La administración Biden está presionando a las agencias federales para que adopten una filosofía de seguridad cibernética que se ha vuelto cada vez más popular en el sector privado en medio de un cambio creciente hacia la computación en la nube y un aumento en los ataques cibernéticos: no confíe en nada.
La Oficina de Administración y Presupuesto de la Casa Blanca publicó la semana pasada un borrador de un enfoque de confianza cero para defenderse de los piratas informáticos. El cambio, que el presidente Biden anunció en mayo como parte de una orden ejecutiva para reforzar la ciberseguridad, tiene como objetivo ayudar a detectar o contener amenazas como la violación de los sistemas federales el año pasado a través de SolarWinds. Corp.
Los piratas informáticos comprometieron una actualización de software de la empresa para ingresar a las redes informáticas de al menos nueve agencias federales y decenas de empresas estadounidenses.
La implementación de una nueva gama de políticas, procedimientos y herramientas en las agencias federales podría requerir una inversión significativa y años de esfuerzo, dijo Theresa Payton, directora ejecutiva de Fortalice Solutions LLC, una firma consultora de ciberseguridad. Ella comparó el cambio a la confianza cero con un cambio de estilo de vida, y agregó que el impulso de la administración podría ayudar a modernizar las defensas cibernéticas del gobierno.
«Si fuera fácil de hacer, ya estaría hecho», dijo Payton, quien fue la directora de información de la Casa Blanca durante la presidencia de George W. Bush. «Se va a poner muy caro, muy rápido».
Estos son los conceptos básicos del enfoque de confianza cero:
¿Qué es la confianza cero?
El enfoque considera a cualquier usuario, dispositivo o aplicación como una amenaza potencial, que requiere la verificación repetida de identidades y capacidades para acceder a los datos. Eso contrasta con los marcos de seguridad tradicionales, en los que se confía en las herramientas o las personas una vez que superan las defensas perimetrales, a menudo estructuradas en torno a redes vinculadas a oficinas físicas.
La confianza cero «es especialmente importante ahora que hemos tenido la pandemia», dijo Bret Arsenault, director de seguridad de la información de Microsoft. Corp.
«Quieres tener la misma experiencia constante, ya sea que trabajes desde un lugar de trabajo, ya sea que trabajes desde casa o en cualquier otro lugar».
El enfoque puede ayudar a mitigar los ataques a través de un monitoreo más granular y la segmentación de las redes, restringiendo a los usuarios los datos que están fuera de su alcance. Arsenault dijo que eso resultó clave para comprender la amenaza a las redes de Microsoft por el ataque SolarWinds.
“Habría sido un mundo diferente si no hubiéramos implementado la confianza cero”, dijo. «Sabíamos dónde [the compromised software] era. Sabíamos dónde estaba contenido. Sabíamos lo que teníamos que hacer en ese escenario «.
¿Cómo pueden las organizaciones convertir la palabra de moda en realidad?
Si bien muchos aspectos de la confianza cero no son nuevos, dicen los expertos en cibernética, combinarlos en un todo cohesivo es más complejo. Puede requerir catalogar todos los dispositivos en una organización, instituir la autenticación multifactor o biométrica, monitorear las conexiones en tiempo real, endurecer los controles de acceso de los usuarios, acordonar la tecnología obsoleta y dividir las redes en áreas que pueden aislarse en caso de ataques.
Algunos proyectos, como el cifrado de datos, pueden ser ascensores relativamente fáciles, dijo Selim Aissi, ex director de seguridad de la información de la firma de procesamiento de hipotecas Ellie Mae Inc. Pero puede ser más costoso reemplazar herramientas de seguridad obsoletas que no están diseñadas para un enfoque más agresivo para particionar redes o monitorear datos.
“Si tiene una tecnología de firewall muy antigua, buena suerte con eso”, dijo Aissi. «Eso significa que se puede extraer y reemplazar».
Las organizaciones que realizan tales cambios también deben obtener la aceptación de los trabajadores, dijo Aissi, y agregó: «La tecnología y los procesos no pueden hacer todo al final del día».
¿Qué está pidiendo la administración de Biden a las agencias federales que hagan?
El borrador de la estrategia de OMB ordena a las agencias federales para el año fiscal 2024, que finaliza el 30 de septiembre, crear un inventario de sus dispositivos, cifrar redes e instituir un esquema de autenticación para que los usuarios accedan a las aplicaciones a través de un inicio de sesión único y seguro. El plan también exige que los funcionarios traten todas las aplicaciones como conectadas a Internet y mejoren la forma en que monitorean los datos a través de las redes informáticas. Algunas agencias, como el Departamento de Defensa, ya han comenzado a tomar esas medidas.
La Agencia de Seguridad de Infraestructura y Ciberseguridad ayudará a las agencias a realizar cambios de seguridad y ha publicado su propia guía sobre cómo avanzar hacia la confianza cero. Aún así, CISA advirtió que el esfuerzo podría requerir que muchas agencias reconstruyan o reemplacen gran parte de su infraestructura de tecnología de la información existente.
“El camino hacia la confianza cero es un proceso incremental que llevará años implementar”, dijo CISA.
OMB no proyectó lo que costaría el cambio a la confianza cero. La oficina ordenó a las agencias que utilicen los fondos existentes para las actualizaciones en el año fiscal 2022 y que proporcionen a la OMB estimaciones presupuestarias para los dos años fiscales siguientes.
¿Que viene despues?
OMB está buscando comentarios del público sobre su propuesta de estrategia de confianza cero hasta el 21 de septiembre. CISA está abierta a recibir comentarios sobre su guía hasta el 1 de octubre.
Copyright © 2021 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8
Fuente: WSJ