Le récent Forrester Security & Risk Summit à Baltimore a réuni des responsables gouvernementaux de la cybersécurité qui ont discuté d’un guide récemment publié sur la confiance zéro et ont évalué les prochaines étapes du modèle de sécurité.
En fait, Forrester est connu pour avoir introduit le confiance zéro modèle de sécurité en 2009. La devise « ne jamais faire confiance, toujours vérifier » suggère une approche du moindre privilège. John Kindervag, ancien analyste de Forrester, aujourd’hui évangéliste en chef à Illumioétait un premier champion du zéro confiance.
Lors d’un panel le 10 décembre, les dirigeants de la cybersécurité ont discuté de « Naviguer dans le système fédéral ». Guide de sécurité des données Zero Trust», que les conseils fédéraux des RSSI et des CDO publié le 31 octobre. Le guide, élaboré par 70 personnes de plus de 30 agences et ministères fédéraux, propose une analyse de la manière dont les agences et organisations gouvernementales devraient réfléchir aux risques liés aux données. L’objectif est de fournir un guide pratique sur la façon de mettre en œuvre confiance zéro.
Une vision globale des données et de la sécurité
Au cours de la session, Steven Hernandez, RSSI au ministère américain de l’Éducation et coprésident du Conseil fédéral américain des RSSI, a expliqué comment le guide pourrait apprendre aux professionnels fédéraux et privés de la cybersécurité à penser à la fois dans une perspective de confiance zéro et dans une perspective de données.
“C’est intéressant parce que nous parlons de la façon d’exploiter les données, nous utilisons donc beaucoup d’analyses comportementales et de journaux de nos systèmes, etc.”, a déclaré Hernandez au public. “C’est un côté de la médaille, mais l’autre côté de la médaille est la façon dont nous protégeons les données en utilisant des principes, des technologies et des opérations de confiance zéro, et dans la section gestion des données, nous allons essentiellement devoir chevaucher ces deux plates-formes. pour réussir. »
Anne Klieve, analyste de gestion au Bureau de l’intégration d’entreprise du Département américain des Anciens Combattants, a convenu que l’un des objectifs du guide était de créer un document que les communautés de données et de sécurité pourraient comprendre.
“Il s’agissait de créer un guide qui serait lisible à la fois par les communautés de la cybersécurité et des données, et d’examiner spécifiquement à quel point même le jargon était distinct pour les deux communautés”, a déclaré Klieve lors de la session.
Jason Snyder, directeur informatique du Massachusetts, a déclaré qu’il appréciait la façon dont le guide pouvait amener les agences et organisations fédérales au-delà de la compréhension des architecture de confiance zéro et faire quelque chose avec. Il a également déclaré que le Massachusetts était au « point zéro » en ce qui concerne la confiance zéro.
“L’une des choses que j’ai vraiment appréciées dans le guide est qu’il se concentre principalement sur les données, et lorsque vous parlez de confiance zéro, je pense que c’est le bon domaine d’intérêt”, a déclaré Snyder lors du panel. “Donc, ce que nous faisons au Massachusetts consiste vraiment à progresser du point de vue des données et à mieux comprendre nos données, à mieux comprendre les différents types de données dont nous disposons, puis à travailler sur les moyens de protéger ces données.”
Lisez la suite de cet article sur Semaine de l’information.
