Cómo crear y gestionar la seguridad de múltiples nubes en una empresa global
En estos días, la mayoría de las grandes organizaciones han adoptado un estado híbrido de múltiples nubes para alojar sus cargas de trabajo informáticas y almacenar datos . El uso de múltiples proveedores de servicios en la nube (CSP) puede aumentar la tolerancia a fallas, brindar optimizaciones de rendimiento y capacitar a los equipos de desarrollo para elegir las arquitecturas «mejores de su clase». Por todas estas razones y más, el 90 % de las organizaciones informan que la nube múltiple les está ayudando a alcanzar sus objetivos comerciales.
Simultáneamente, los servicios basados en la nube a menudo deben abarcar múltiples geografías, cada una con sus propias complejidades sobre cómo las empresas deben almacenar datos para cumplir con las regulaciones de privacidad. Hacerlo requiere un enfoque de confianza cero para los activos internos, incluso para los miembros del equipo que solicitan acceso.
Identificación del riesgo
En la última década, muchas organizaciones pasaron de las salas de servidores físicos a la computación en la nube. Pero lo que comenzó con la adopción de un solo CSP eventualmente llevó a usar múltiples nubes, ya sea de AWS , Azure , Google Cloud , Oracle , IBM Cloud u otras. Según el Informe de tendencias globales de la nube híbrida de 2022 , el 82 % de las organizaciones ya han adoptado una nube híbrida. Además de los CSP, las organizaciones también han llegado a confiar en varias API basadas en la web para evitar reinventar la rueda de las funciones comunes.
La tendencia de múltiples nubes tiene algunas implicaciones importantes para la ciberseguridad. Por un lado, la complejidad de múltiples nubes aumenta su área de superficie de ataque total. Hay más secretos que exponer y más entornos que podrían estar mal configurados. Además, en múltiples nubes, ya no puede tener una fuente de verdad para las políticas de seguridad y debe navegar por las inconsistencias con respecto a cómo cada nube maneja la administración de acceso e identidad. Otras amenazas nativas de la nube incluyen valores predeterminados inseguros, terminales con fugas e interrupción de la cadena de suministro de software .
Simultáneamente, las organizaciones deben administrar el cumplimiento en medio de muchos estándares complejos de privacidad de datos geoespecíficos . Las corporaciones estadounidenses que realizan negocios internacionales deben cumplir con el Reglamento General de Protección de Datos ( RGPD ) de la UE , así como seguir las complejidades de las políticas estatales emergentes dentro de California (CCPA), Virginia (VCDPA), Colorado (CPA), Utah (UCPA) , y en otros lugares. También hay regulaciones de datos específicas de la industria a considerar, como los estándares de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) para la atención médica y los decretos de datos bancarios abiertos para las finanzas.
El seguimiento de los datos de los clientes en distintas geografías no es solo un problema de seguridad cibernética: muchos equipos también se han distribuido globalmente, colaborando de forma asíncrona en varios países y zonas horarias. Además, las organizaciones ahora integran una combinación de empleados de tiempo completo, contratistas y socios en los mismos flujos de valor. Estas nuevas relaciones de trabajo son una bendición para la colaboración, pero introducen preocupaciones de gestión de riesgos , lo que destaca la necesidad de una ciberseguridad reforzada para las redes internas.
Establecimiento de políticas y procedimientos estándar
Entonces, ¿cómo pueden los líderes empresariales responder a las nuevas preocupaciones de ciberseguridad de múltiples nubes y múltiples ubicaciones geográficas?
Bueno, primero, es crucial que audite su área de superficie para obtener una mejor imagen de los entornos en los que opera su empresa. A continuación, querrá catalogar los diversos estándares de privacidad de datos con los que la empresa entra en contacto en todas las geografías. Solo al comprender su postura puede desarrollar un plan integral de gestión de riesgos y comenzar a implementar políticas y procedimientos estándar.
Entonces, es una buena idea establecer políticas de seguridad comunes y centralizarlas con la ayuda de una capa de administración de políticas desacoplada. Ciertas herramientas de código abierto como Open Policy Agent y Kyverno pueden implementar políticas estándar en varias infraestructuras nativas de la nube. (Como regla general, al desarrollar políticas de autenticación y autorización de usuarios, es una buena idea seguir el principio de privilegio mínimo que asigna acceso a roles solo según sea necesario. Esto ayudará a garantizar que el acceso no sea sobreasignado a los diversos roles que interactúan con la arquitectura basada en la nube y los datos del cliente).
Algunos CSP brindan soporte para ayudar a administrar los datos de clientes y empleados en varias geografías. Por ejemplo, los usuarios de Microsoft 365 pueden aprovechar los entornos Multi-Geo en los que Microsoft 365 Tenant se distribuye en una ubicación centralizada, así como en oficinas satélite. Esto consolida ubicaciones, grupos e información de usuarios en una estructura de directorio central de Azure y los sincroniza con sitios distribuidos.
Algunos otros consejos incluyen:
- Utilizar el cifrado para proteger los datos en reposo y en tránsito
- Establecimiento de políticas de acceso y almacenamiento de datos
- Establecimiento de políticas de seguridad de la red.
- Despliegue de cortafuegos y otras medidas de seguridad
- Evolución del modelo de gobernanza tradicional
Monitoreo y Mantenimiento
A continuación, las empresas querrán asegurarse de que siempre cumplan con los requisitos de cumplimiento de las políticas y procedimientos de seguridad. Esto requerirá evaluaciones y auditorías periódicas de seguridad. También es una buena idea programar actualizaciones y parches regulares para evitar vulnerabilidades de código dentro del software de código abierto . Por ejemplo, el uso de herramientas para automatizar la detección de vulnerabilidades de día cero puede ayudar a garantizar que las aplicaciones sean más seguras en todas las nubes.
Además de las evaluaciones de seguridad regulares, las empresas deben implementar un sistema de monitoreo integral para rastrear el acceso y el uso de datos. Este sistema puede ayudar a monitorear el rendimiento del sistema en busca de debilidades e investigar amenazas de seguridad para tomar las medidas necesarias cuando se descubre un uso indebido. Además del monitoreo regular, es importante que los proveedores de software cumplan con las normas de seguridad; por lo tanto, considere solicitar una Lista de materiales de software (SBOM) a los nuevos proveedores. Esto ayudará a los esfuerzos de auditoría y garantizará que se conozca la procedencia de las dependencias del software.
Volviéndose global con múltiples nubes
Como ha dicho Satya Nadella, CEO de Microsoft, “todas las empresas son empresas de software”. Y a medida que se convierten en empresas de software, producen software y datos con un valor que trasciende las fronteras geográficas. Pero a medida que las empresas buscan hacer negocios en múltiples nubes y en numerosos países y estados, deben enfrentar la realidad de las crecientes regulaciones de datos y las amenazas nativas de la nube .
Para realizar negocios de manera segura en nubes y territorios distribuidos, los líderes de tecnología de la información deben tomar medidas para lidiar con la cantidad cada vez más diversa de implementaciones y bases de datos que se utilizan en la actualidad. Solo al permitir una autenticación y autorización sólidas, y evaluar continuamente el riesgo, pueden comenzar a administrar el panorama de amenazas compuesto. Además de las políticas descritas anteriormente, es bueno mantenerse actualizado sobre las tendencias de seguridad y las mejores prácticas y capacitar al personal sobre sus protocolos de seguridad estándar.
Fuente: Acceleration Economy