Gastar en lo básico, no solo en tecnología, es vital para la seguridad en la nube
Los CISO saben desde hace años que el dinero por sí solo no compra seguridad en entornos locales. La lección es la misma en la nube, según un nuevo informe.
Producido por IDC, el resumen del analista se basa en una encuesta sobre la adopción de la nube de 300 organizaciones medianas y grandes, sus capacidades de seguridad y su éxito en la entrega de sólidos resultados de seguridad.
Entre los hallazgos sorprendentes: los que más gastaron en tecnología de seguridad tuvieron más infracciones que el promedio. La tecnología por sí sola no mantenía seguras a las organizaciones del estudio. También debe incluir procesos, herramientas y personas.
Solo el 52 % de las organizaciones estudiadas pudieron protegerse de una brecha de seguridad, concluyó la encuesta.
También mostró que solo el 34 % implementó soluciones de gestión de la postura de seguridad en la nube, «dejando al resto expuesto a configuraciones incorrectas«, concluyó el estudio.
En muchos sentidos el estudio muestra que los departamentos de TI deben centrarse en los aspectos básicos de la ciberseguridad.
“Lo que las organizaciones no están haciendo lo suficiente es centrarse en saber qué tienen en la nube, cuáles son las configuraciones incorrectas, cuáles son los niveles de riesgo reales, para que puedan asignar recursos de manera más efectiva”.
Los resultados de la encuesta también mostraron que las organizaciones que se centraron en la detección, incluido el registro y el monitoreo de la actividad de la red de TI y la automatización de la respuesta, obtuvieron mejores resultados que otras.
El estudio agrupó a las organizaciones que respondieron en cuatro categorías:
– Tradicionalistas, que están atascados en habilidades, procesos y tecnología heredados, y tenían una adopción limitada de la nube;
— Pragmáticos, que tuvieron una adopción de la nube más lenta que el promedio pero que estaban comenzando a tomar las medidas de seguridad adecuadas. En general, les fue mejor que a otros en los resultados de seguridad;
— Estrategas, que adoptaron un enfoque mesurado de la nube y obtuvieron los mejores resultados de seguridad.
— Negacionistas, que migraron rápidamente a la nube pero confiaron principalmente en tecnologías de seguridad para la protección de datos. Sufrieron los peores resultados de seguridad de los cuatro grupos porque no se implementaron los procesos de seguridad adecuados.
Los departamentos de TI deben esforzarse por emular el enfoque de los estrategas, dice el informe.
Las organizaciones de este grupo encuentran el equilibrio adecuado entre la velocidad de adopción de la nube y el tiempo necesario para implementar procesos de seguridad”, dice el informe.
“Además, se enfocan en aumentar las habilidades de seguridad de los desarrolladores y el personal de TI y seguridad. No confían tanto en las soluciones tecnológicas como lo hacen los negacionistas menos seguros. Reconocen que mejorar la madurez de la seguridad implica una inversión continua de recursos y una gestión continua; es una estrategia, no un proyecto. Reconocen que mantener la seguridad lleva tiempo y, si se planifica adecuadamente, sin dificultades significativas”.
Estrategias de seguridad en la nube
–utilizar marcos de seguridad como los de Cloud Security Alliance, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., la ISO y el Centro para la Seguridad en Internet (CIS);
–centrarse en procesos de seguridad clave, como tener un inventario continuo de servicios en la nube, evaluación continua de las configuraciones de la nube, administración de derechos y detección de amenazas;
–utilizar herramientas y procesos de gestión de la postura de seguridad en la nube para detectar errores de configuración y desviaciones de un buen estado conocido;
–automatizar las tareas de seguridad cuando sea posible;
–y garantizar el control de la nube mediante el uso de agentes de seguridad de acceso a la nube y acceso a la red de confianza cero.
“Cosas como qué tan rápido respondes a un incidente, cuánta protección pusiste, qué tan rápido puedes recuperarte son importantes” en entornos de nube, dijo Senf, “pero si no tienes los elementos fundamentales de ‘qué es el inventario [de servicios en la nube]’, ‘puedo detectar cuándo sucede algo’, entonces, en relación con sus pares, no se desempeñará tan bien [como otras organizaciones] desde una perspectiva de seguridad«.
Fuente: ITWC