¡Qué tiempo para estar vivo! Inmediatamente después del lanzamiento de Forrester de nuestra definición de Zero Trust (ZT) moderna, la Oficina de Administración y Presupuesto (OMB) de EE. UU. publicó un memorando titulado Moviendo al gobierno de EE. UU. hacia los principios de ciberseguridad de Zero Trust.
¿Coincidencia? Sí. ¿Un gran problema? Además, sí.
Si se ejecuta según lo ordenado, las agencias gubernamentales no solo alcanzarán los niveles de madurez de seguridad de las grandes organizaciones del sector privado (recuerden que recién comenzaron a contratar a ese nivel), sino que también los superarán. Este gran esfuerzo transformador establece un nuevo estándar para todos los sectores y es motivo de celebración. También rompe las barreras para la adopción de Zero Trust al proporcionar a los líderes de seguridad en todas las industrias un conjunto de prioridades en línea con cada uno de los cinco pilares de Zero Trust, que pueden buscar la aceptación ejecutiva, facilitado aún más por un gobierno de alto perfil. mandato, e incluirlos en sus presupuestos y cronogramas.
Celebra esta estrategia
Los defensores de Zero Trust deberían estar saltando de alegría por la comprensión del gobierno federal de Zero Trust moderno y cómo se opera. Forrester designó siete dominios operativos de Zero Trust: cinco para controles de seguridad y dos para la interacción entre los dominios cuando creamos Zero Trust eXtended (ZTX). La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la OMB reconocen estos siete y agregan uno más: gobernanza.
Entonces, durante la última década, donde antes había mucha confusión sobre cómo definir u operar Zero Trust, hoy hay una avalancha de definiciones alineadas, gracias a la Orden Ejecutiva de la Casa Blanca publicada a principios de 2021. Es importante destacar que la visión de CISA se basa en La forma original de Forrester de Zero Trust cuando lo definimos por primera vez hace más de 12 años. Nuestras armas apuntan en la misma dirección.
En segundo lugar, el documento de estrategia de la OMB tiene profundidad y amplitud. En todos estos dominios, OMB no solo toma la decisión correcta, sino que toma la decisión audaz y se duplica en Zero Trust. ¡Abundan los ejemplos!
Hay un puñado de medidas a medias, que es menos de lo que esperábamos para la TI del gobierno compuesta en gran parte por islas de diversa madurez tecnológica. Esto incluye correo electrónico encriptado y cierto margen de maniobra sobre cómo las personas hacen ZT en la red (lo cual es comprensible, porque la red sigue siendo la parte más difícil).
Por qué esto es importante
Muchas organizaciones carecen de una estrategia de ciberseguridad convincente; al menos ahora las agencias federales de EE. UU. no están entre ellas. Y si bien una mejor seguridad cibernética es un objetivo digno, no olvide que los sables suenan tanto en un reino medio como en los restos de una superpotencia, ninguno de los cuales tiene reparos en la guerra cibernética.
Para muchas iniciativas, el diablo está en los detalles. Eso no es cierto para la estrategia OMB Zero Trust; como mencionamos anteriormente, es realmente bueno. Aquí, el diablo estará en la ejecución. ¿Hasta qué punto todas las agencias, contratistas y todos sus subcontratistas implementarán Zero Trust?
El corto
Entre los plazos incluidos en la estrategia de OMB se encuentran varias tareas a corto plazo, como proporcionar a CISA y a la Administración de Servicios Generales cualquier nombre de host que no sea .gov (apenas 60 días) y recibir informes de vulnerabilidades externas para sistemas accesibles por Internet. En el plazo de un año, la rotación forzada de contraseñas debería descartarse, donde pertenece.
De manera crucial, dentro de los 60 días, las agencias deben presentar a OMB y CISA un plan de implementación para FY22–FY24 para la aprobación de OMB y un presupuesto estimado para FY23–FY24.
A medida que las estimaciones presupuestarias se alinean con las hojas de ruta, muchos CISO necesitarán ayuda para revisarlas rápidamente. Las recientes mejoras en la contratación de seguridad cibernética pueden ayudar a atraer a patriotas del sector privado para algunas agencias, pero otras tendrán que recurrir a terceros para la consultoría estratégica. Habiendo trabajado con muchos clientes de Forrester (agencias gubernamentales federales, estatales y municipales), sabemos que las agencias:
-
Tener diferentes niveles de madurez tecnológica y de ciberseguridad.
-
Se someterá a evaluaciones de madurez Zero Trust y análisis de brechas basados en el modelo de madurez CISA Zero Trust publicado recientemente.
Llegar al largo plazo
La estrategia OMB Zero Trust exige muchas mejoras de seguridad significativas (y desafiantes) para cada agencia federal a largo plazo. Dos temas dentro de la estrategia OMB brindan ayuda al CISO del gobierno: la nube y la colaboración.
En cuanto a la colaboración, parafraseando el apartado dos, «[teams] dentro y entre las agencias deben colaborar para desarrollar conjuntamente iniciativas piloto y orientación en todo el gobierno sobre la categorización de datos según las necesidades de protección, y en última instancia, construir una base para automatizar las reglas de acceso de seguridad». Y no se trata solo de equipos. El memorando tiene palabras sabias para los ejecutivos: los directores financieros, los directores de adquisiciones, los altos funcionarios de la agencia para la privacidad y otros en el liderazgo de la agencia deben trabajar en asociación con su liderazgo de TI y seguridad para implementar y mantener las capacidades de Zero Trust. Es fundamental que el liderazgo de la agencia y todo el C-suite estén alineados y comprometidos con la revisión de la arquitectura y las operaciones de seguridad de una agencia».
La estrategia de la OMB también menciona la «nube» 44 veces en sus 29 páginas. «Las agencias deben hacer uso de las ricas características de seguridad presentes en la infraestructura de la nube», afirma la apertura del memorándum. Muchos de los mandatos, sin duda, se cumplen más fácilmente con arquitecturas basadas en la nube (piense: gestión de cualquier cosa en toda la empresa). La estrategia de OMB tiene orientación sobre la nube para los cinco pilares principales de Zero Trust: identidad, dispositivos, redes, cargas de trabajo y datos.
Marca este día
Hemos pedido raciones adicionales de ibuprofeno para los analistas actuales y anteriores de Forrester alineados con Zero Trust, ya que varios se han torcido con chocando los cinco virtuales y palmaditas físicas en la espalda para celebrar este memorando. Dejando a un lado la hipérbole, observemos y celebremos el progreso monumental que el gobierno federal de EE. UU. ha logrado hacia Zero Trust: en 2020, la arquitectura NIST Zero Trust (SP 800-207); en 2021, la Orden Ejecutiva de Biden sobre Zero Trust y el modelo de madurez CISA Zero Trust; y ahora, en 2022, el documento más específico y ambicioso hasta el momento, la estrategia OMB Zero Trust.
Esta publicación fue escrita por el analista de investigación senior David Holmes y apareció originalmente aquí.