify o donde sea que obtenga sus podcasts. También puede leer una transcripción completa del episodio. 

¡Volveremos pronto con más información sobre Zero Trust!