La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (Cisa) ha publicado versión 2 de su modelo de madurez de confianza cero (ZTMM)incorporando las recomendaciones de los comentarios públicos recibidos en la primera versión. “Cisa se ha centrado en guiar a las agencias, que se encuentran en diferentes etapas de su recorrido, en la implementación de una arquitectura de confianza cero”. declarado Chris Butera, director técnico de ciberseguridad de Cisa. “Como hoja de ruta, el modelo actualizado guiará a las agencias a través de un proceso metódico y la transición hacia una mayor madurez de confianza cero. Aunque es aplicable a agencias civiles federales, todas las organizaciones encontrarán interesante revisar este modelo y utilizarlo para implementar su propia arquitectura”. La agencia lanzó la primera versión de su modelo ZTMM en septiembre de 2021, en consonancia con la orden ejecutiva más amplia sobre ciberseguridad emitida por el presidente Biden en mayo de 2021. Esta estableció una serie de iniciativas y objetivos para la ciberseguridad, en particular alentando a las agencias del gobierno federal a acercarse a las arquitecturas de confianza cero. En enero de 2022, la OMB también emitió una Estrategia Federal ZTA como parte de la Orden Ejecutiva, que exige a las agencias que cumplan con estándares y objetivos de ciberseguridad específicos para fines de 2024.

La confianza cero está de moda desde hace varios años en el ámbito de la gestión de riesgos de ciberseguridad. Este modelo engloba muchos conceptos que muchas veces son difíciles de entender y aún más difíciles de implementar.. Cisa lo define como “un enfoque en el que el acceso a datos, redes e infraestructuras se limita a lo estrictamente necesario y la legitimidad de ese acceso debe ser verificada constantemente”. Según el Instituto Nacional de Estándares y Tecnología (NIST), ZTA es un programa de ciberseguridad de una organización que utiliza conceptos de confianza cero y abarca relaciones de componentes, planificación del flujo de trabajo y políticas de acceso. Por tanto, un negocio de confianza cero incluye la infraestructura de red (física y virtual) y las políticas operativas. Theresa Payton, directora ejecutiva de Fortalice, destaca la dificultad de las empresas a la hora de adoptar enfoques para alcanzar los objetivos de las estrategias y modelos de confianza cero. Incluso la terminología de ZTA suena como una especie de gran rompecabezas en el que sólo hay que seguir las instrucciones, conectar todo para obtenerlo, pero no es tan simple, explica. “El mayor desafío que veo es la falta de reconocimiento de que en realidad no es un río largo y tranquilo. Escucho a la gente describirlo como simplemente una rutina, pero en realidad es una elección de estilo de vida”.

Índice
  1. El paso crucial para inicializar la confianza cero
  2. La falta de consideración de la IA en cuestión

El paso crucial para inicializar la confianza cero

El modelo ZTMM de Cisa incluye cinco pilares: identidad, endpoints, redes, aplicaciones y flujos de trabajo, y datos. También se articula a través de tres capacidades transversales: visibilidad y análisis, automatización y orquestación, así como gobernanza. Según el modelo actualizado, existen cuatro etapas de madurez: tradicional, inicial, avanzada y óptima. “Las tres etapas del camino ZTM desde la etapa tradicional hasta las etapas inicial, avanzada y óptima facilitarán la implementación de la ZTA a nivel federal. Cada paso posterior requiere la adopción de mayores niveles de protección, detalle y complejidad”, dijo la agencia. La incorporación de la fase inicial es el cambio más significativo entre el modelo ZTMM original y la versión actualizada. Según Cisa, este paso está dirigido a empresas que recién están comenzando a “automatizar la asignación de atributos y la configuración del ciclo de vida, las decisiones y la aplicación de políticas, y soluciones iniciales entre pilares con integración de sistemas externos”. Theresa Payton elogia a Cisa por añadir la fase inicial al modelo de madurez de confianza cero. Por lo tanto, proporciona un punto de partida para las personas que realmente no saben por dónde empezar. El nuevo modelo proporciona “algunos elementos fundamentales que puede implementar y que le ayudarán a alcanzar los principios de la ZTA”, afirma.

"Lo que hicieron fue tomar los más de 300 comentarios que recibieron de agencias y consultores, de proveedores, simplemente de la comunidad, que comentaron sobre el modelo anterior", explica Eric Noonan, director ejecutivo de CyberSheath. “Luego crearon un producto que incorporaba la retroalimentación agregando la fase inicial porque reconocieron que pasar de la primera fase, que es tradicional, a la siguiente fase, que es avanzada, era una brecha demasiado grande. Por eso creo que han puesto más énfasis en el hecho de que no es un interruptor”. Agregar la fase inicial muestra que el paso a la confianza cero no es una línea recta, dice Noonan. “De ninguna manera se trata de un enfoque lineal. La etapa inicial reconoce esto y brinda a las empresas que desean adoptar este modelo una forma más práctica y alcanzable de lograrlo de una manera más mensurable, en lugar de simplemente pasar de cero a cien”.

La falta de consideración de la IA en cuestión

A Cisa le tomó poco más de un año y medio actualizar su ZTMM inicial, lo que, según Payton, era demasiado largo dado el ritmo del cambio tecnológico, particularmente el rápido progreso de la inteligencia artificial. Ella analiza una situación reciente en la que los empleados de Samsung habría revelado información sensible y confidencial de la empresa a la plataforma ChatGPT de Open AI. “Me sorprendió un poco que la ley no abordara la IA, y eso demuestra lo difícil que puede ser, así que no es una crítica a Cisa. Pero muestra lo difícil que puede ser mantenerse al día con la innovación y la transformación tecnológica”. ZTMM no aborda la inteligencia artificial, el aprendizaje automático o la IA generativa. No está ahí.

A Theresa Payton le gustaría que en el futuro se permitiera a la agencia actualizar su modelo más rápidamente. “Me gustaría que Cisa tuviera la autoridad y las garantías para actuar más rápidamente. Se introducen nuevas tecnologías. Se les debe permitir actualizar modelos, orientaciones, marcos y políticas para seguir el ritmo del mercado. Mientras tanto, Eric Noonan tiene otra opinión sobre el momento de esta actualización. "Creo que han logrado un progreso tremendo", dijo. "La segunda versión del modelo en el espacio de dos años demuestra la importancia que el gobierno federal otorga a este tema, así como la importancia y el progreso que se está logrando en materia de confianza cero".