Banner 970x250

La orden ejecutiva de Biden se basa en gran medida en la confianza cero para el futuro de la ciberseguridad en los Estados Unidos.

Biden Blog investing español, noticias financieras


Banner 564x300

Este puede ser un blog un poco extenso debido a la amplia naturaleza de la Orden Ejecutiva sobre Mejora de la Ciberseguridad de la Nación y su impacto en la ciberseguridad y el enfoque de Confianza Cero. La administración de Biden también publicó una hoja informativa: "El presidente firma orden ejecutiva traza un nuevo curso para mejorar la seguridad cibernética de la nación y las redes seguras del gobierno federal", que proporciona un resumen sólido de la orden ejecutiva que recomendamos verificar, especialmente para las entidades no gubernamentales.

Pero antes de sumergirnos en los detalles, tendrás que aguantarnos para una pequeña vuelta de la victoria. Los clientes de Forrester saben que nuestro equipo de seguridad y riesgos ha estado tocando el tambor de Zero Trust durante más de una década. Nuestro dúo dinámico de David Holmes y Steve Turner ahora lidera Zero Trust de Forrester, amplificando lo que sabemos desde hace mucho tiempo: Zero Trust funciona. Y ahora, el gobierno federal de EE. UU. Ha validado, confirmado y solicitado Zero Trust. Sin embargo, no descorchamos el champán porque ahora comienza el verdadero trabajo. Para el gobierno de los Estados Unidos y sus proveedores, esta orden ejecutiva representa un gran cambio. Pero incluso las organizaciones no gubernamentales deberían esperar escuchar las repercusiones de esto.

Efectos en cadena de la orden ejecutiva

La orden ejecutiva no afecta directamente al sector privado, pero los grandes esfuerzos de transformación como este conducirán a un cambio mucho más allá del gobierno para los proveedores de seguridad y las organizaciones corporativas. Los procesos de adquisiciones del gobierno federal de los EE. UU. Son rígidos, desactualizados y fríos, y partes de esta orden ejecutiva buscan abordar. Sin embargo, la naturaleza rígida de ese proceso de adquisición también proporciona una línea de base que otras organizaciones comerciales utilizan para ayudarles a codificar y estandarizar los requisitos. Esta orden ejecutiva se expandirá dramáticamente más allá del gobierno a medida que las organizaciones corporativas la busquen en busca de orientación.

Los cambios importantes en la contratación pública como este crean incentivos comerciales dada la cantidad de dinero que gasta el gobierno. Las estimaciones basadas en solicitudes presupuestarias de agencias estadounidenses sitúan el gasto federal en ciberseguridad por encima de los 18.000 millones de dólares. Por ejemplo, desde diciembre de 2020, solo la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha recibido $ 2.6 mil millones en fondos. Detallaremos las principales áreas de impacto a continuación.

SBOM llega su día

Desde 2018, la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE. UU. Ha coordinado un esfuerzo de la industria para promover la transparencia en el proceso de adquisición de software para que las organizaciones comprendan qué hay en el software que crean, compran y usan. El requisito de la orden de ejecución de que los productos proporcionen un lista de materiales de software (SBOM) ayudará a las organizaciones a gestionar el riesgo al permitirles determinar rápidamente qué componentes de software vulnerables están presentes en sus productos.

SBOM a menudo se compara con una lista de ingredientes en el empaque de alimentos; aunque muchos de nosotros echamos un vistazo a la lista de ingredientes, las personas con alergias alimentarias tienen un cuidado especial para asegurarse de que lo que están a punto de comer no les dañe. SBOM permite a las organizaciones ver fácilmente si los productos que utilizan y construyen contienen componentes con vulnerabilidades críticas. A medida que los investigadores descubren nuevas vulnerabilidades en el código abierto u otros componentes de software, los equipos de seguridad pueden examinar rápidamente los SBOM, determinar qué productos tienen esos componentes y priorizar la reparación.

En los próximos 60 días, la Secretaría de Comercio debe publicar los elementos mínimos para un SBOM. Hoy en día, existen múltiples formatos SBOM y faltan convenciones de nomenclatura estandarizadas para todos los componentes de software. Desafortunadamente, esto no será universalmente consistente el primer día, pero es un paso en la dirección correcta.

Dejando a un lado la posible confusión de formato, es importante proporcionar a los usuarios un SBOM suficientemente bueno. Ni siquiera entendemos todos los ingredientes que leemos en las etiquetas de los alimentos (estoy leyendo la etiqueta de una bolsa de M & M's Mini: ¿qué es "Yellow 6" y en qué se diferencia exactamente de "Yellow 5"?). Espere que el análisis de composición de software (SCA), la gestión de vulnerabilidades y los proveedores de gestión de riesgos de terceros permitan a sus clientes integrar las convenciones SBOM preferidas en sus ofertas.

Cadena de suministro y riesgo de terceros

La orden ejecutiva incluye el desarrollo de criterios "para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores" y propone un sistema de etiquetado para identificar aquellos proveedores y productos que hayan pasado una línea de base. La formalización y la especificidad de esta parte de la orden ejecutiva están en línea con uno de los principales problemas que enfrenta toda organización de software y tecnología en la actualidad, independientemente del segmento. El hecho de que las empresas se tomen o no el tiempo para "proteger lo que usted vende" es una de las principales causas recurrentes de violaciones y pérdida de datos, y los problemas recientes aceleran la firma de esta orden ejecutiva.

Un consejo nacional de seguridad del transporte equivalente a la ciberseguridad

Con esta orden ejecutiva finalmente tendremos un organismo (con representantes tanto del sector público como del privado) para hacer frente a los "siniestros ferroviarios" en ciberseguridad. Esto mejorará enormemente el intercambio de información entre los sectores público y privado, ayudando a las organizaciones a priorizar la implementación del personal apropiado, las tecnologías de seguridad y los procesos que importan. Con el establecimiento de la Junta de Revisión de Seguridad Cibernética, finalmente podemos tener información sobre incidentes cibernéticos críticos compartidos entre industrias, junto con recomendaciones esenciales y prescriptivas sobre cómo otra organización puede evitar los mismos peligros.

Otras áreas tratadas en la orden ejecutiva

El intercambio de información entre el sector privado y el gobierno está en el centro de atención. También se mencionan libros de estrategias de respuesta estandarizados, informes, detección, investigación, respuesta y estándares de remediación. Gran parte de los detalles en estas áreas llegarán en los próximos 60 a 120 días, ya que varias agencias y puestos a nivel de gabinete han recibido plazos para crear y emitir las políticas que harán que esta orden ejecutiva sea una realidad y funcione en todo el gobierno federal y la industria. .privado. Los próximos dos o cuatro meses serán criticados por el gobierno. Después de eso, será así para todos los demás a medida que leamos, asimilemos y consideremos cómo aplicamos estos elementos en nuestros programas de seguridad y riesgo.

La emoción existe porque este es un momento significativo en la historia de la ciberseguridad de EE. UU. Sin embargo, la historia nos obliga a evitar alimentar demasiado nuestras esperanzas. Hay fallas y las exploramos más adelante, incluidas todas las formas posibles en las que esto puede salir mal.

Las porciones parecen una lista de técnicos de lavandería con una calcomanía de Zero Trust

Como se mencionó anteriormente, esta es la primera vez que la política pública reconoce que el actual modelo federal de ciberseguridad está roto y desactualizado. Estos son los primeros pasos a tomar, considerando que tenemos casi 30 años de datos y 10 años de ataques altamente maliciosos que confirman lo obvio: el gobierno de Estados Unidos está siendo atacado por otros países, al igual que otros gobiernos están siendo atacados por Estados Unidos. Predijimos que un gobierno formalizaría Zero Trust como estructura y, efectivamente, era Estados Unidos.

Esta orden ejecutiva grita "¡Necesitamos comprar más tecnología!" para solucionar el problema (por ejemplo, la detección y respuesta de endpoints se mencionan al menos 12 veces), pero generalmente, esto es lo último en la lista que usamos para habilitar la resolución de problemas. E incluso ahora están surgiendo rumores de que viejos "nuevos" proveedores están entrando en el mercado. Algunos de estos proveedores representan los problemas de los que deberíamos huir, no hacia.

Hoy en día, la mayoría de las agencias y departamentos no tienen el presupuesto para estos elementos, el personal para ejecutar estas herramientas o el tiempo libre para implementarlas. Si esto termina en el ámbito de la mayoría de las implementaciones de productos de seguridad empresarial (la mitad de las implementaciones, el software de estantería y solo el 30% de las funciones utilizadas), entonces todo lo que hemos hecho es crear un "paquete de estímulo para proveedores de seguridad del gobierno". No estamos seguros de si esto es bueno para nadie, excepto para los inversores y accionistas de esos proveedores. Para que esto tenga éxito, debe haber incentivos reales que impulsen la transformación de la seguridad en todos los niveles de gobierno. Los profesionales de la seguridad saben que más controles por el simple hecho de agregar controles solo agregan más complejidad, no necesariamente más o mejor seguridad.

Todavía no hay indicios de todo el ciclo de vida de la seguridad.

Desafortunadamente, la guía del Instituto Nacional de Estándares y Tecnología (NIST) tiene que evolucionar mucho para basarse más en la realidad tecnológica en la que vivimos actualmente. La guía actual emitida hacia fines del año pasado depende de la capacidad de detectar un mal actor dentro de su entorno a través de herramientas con algún tipo de detección de anomalías con alto eficacia. La industria de la seguridad ha estado persiguiendo a este unicornio de detección mágico durante años, y todavía no está allí hoy.

Esta arquitectura de referencia aporta valor, pero debe evolucionar y tener en cuenta los desafíos continuos a los que se enfrentan los profesionales de la seguridad. Las arquitecturas de referencia del NIST deben basarse en la realidad y la guía debe evolucionar para adaptarse a lo que las organizaciones están implementando realmente para llegar a Zero Trust. Forrester ha estado escribiendo sobre este y otros consejos prácticos durante años.

Zero Trust ha llegado (finalmente) a la corriente principal

Al igual que esa banda underground favorita que finalmente lanzó un sencillo exitoso en Spotify, Zero Trust se ha abierto camino en la corriente principal. El enfoque Zero Trust ahora tendrá un impacto en la forma en que Estados Unidos asegura a su gobierno federal. Forrester espera que esta adopción se expanda globalmente y en la infraestructura corporativa.

Banner 564x300

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

En nuestra web usamos cookies, si continúas navegando entendemos que las aceptas. Mas info