Cómo crear un marco de trabajo en la nube que priorice la seguridad y que le dé el control
La computación en la nube está transformando por completo muchas organizaciones. Pero a medida que se generaliza, existe una conciencia cada vez mayor del impacto de la nube en la seguridad empresarial, especialmente cuando las empresas buscan adoptar un marco de trabajo que priorice la seguridad.
En un mundo conectado a la nube, se necesitan controles fundamentales mucho más amplios, junto con un cambio cultural. ¿Por qué? La seguridad ya no es competencia exclusiva de un grupo dedicado de especialistas que reportan al CISO. Ahora todos tienen un papel que desempeñar, incluidos los desarrolladores de software, los equipos comerciales y el personal de TI.
Las organizaciones que adoptan un modelo de seguridad que da prioridad a la nube pueden obtener ganancias sustanciales en ciberseguridad. Le permite ir más allá del modo de ambulancia, persiguiendo y solucionando los problemas a medida que ocurren, para emplear un marco que brinda visibilidad proactiva de extremo a extremo junto con un alto nivel de automatización de seguridad.
Un modelo de seguridad de práctica líder comienza con la comprensión básica de que repensar la seguridad es esencial para tener éxito. Es probable que las herramientas, los recursos y los sistemas que ofrecían una protección adecuada en el mundo heredado no estén equipados para marcos de nube y de varias nubes.
Los líderes empresariales y de TI lo reconocen cada vez más. Casi un tercio (31 %) de los participantes en un reciente webcast de CIO Imperative informaron que los desafíos de gobernanza representan una barrera de moderada a extrema para obtener el valor de la nube. Una cuarta parte de ellos también informaron desafíos con la integración de los sistemas existentes.
La seguridad primero comienza con la conexión CIO-CISO
Ahora las buenas noticias. Aunque la seguridad en la nube (o asegurar sus cargas de trabajo en la nube primero) puede parecer desalentador, un marco de ciberseguridad más avanzado no requiere un reinicio completo de la seguridad. La nube puede ofrecer un modelo de seguridad altamente modular, flexible y automatizado. También ayuda a derribar las barreras que tradicionalmente se interponían en el camino de los resultados comerciales.
La práctica líder en seguridad en la nube es un subproducto de un liderazgo fuerte y comprometido. En ninguna parte es esto más evidente que en la relación de trabajo entre el CIO y el CISO. En muchos casos, es necesario repensar los roles, las responsabilidades y las tareas. Esto incluye asegurarse de que sus equipos estén sincronizados y creados para la velocidad, así como invertir en personas y adaptar y actualizar continuamente los procesos y flujos de trabajo a medida que las condiciones comerciales y las nubes cambian y evolucionan.
Cuando los CIO y los CISO se unen , es posible construir el marco técnico y cultural requerido para un poderoso modelo que prioriza la seguridad. Esto ayuda a garantizar que la tecnología coincida con las necesidades de seguridad, que la organización esté adoptando controles de seguridad de manera consistente en todas las nubes y aplicaciones, y que los empleados estén en sintonía. Este enfoque también facilita la polinización cruzada de ideas entre grupos y equipos, aborda focos de resistencia y ayuda a mantener a todos y todo en el buen camino.
Una vez que su CIO y CISO estén sincronizados, aquí hay otros tres pasos cruciales para construir un modelo de seguridad nativo de la nube.
Paso 1: Conozca sus riesgos y defina una estrategia de seguridad clara
La Encuesta de negocios en la nube de PwC indicó que más de la mitad (53 %) de las empresas aún tienen que obtener un valor sustancial de las inversiones en la nube. Una explicación es que depender de proveedores de nube externos puede aumentar las vulnerabilidades que erosionan la confianza en el negocio.
Es posible que las empresas no siempre comprendan el espectro completo de los riesgos de la nube. Una planificación insuficiente o deficiente puede generar implementaciones lentas y por encima del presupuesto. De hecho, la encuesta mostró que solo el 17 % de los directores de riesgos (CRO) y los directores ejecutivos de auditoría participan en proyectos en la nube en la etapa de planificación. La mayoría llega a la mesa mucho más tarde, durante la recopilación de requisitos.
Es fundamental contar con líderes de seguridad, riesgo y tecnología que trabajen juntos para identificar las plataformas y herramientas de seguridad adecuadas y comprender cómo configurarlas para la seguridad de la nube primero (más sobre esto en la siguiente sección). Además, los empleados deben comprender las expectativas de seguridad para impulsar una adopción consistente y efectiva.
Un marco de seguridad avanzado no sucede por casualidad. Es importante reconocer que la seguridad es ahora el trabajo de todos, desde los desarrolladores de software y los administradores de TI hasta los usuarios de la línea de negocios y el C-suite. Como resultado, existe la necesidad de equilibrar una base tecnológica con cambios culturales y prácticos.
El objetivo debe ser definir una estrategia de seguridad clara alineada con la estrategia de nube empresarial. Esto incluye identificar qué capacidades de seguridad priorizar, así como crear una hoja de ruta clara para madurar la postura de seguridad durante un período de tiempo. Desafíe las mentalidades y los paradigmas tradicionales e identifique oportunidades para integrar y automatizar la seguridad como parte del modelo de entrega en la nube.
Paso 2: Adopte la plataforma tecnológica adecuada
El enfoque inteligente es integrar la seguridad en los sistemas en lugar de agregar capas de seguridad como una ocurrencia tardía. Hoy en día, los principales proveedores de la nube ofrecen productos y servicios potentes que se conectan fácilmente a las plataformas de la nube. Aproveche estos servicios y diseñe controles en la nube del tamaño correcto para aplicarlos de manera consistente en entornos de nube. Decida qué requisitos y controles se necesitan en su entorno de nube y proporcione un marco claro para implementar la seguridad en la nube. Estos servicios, incluidos algunos que se incluyen sin costo adicional, simplifican y automatizan innumerables tareas. Amazon Web Services (AWS), por ejemplo, ofrece complementos de seguridad para control de identidad y acceso; escaneo de malware; descubrimiento, clasificación y protección de datos; gestión de claves; revisión de cuentas; y controles de seguridad automatizados.
Es importante comprender el modelo de responsabilidad compartida empleado en sus entornos de nube y reconocer plenamente los controles que son responsabilidad exclusiva de las organizaciones que utilizan los servicios de nube. Los fundamentos de la seguridad en la nube se pueden clasificar en términos generales en cinco categorías.
- Gestión y gobierno de cuentas:organice las cargas de trabajo en una estructura de cuentas bien definida basada en el riesgo, los patrones de consumo que proporcionan aislamiento y gobierno del radio de explosión con un conjunto estandarizado de controles adecuados para cada tipo de cuenta. AWS Control Tower es una forma simple pero poderosa de configurar controles preempaquetados que rigen y protegen un entorno de AWS de múltiples cuentas. Control Tower ofrece una zona de aterrizaje basada en planos de prácticas líderes y se puede adaptar para satisfacer las necesidades de su organización. Ofrece un grupo preempaquetado de barandas para seguridad, cumplimiento y operaciones. Como resultado, los equipos distribuidos pueden aprovisionar nuevas cuentas de AWS rápidamente, mientras que su CISO, el equipo de TI y otros pueden estar seguros de que todas las cuentas se alinean con las políticas de toda la empresa establecidas de forma centralizada.
- Gestión de identidades y accesos (IAM):es fundamental contar con un proceso y una plataforma bien definidos para gestionar el acceso a los usuarios y las aplicaciones en la nube. Tiene sentido confiar en un proveedor de identidades centralizado para administrar las identidades, ya que simplifica la administración del acceso desde un solo lugar. AWS, por ejemplo, proporciona servicios y controles para administrar identidades y permisos. Implemente SSO, MFA y políticas sólidas de gestión de credenciales para proteger las identidades. Defina políticas y controles para administrar los permisos requeridos por los usuarios y las aplicaciones. A medida que crece la huella de la nube, es imperativo contar con automatización para validar el proceso de proporcionar y administrar el acceso. AWS ofrece una serie de controles y servicios de políticas de IAM para definir medidas de seguridad de permisos.
- Protección de la infraestructura:Proteja los activos críticos en la nube, incluida la red, el cómputo y el almacenamiento mediante el empleo de prácticas líderes y controles efectivos basados en marcos como los puntos de referencia NIST y CIS. Defina los límites de confianza de la red, los controles de fortalecimiento del sistema y los puntos de aplicación de políticas apropiados para adoptar un enfoque holístico para proteger la infraestructura de la nube. Puede controlar el tráfico y la conectividad de la red mediante AWS Transit Gateway y los controles de VPC. También es importante implementar controles para inspeccionar y filtrar el tráfico en cada capa de la red. Para proteger los recursos informáticos, implemente procesos y controles para estandarizar los controles de refuerzo, realice la gestión de vulnerabilidades y automatice el proceso de detección de infracciones y aplicación de medidas correctivas.
- Protección de datos:comprenda los datos que se utilizan en el entorno y clasifíquelos en función de su sensibilidad. Aproveche las etiquetas o rótulos de los activos de datos para aplicar los controles de seguridad adecuados. Aplique el cifrado de datos en reposo y en tránsito. Implemente la gestión de claves y la gestión de certificados para controlar el acceso a los datos. AWS ofrece servicios administrados para almacenar y administrar claves y certificados con el control de acceso adecuado.
- Registro y monitoreo de seguridad:la visibilidad en el entorno de la nube es fundamental para detectar anomalías y responder a incidentes. Implemente controles y procesos para registrar y monitorear actividades en el entorno de la nube. Aproveche los servicios ofrecidos por su proveedor de la nube para registrar actividades a nivel de cuenta, cambios en las configuraciones de recursos, nivel de servicio y acciones a nivel de aplicación. CloudTrail, Config y CloudWatch se encuentran entre los servicios de AWS que admiten esto. AWS Security Hub es otro servicio que se puede utilizar como una ubicación centralizada para agregar y priorizar alertas de seguridad de varios servicios de AWS.
Un modelo centrado en la nube le permite adoptar e implementar herramientas a lo largo del tiempo, lo que significa que su organización puede ponerse en marcha con algunas herramientas clave de seguridad en la nube y expandirse a partir de ahí. Además, este enfoque promueve la idea de incorporar la seguridad desde el principio y luego construir sistemas y capacidades a su alrededor. De esta forma, la seguridad puede impulsar la transformación del negocio.
Paso 3: Perfeccione su modelo operativo para respaldar el nuevo ecosistema de nube
Las iniciativas comerciales tienen éxito a través de una combinación de personas, procesos y tecnología . La parte de las personas en esta ecuación es clave. La naturaleza amplia y compleja de la seguridad empresarial significa que los desarrolladores de software, los ingenieros de aplicaciones móviles, los diseñadores web, los custodios de bases de datos, los CMO y otros grupos comerciales deben desempeñar un papel para ayudar a los equipos de seguridad a diseñar y administrar procesos.
Atrás quedaron los días en que solo los especialistas en seguridad o TI dedicados manejaban tareas como la configuración de identidades, la autenticación y el cifrado a medida que surgían. La automatización elimina muchos procesos manuales que tomaban demasiado tiempo y eran propensos a errores. Ahora las tareas relacionadas con la seguridad se realizan de forma rápida, precisa y automática, lo que permite a los grupos poner en marcha nuevas iniciativas con un mínimo de resistencia.
Los servicios de AWS permiten implementar controles de seguridad fundamentales. Cuando una organización identifica los riesgos de seguridad clave y construye pruebas y controles de seguridad, se hace posible un enfoque de práctica líder. Los silos pueden desaparecer, las brechas de seguridad pueden cerrarse y puede surgir un marco altamente seguro.
Acelerar la innovación de forma segura
La nube presenta formas de mejorar fundamentalmente la seguridad y fortalecer la confianza, al tiempo que acelera la innovación y la transformación empresarial. Cuando establece una base estratégica basada en pruebas, visibilidad, automatización y alineación, puede pasar al ámbito de los controles de seguridad nativos de la nube o primero en la nube y equipar a su organización para navegar los desafíos comerciales y de ciberseguridad de hoy. Con visibilidad, monitoreo y control de extremo a extremo, la carga de la seguridad se alivia y su organización puede adoptar un marco empresarial de prácticas líderes.
Fuente: Forbes