O Departamento de Defesa está a avançar com um sentido de urgência para cumprir o seu ambicioso objectivo de operar numa arquitectura de segurança cibernética baseada em confiança zero até 2027, de acordo com um alto funcionário de TI.
Em termos gerais, a confiança zero refere-se a um conceito e estrutura de segurança cibernética que requer monitorização ininterrupta e autenticação constante para proteger informações críticas de segurança nacional — e pressupõe que todas as redes estão comprometidas desde o início.
“Publicamos uma arquitetura de referência, uma estratégia e um plano de implementação. A estratégia e o plano de implementação definem claramente o que queremos dizer com “confiança zero” no Departamento de Defesa. Temos duas camadas diferentes para alcançar a confiança zero – uma é direcionada e a outra é avançada. Queremos atingir a meta de confiança zero até 2027. Somos uma organização extremamente grande, com muitas redes e, embora 2027 possa não parecer tão agressivo, é super agressivo para nós tentar chegar lá até essa data”, disse o deputado do DOD. O diretor de informações e diretor sênior de segurança cibernética e de segurança da informação, Dave McKeown, disse.
Durante sua sessão de abertura no Zero Trust Summit apresentado pela CyberScoop na quinta-feira, McKeown forneceu novas atualizações sobre tudo o que está atualmente em andamento para sua equipe nessa busca e discutiu como eles pretendem expandir em breve o foco além das redes tradicionais e avançar em direção à implementação em outros tipos de sistemas também.
“Como você provavelmente concordaria, a construção da confiança zero é importante, não importa qual seja a rede e qual seja a plataforma – sistemas médicos, sistemas de armas, infraestrutura crítica – queremos estar cientes disso e chegar a isso”, ele explicou.
O DOD aponta três métodos para alcançar a confiança zero, observou McKeown. Isso inclui: compreender e melhorar o ambiente atual, aproveitar os serviços em nuvem e usar soluções locais criadas especificamente para esse fim.
A estratégia do departamento para alcançar a confiança zero para o nível-alvo até 2027 baseia-se em 91 atividades.
“O que fizemos desde que implementamos a estratégia? Bem, o Congresso queria que nós e os serviços os informássemos sobre os nossos planos globais, por isso temos trabalhado neles”, disse McKeown.
Em novembro, todas as agências e serviços militares do Departamento de Defesa submeteram cerca de 40 planos diferentes de abordagem de segurança cibernética à sua equipe para revisão.
“Fomos muito, muito úteis para eles. Demos a eles o esboço do que queríamos que eles vissem e fizemos perguntas no esboço, para que quando eles nos entregassem seus planos, todas as coisas que precisávamos ver estivessem lá. Entramos em contato com eles assim que recebemos esses esboços, e eles foram muito bons. Vou lhe dizer: a maturidade do entendimento da confiança zero e do que estamos tentando alcançar é forte dentro do departamento”, disse McKeown.
Houve um pouco mais de idas e vindas depois disso e todas as atualizações recomendadas foram finalmente feitas, e então os planos finais foram lançados no final de janeiro.
“E agora vamos criar um cronograma mestre integrado – minha equipe é o Zero Trust Portfolio Management Office, liderado por Randy Resnick – com base em todas as informações que criamos, com o Congresso, estamos passaremos da fase de planejamento e educação para a fase de implementação nos próximos três anos”, observou o vice-CIO.
Depois que esses funcionários tiverem esse cronograma mestre integrado completamente definido, eles se concentrarão em permitir o treinamento apropriado de confiança zero em todo o departamento.
“Fizemos uma parceria com a Defense Acquisition University para desenvolver módulos de treinamento. E eles realizam eventos de treinamento ao vivo para educar as pessoas sobre o que é confiança zero. Este é um enorme esforço para mudar todo o departamento para um novo paradigma de segurança cibernética, por isso o treinamento é totalmente vital”, disse McKeown.