Reducir el riesgo con un modelo de madurez de seguridad en la nube
Un modelo de madurez de seguridad en la nube puede ayudar a controlar la complejidad en nuestro entorno de rápida evolución.
La explosión de la computación en la nube ha ido acompañada de un aumento de los problemas de seguridad en la mayoría de las empresas, muchas de las cuales aún tienen dificultades para integrar una o más plataformas en la nube en sus entornos de forma segura. Con el aumento de las superficies de ataque, las organizaciones necesitan una mejor protección.
Según las principales tendencias de seguridad y gestión de riesgos, la nube ha contribuido a una expansión de la superficie de ataque empresarial.
Aunque la expansión de la computación en la nube se modera, todavía se espera que crezca alrededor de un 15% hasta 2025. A medida que más empresas buscan la flexibilidad y eficiencia que ofrece, la seguridad de estos entornos se vuelve cada vez más difícil debido a que hay más elementos en movimiento en forma de arquitecturas de software complejas, entornos de nube híbrida y multicloud, y lagunas de conocimientos de talento en materia de seguridad en la nube.
Un modelo de madurez de seguridad en la nube puede ayudar a controlar la complejidad en un entorno en constante cambio. Las mejores prácticas de seguridad en la nube y los estándares de cumplimiento brindan barreras adecuadas, pero, irónicamente, también pueden funcionar con propósitos contrapuestos. Si bien los estándares de cumplimiento son amplios y necesitan un contexto para enfocar su aplicación, las mejores prácticas pueden ser muy específicas y cubrir solo ciertas actividades, dejando brechas en la red de seguridad más amplia.
Por ejemplo, si bien los estándares como los puntos de referencia del Centro para la Seguridad de Internet (CIS) son un buen recurso y muchas empresas buscan alinearse con ellos, no proporcionan una hoja de ruta de implementación para su uso en infraestructuras de nube. Aquí es donde un modelo de madurez de seguridad en la nube, como el desarrollado por los investigadores de mi empresa Ermetic, puede ayudar a las organizaciones a evaluar su nivel actual de preparación en cada dominio de seguridad en la nube y establecer objetivos prácticos y estratégicos para avanzar al siguiente nivel.
Los procesos que implican una transformación fluida en la nube y cuando se trata de aprovechar las tecnologías de la nube requieren tiempo y un enfoque holístico centrado en el futuro. La maduración de toda una organización y su infraestructura no se puede hacer de una sola vez, por lo que un modelo de madurez de seguridad en la nube clasifica a las organizaciones en cuatro niveles de madurez que permiten a los equipos de seguridad evaluar las capacidades que poseen y las que necesitan para avanzar al siguiente nivel:
- Ad Hoc: cuando la seguridad en la nube se realiza como una ocurrencia de último momento mientras se apagan incendios, pero no de manera organizada.
- Oportunista: la organización comienza a abordar la seguridad en la nube con algún tipo de estrategia, que también se incorpora a la hoja de ruta.
- Repetible: la empresa puede ejecutar su estrategia de seguridad en la nube cuando sea necesario, como al agregar nuevos recursos, integrar una adquisición o realizar algún otro cambio comercial.
- Automatizado e integrado: al alcanzar la madurez, los componentes de la estrategia de seguridad en la nube se aplican automáticamente a la infraestructura.
Avanzar al siguiente nivel implica mucho trabajo, pero un modelo de madurez de seguridad en la nube ofrece una manera de explicar con detalle los requisitos para avanzar de nivel, de modo que sean fáciles de explicar a todas las partes interesadas y ayuden a motivar a toda la organización a seguir adelante. Este enfoque neutral respecto de los proveedores establece objetivos claros y los recursos necesarios para implementarlos. Ser independiente de los proveedores ayudó a las organizaciones a centrarse mejor en sus propios planes de crecimiento: establecer la agenda y luego encontrar el proveedor adecuado en lugar de buscar las soluciones disponibles y luego adaptar sus objetivos de acuerdo con esas ofertas.
A nivel organizacional, un modelo de madurez de seguridad en la nube aborda los siguientes parámetros:
- Funciones y responsabilidades: Asignar una persona o un equipo dedicado con la formación y la experiencia pertinentes para gestionar la seguridad de la nube.
- Capacitación : Hacer que el equipo de seguridad en la nube y el de I+D reciban capacitación y certificación formales en seguridad en la nube.
- Proceso de remediación : automatización del proceso de descubrimiento de riesgos y reparación de brechas de seguridad, incluidas las configuraciones incorrectas en el entorno de la nube, y asignación de los hallazgos a los responsables de remediar los problemas.
- Integración con el flujo de trabajo de CI/CD: incorporación de la seguridad de la infraestructura de la nube en el flujo de trabajo de CI/CD
- Cumplimiento : Implementar las mejores prácticas y estándares de seguridad en la nube y realizar auditorías periódicas para garantizar el cumplimiento de los requisitos.
- Gobernanza de acceso : realizar revisiones de acceso basadas en riesgos para todos los recursos e identidades para evaluar y garantizar que solo se otorgue a las identidades acceso relevante para el negocio.
- Respuesta a incidentes: automatizar un manual basado en experiencias previas que luego pueda permitir tomar mejores decisiones.
Directrices de implementación
Un modelo de madurez de seguridad en la nube no es un manual de instrucciones paso a paso con tutoriales y tareas ni pretende prescribir un conjunto de tecnologías o proveedores. Más bien, tiene como objetivo ayudar al personal de seguridad y a otros responsables de la toma de decisiones a saber qué preguntas hacer, cuándo y a quién. Esto es esencial, especialmente en nuestro panorama actual, donde realmente no existe una única ruta para el éxito de la seguridad en la nube. Las estrategias de implementación pueden ayudar a las organizaciones a centrarse en los elementos clave de su modelo de madurez de seguridad en la nube. Dicho esto, cada organización tiene necesidades de nube muy específicas y desafíos de seguridad únicos que debe cumplir.
Siga este proceso de varios pasos de nivel superior para implementar un modelo de madurez de seguridad en la nube:
- Calificación: El éxito depende en gran medida de cómo se aplique cada etapa antes de pasar a la siguiente, por lo que una evaluación inicial es crucial.
- Establecer hitos: es fundamental elegir los indicadores que se deben cumplir antes de seguir adelante. Los equipos pueden desarrollar estos criterios fortaleciendo el estatus en el nivel actual con requisitos más exigentes o cumpliendo con los del siguiente nivel.
- Ejecutar: En esta etapa, las partes interesadas se unen y acuerdan los cronogramas para implementar los objetivos.
- Repetición: como se dijo anteriormente, este no es un proceso que se realiza una sola vez, sino un esfuerzo continuo. Una vez que se ejecuta la hoja de ruta, la organización debe volver atrás y calificar los resultados de la etapa de ejecución.
Lo ideal es que las organizaciones realicen este proceso una vez al trimestre. Si no se lleva a cabo con regularidad, las empresas pierden uno de los beneficios clave del modelo: hacer madurar a la organización y mantenerla en movimiento y mejorando. El seguimiento continuo del progreso y el análisis de los resultados de seguridad son fundamentales para planificar los próximos pasos a medida que el alcance de las soluciones en la nube continúa expandiéndose. A medida que la nube continúa madurando y creciendo, también lo hace nuestra dependencia de ella. Ahora es el momento de abordar los desafíos de seguridad que ya están presentes, así como los que amenazan el futuro del crecimiento de la nube.
Un modelo de madurez de seguridad en la nube no es una solución milagrosa, ya que el trabajo nunca termina. En cambio, ofrece una hoja de ruta eficiente que debe reevaluarse periódicamente, ya que las necesidades de una organización pueden cambiar con el tiempo. Es importante recordar que alcanzar la madurez de seguridad en la nube lleva tiempo y es un objetivo cambiante.
Fuente: SpiceWorks