Secretos de seguridad en la nube que su proveedor de nube no quiere que sepa
La seguridad en la nube parece algo específico de un proveedor de nube, pero los enfoques y tecnologías emergentes están cambiando el juego.
La primera pregunta que hacen la mayoría de los arquitectos de seguridad en la nube cuando se les asigna la tarea de diseñar una solución de seguridad en la nube es: ¿Qué nube está usando? Luego, normalmente seleccionan un conjunto de tecnologías, como IAM (administración de identidad y acceso) y encriptación, que son nativas de esa marca de nube específica.
Este puede haber sido un enfoque sensato hace solo unos años, pero hoy vivimos en un mundo de múltiples nubes donde la ciberseguridad debe eliminar la complejidad y el riesgo. Aquí hay tres secretos de seguridad en la nube que los proveedores de la nube pública no le dirán:
* Las soluciones de seguridad nativas de la nube que ofrecen los grandes proveedores no son útiles si tiene una solución multinube heterogénea.
La tecnología de seguridad puede funcionar muy bien para el producto de un proveedor de nube específico, pero no hay soporte o soporte limitado para otras nubes públicas, y la mayoría de nosotros usamos multinube.
Tienes dos opciones. Si aprovecha cualquier sistema nativo de cada nube pública, tendrá que administrar dos o más sistemas de seguridad. O puede encontrar una solución de seguridad común, como un administrador de seguridad, que pueda manejar los diferentes problemas de seguridad para cada proveedor de la nube y abstraerlo de la complejidad, que probablemente sea un riesgo en sí mismo. Esta última es la opción que elijo y es la que funciona mejor para la mayoría de las empresas.
* La seguridad puede obstaculizar el rendimiento y costar mucho más dinero cada mes si no se integra correctamente en las aplicaciones y los almacenes de datos.
Los proveedores de la nube se benefician de la venta de servicios de computación y almacenamiento, y si sus soluciones de ciberseguridad consumen más ciclos de CPU de los que deberían, entonces es hora de rediseñar esas soluciones y cómo las usan las aplicaciones.
He visto esfuerzos de ajuste de aplicaciones y ciberseguridad que reducen los costos mensuales en un 80 por ciento y, al mismo tiempo, aumentan el rendimiento de esas aplicaciones cuatro veces.
* La formación cuenta más que la tecnología.
He investigado muchas infracciones durante los últimos años. Para muchos, no es la falta de herramientas y tecnología de seguridad, es la falta de comprensión de cómo usarlas correctamente.
El dinero gastado en capacitación en realidad reduce el riesgo por un factor de 1000. Por cada dólar que gasta en capacitación, elimina $1000 de riesgo (costo de riesgo) para la implementación. Además, no se trata de la capacitación en seguridad nativa de la nube que ofrecen los proveedores de la nube, sino de arquitecturas y soluciones de ciberseguridad comunes que abarcan todas las nubes públicas y los sistemas locales.
El tema es pensar de forma independiente y cuestionar por qué las cosas se hacen actualmente de esta manera. La seguridad en la nube solo mejorará en una cultura que desafía el statu quo.
Fuente: Infoworld
