La estrategia federal Zero Trust y la guía de implementación de Microsoft para todos – Blog de seguridad de Microsoft

Se le perdonará que se pierda el anuncio de la Casa Blanca sobre la estrategia federal Zero Trust el 26 de enero de 2022.¹ Después de todo, solo ese día un juez de la Corte Suprema anunció su intención de retirarse, la Reserva Federal anunció su plan para aumentar las tasas de interés y el Departamento de Estado estaba ocupado tratando de reducir las tensiones internacionales.

Incluso si no encabezó las noticias de la noche, el anuncio de seguridad es un hito crucial para todos aquellos que entienden la importancia de un modelo Zero Trust y están trabajando arduamente para implementarlo. No es ningún secreto que el apoyo del gobierno a una tecnología puede impulsar la adopción; pregúntele a cualquiera que use GPS, Internet o registros médicos electrónicos.² El apoyo del gobierno federal de EE. UU. para Zero Trust es similar: la Oficina de Administración y Presupuesto (OMB) ha iniciado una curva de adopción acelerada para decenas de millones de nuevos terminales.

Hay 2,25 millones de empleados equivalentes a tiempo completo en el poder ejecutivo federal de EE. UU., y 4,3 millones si se cuentan los trabajadores postales y otro personal en los poderes judicial, legislativo y militar uniformado.³ Estos también incluyen muchos trabajadores de primera línea, un tema de seguridad crítico que analizo en la publicación del blog Reduzca la carga de los trabajadores de primera línea con la tecnología de gestión adecuada. El gobierno federal de EE. UU. también marca la pauta para la política tecnológica en el gobierno estatal y local, lo que agrega otros 19,7 millones de trabajadores, incluso antes de que comencemos a contar los proveedores del gobierno federal a los que se les pedirá que cumplan.⁴ Incluso con una proporción de un empleado por terminal (y la proporción podría ser mayor con dispositivos personales e IoT), sin contar las actualizaciones de la estrategia de terminales por parte de gobiernos extranjeros, estamos viendo decenas de millones de terminales que se administrarán de acuerdo con Zero Principios de gobierno de la confianza.

En su totalidad, lo animo a leer el comunicado de prensa del memorando, La Oficina de Administración y Presupuesto publica la estrategia federal para llevar al gobierno de los EE. UU. hacia una arquitectura de confianza cero.

Aquí están mis tres conclusiones:

1. Zero Trust ahora es relevante para todas las organizaciones.
2. La alineación del liderazgo es el mayor obstáculo para impulsar las agendas de Zero Trust.
3. La arquitectura Zero Trust requiere un pensamiento holístico e integrado.

Zero Trust ahora es relevante para todas las organizaciones

El trabajo híbrido, la migración a la nube y el aumento de las amenazas hacen que Zero Trust sea ahora relevante para todas las organizaciones.

El concepto de Zero Trust no es nuevo. El término fue acuñado por primera vez por el entonces analista de Forrester, John Kindervag, en 2010.⁵ Sin embargo, como dice el documento de la OMB: “La creciente amenaza de los ataques cibernéticos sofisticados ha subrayado que el gobierno federal ya no puede depender de las defensas convencionales basadas en el perímetro para proteger los sistemas y datos críticos. La vulnerabilidad de Log4j es la evidencia más reciente de que los adversarios continuarán encontrando nuevas oportunidades para poner el pie en la puerta”.

Sin embargo, en nuestro 2021 Informe de adopción de confianza cerosolo el 35 por ciento de las organizaciones afirman haber implementado completamente su estrategia Zero Trust.

Zero Trust ahora es de vital importancia para todas las organizaciones por dos razones. Primero, el cambio al trabajo remoto y la migración a la nube que lo acompaña llegaron para quedarse. Gartner® estima que el 47 por ciento de los trabajadores del conocimiento trabajarán de forma remota en 2022.⁶ Esta no es solo una emergencia de la era de la pandemia que se restablecerá a soluciones basadas en el perímetro una vez que disminuyan los casos de COVID-19. Hoy en día, las soluciones de seguridad deben partir del hecho de que los terminales pueden estar fuera de una configuración de defensa perimetral y adaptarse en consecuencia. En segundo lugar, las amenazas cibernéticas siguen aumentando. El gobierno federal de EE. UU. hizo referencia a la falla de Log4j, pero igualmente podría haber mencionado a Kaseya, SolarWinds u otras interrupciones recientes. Estas interrupciones son costosas: un informe de IBM de 2021 calculó el costo total promedio de una filtración de 1 a 10 millones de registros en 52 millones de USD, con una mega filtración de 50 a 65 millones de registros que cuesta a las empresas más de 400 millones de USD.⁷

El gobierno federal de los EE. UU. está señalando que Zero Trust es esencial para los tiempos actuales. Zero Trust requiere que los clientes piensen más allá de los firewalls y los perímetros de la red y asuman la violación desde dentro de esos límites.

La alineación del liderazgo es el mayor obstáculo para impulsar las agendas de Zero Trust

Mi segunda conclusión es que la alineación del liderazgo es fundamental para que las organizaciones avancen adecuadamente en Zero Trust.

OMB requiere que cada agencia nomine un líder de implementación de la estrategia Zero Trust dentro de los 30 días. Es más, el memorándum dice: “Los directores financieros de la agencia, los directores de adquisiciones, los altos funcionarios de la agencia para la privacidad y otros en el liderazgo de la agencia deben trabajar en asociación con su liderazgo de TI y seguridad para implementar y mantener las capacidades de Zero Trust. Es fundamental que el liderazgo de la agencia y todo el ‘C-suite’ estén alineados y comprometidos con la revisión de la arquitectura y las operaciones de seguridad de una agencia». En resumen, no se trata simplemente de un problema tecnológico que se puede transferir a TI, para no volver a pensar en él nunca más. Zero Trust requiere, como mínimo, la participación de C-suite y, dados los riesgos involucrados en una violación de seguridad, también garantiza la supervisión de la junta.

Nuestro Informe de adopción de Zero Trust que explora las barreras para la implementación de Zero Trust también destacó la alineación del liderazgo. El cincuenta y tres por ciento mencionó esto como una barrera, que cubre el apoyo de la alta gerencia, las partes interesadas o una organización más amplia. Otras barreras clave para la adopción incluyeron recursos limitados, como la escasez de habilidades en áreas como la gestión de cambios o la incapacidad de mantener el tiempo de implementación. Por ejemplo, según un estudio anual de la fuerza laboral de ciberseguridad de 2020 realizado por (ISC)²sigue habiendo una escasez de 3,1 millones de trabajadores de ciberseguridad, incluidos 359 000 solo en EE. UU.⁸ Relacionado con esto, las restricciones presupuestarias fueron mencionadas por 4 de cada 10 encuestados. Anticiparse y abordar de manera proactiva la alineación del liderazgo, los recursos limitados y el presupuesto son claves para el despliegue más amplio de las arquitecturas Zero Trust, independientemente de cualquier elección tecnológica.

La arquitectura Zero Trust requiere un pensamiento holístico e integrado

El pensamiento de la arquitectura Zero Trust es más parecido a dirigir una orquesta que simplemente accionar un interruptor. Los planes del gobierno federal de los EE. UU. abarcan la identidad (incluida la autenticación multifactor y la autorización del usuario), los dispositivos (incluida la detección y respuesta de punto final), las redes (incluido el sistema de nombres de dominio, HTTP y el cifrado del tráfico de correo electrónico), las aplicaciones y las cargas de trabajo, y los datos. Este no es un proyecto que se pueda hacer en silos o rápidamente. De hecho, la OMB pide a las agencias federales que “Dentro de los 60 días siguientes a la fecha de este memorándumlas agencias deben basarse en esos planes incorporando los requisitos adicionales identificados en este documento y presentando a la OMB y a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) un plan de implementación para el año fiscal 22 al año fiscal 24 para la aprobación de la OMB, y un presupuesto estimado para el año fiscal 24”.

Los marcos Zero Trust de Microsoft y del gobierno federal de EE. UU. son muy similares. Se superponen en cinco categorías. Microsoft llama a la infraestructura por separado de las redes, mientras que el memorando de OMB combina los dos. Al pensar en Zero Trust, cualquier organización debe considerar:

1. Identidades y autenticación: proteger las identidades contra compromisos y garantizar el acceso a los recursos, incluida la autenticación multifactor.
2. Endpoints y dispositivos: Proteger los endpoints y permitir que solo los dispositivos compatibles y confiables accedan a los datos.
3. Aplicaciones: Asegurar que las aplicaciones estén disponibles, visibles y protegiendo sus datos importantes.
4. Datos: Protección de datos confidenciales dondequiera que vivan o viajen.
5. Redes: eliminando la confianza implícita de la red y evitando el movimiento lateral.
6. Infraestructura: Detectar amenazas y responder a ellas en tiempo real.

Subrayar estos pilares es visibilidad centralizada, que permite una visión holística. Ser capaz de ver cómo se implementan todas las aplicaciones y puntos finales y si hay problemas de seguridad es vital para mantener y configurar una postura de confianza cero. Una solución de gestión de puntos finales proporciona un depósito central para las políticas de seguridad y un lugar para hacer cumplir esas políticas en caso de que un punto final ya no las cumpla. Las soluciones deben habilitar el cifrado integrado en todas las plataformas, ya sea Windows, macOS, iOS, Android o Linux. Del mismo modo, la administración unificada de puntos finales facilitará el viaje de la red hacia Zero Trust, independientemente del tipo de red. La visibilidad es importante en Zero Trust, y la gestión eficaz de puntos finales es un factor importante para lograrlo.

Elegir un punto de partida

Tener un marco consistente para Zero Trust y una visibilidad constante es un buen punto de partida. No obstante, no responde a la pregunta de dónde y cómo empezar a implementar Zero Trust para su organización. La respuesta será específica para cada organización: no existe un enfoque único para Zero Trust. Las organizaciones pueden comenzar en diferentes puntos, pero el Plan de implementación de Microsoft 365 Zero Trust brinda a todas las organizaciones una guía práctica para introducir Zero Trust.

El plan de implementación tiene cinco pasos y puede ayudar a las organizaciones a implementar una arquitectura Zero Trust:

1. Configure la identidad Zero Trust y la protección de acceso al dispositivo para proporcionar una base Zero Trust.
2. Administre terminales mediante la inscripción de dispositivos en soluciones de administración.
3. Agregue protección de acceso a dispositivos e identidad Zero Trust a esos dispositivos.
4. Evalúe, pruebe e implemente Microsoft 365 Defender para recopilar, correlacionar y analizar automáticamente los datos de señales, amenazas y alertas.
5. Proteja y gobierne los datos confidenciales para descubrir, clasificar y proteger la información confidencial dondequiera que viva o viaje.

La gestión de sus aplicaciones y terminales juega un papel papel vital y fundamental en cualquier implementación Zero Trust. Al inscribir dispositivos en la administración, puede configurar políticas de cumplimiento para garantizar que los dispositivos cumplan con los requisitos mínimos e implementar esos perfiles de configuración para fortalecer los dispositivos contra las amenazas. Con una base sólida establecida, puede defenderse de las amenazas mediante el uso de señales de riesgo del dispositivo y garantizar el cumplimiento mediante el uso de líneas de base de seguridad. De esta manera, eres protegiendo y controlando los datos confidenciales, sin importar qué plataforma de sistema operativo estén usando sus dispositivos.

La directora de CISA, Jen Easterly, escribió en el comunicado de prensa del memorando: “A medida que nuestros adversarios continúan buscando formas innovadoras de violar nuestra infraestructura, debemos continuar transformando fundamentalmente nuestro enfoque de la ciberseguridad federal”. Zero Trust es una prioridad crítica del gobierno federal de EE. UU., que acelerará la adopción masiva. Si su organización recién está comenzando a implementar Zero Trust o más adelante, espero que los siguientes recursos gratuitos sean útiles.

Aprende más

Explore los recursos y productos de Microsoft para ayudarlo a implementar una estrategia Zero Trust:

Lea más sobre el anuncio de la estrategia Zero Trust del gobierno federal de EE. UU.:

Recursos adicionales:

---

¹El gobierno de EE. UU. establece la estrategia y los requisitos de la arquitectura Zero Trust, Joy Chik, Microsoft. 17 de febrero de 2022.

²50 inventos que quizás no sabías que fueron financiados por el gobierno de EE. UU., Abby Monteil, Apilador. 9 de diciembre de 2020.

³Estadísticas Federales de la Fuerza Laboral Fuentes: OPM y OMB, Servicio de Investigación del Congreso. 24 de junio de 2021.

⁴Número de empleados del gobierno estatal y local en los Estados Unidos de 1997 a 2020, por estado de tiempo completo/tiempo parcialEstatista.

⁵Forrester impulsa el modelo Zero Trust para la seguridadLectura Oscura.

⁶Gartner, Forecast Analysis: Remote and Hybrid Workers, Worldwide, Ranjit Atwal, Rishi Padhi, Namrata Banerjee, Anna Griffen, 2 de junio de 2021. GARTNER es una marca registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en EE. UU. y internacionalmente y se usa aquí con permiso. Todos los derechos reservados.

⁷Costo de un informe de violación de datos 2021IBM.

⁸Estudio de la fuerza laboral de ciberseguridad(ISC)². 2020.