A medida que las empresas migran a la nube, los directores de seguridad de la información (CISO) enfrentan una serie de desafíos importantes para garantizar una seguridad sólida en la nube. ¿Puedes creerlo? Los expertos enfatizaron este punto en la reciente Cumbre de Gestión de Riesgos y Seguridad de Gartner. Gartner predice que el gasto en seguridad en la nube aumentará en un enorme 24%, posicionándolo como el segmento de más rápido crecimiento del mercado global de seguridad y gestión de riesgos.
Adaptar, ajustar y ejecutar
En última instancia, el paso a la computación en la nube requiere un replanteamiento fundamental de la seguridad. A medida que las organizaciones se esfuerzan por integrar la nube en las operaciones estándar, esta transición tiene más dificultades de las que la mayoría de los CISO creen. Lo sé por mi investigación y experiencia en la nube y por más de 20 años como consultor.
Los problemas que existen en los entornos de TI tradicionales permanecen en la nube, incluida la gobernanza, las configuraciones erróneas, las cadenas de suministro y los conductos inseguros, la pérdida o exfiltración de datos y las fallas en la gestión de claves y secretos. Las nubes presentan riesgos únicos, que incluyen visibilidad limitada, superficies de ataque dinámicas, proliferación de identidades, responsabilidad compartida y malentendidos sobre el cumplimiento, la regulación y la soberanía. Y esto es solo la punta del iceberg.
La mayoría de los CISO me dicen que todavía no saben exactamente qué es lo que hay que cambiar. Muchas personas se sienten engañadas por los proveedores de la nube sobre el trabajo necesario para proteger sus implementaciones en la nube. He escrito muchos consejos en sentido contrario, pero nunca es una buena idea decirle “Te lo dije” a alguien que está pasando apuros. Entonces necesitamos encontrar una mejor manera.
modelo de responsabilidad compartida
Muchos CISO y equipos de seguridad necesitan una comprensión clara del modelo de responsabilidad compartida utilizado por los principales proveedores de nube pública, como Amazon Web Services (AWS) y Microsoft Azure. Este modelo aclara las responsabilidades de seguridad de los proveedores y clientes de la nube y, por lo general, ha aparecido en la primera diapositiva de las presentaciones de seguridad en la nube desde 2008.
Los desafíos a menudo surgen de suposiciones tecnológicas y del alcance de las obligaciones de seguridad de los proveedores de la nube. El cumplimiento, la visibilidad de datos confidenciales, la continuidad del negocio y los acuerdos de nivel de servicio (SLA) confusos se convierten en problemas que los CISO nunca esperaron. Como dice uno de mis amigos CISO que ha trabajado en seguridad en la nube durante 12 años: “Esto nunca fue una ‘responsabilidad compartida’, siempre fue mi responsabilidad. “
Los CISO suelen encontrarse con varios obstáculos importantes a la hora de gestionar la seguridad en la nube, entre ellos:
Las líneas de negocio no abordan adecuadamente las necesidades de seguridad. La nube es más compleja de lo que inicialmente se pensaba. Las iniciativas de estrategia, arquitectura o transformación de la nube a menudo avanzan sin la participación del CISO, de quien se espera que todo sea seguro. Si no trabaja con su CIO para integrar la seguridad en la ingeniería de plataformas y DevOps, su proceso de desarrollo se verá bloqueado por procesos de seguridad obsoletos. Los viejos patrones de seguridad se aplican a la nueva tecnología.
No hay sustituto para el trabajo duro (aburrido)
Sugerimos algunas estrategias para superar estos desafíos. Aprovechar las herramientas de automatización es clave para gestionar la seguridad de su entorno de nube. La automatización es tu amiga. Además, establecer una gobernanza sólida de la seguridad en la nube ayuda a priorizar las alertas y proteger el borde del servicio. No escalarás si das vueltas en círculos por cada anomalía. Además, es más probable que el riesgo de convertirse en un “niño lobo” provoque una infracción.
La integración de medidas de seguridad y el objetivo de la inmutabilidad también son mejores prácticas importantes. Además, volver a capacitar y mejorar al personal de seguridad es esencial para adaptarse al panorama cambiante de la seguridad en la nube. La mayoría de las infracciones se deben a la falta de formación, no a la falta de habilidad. Los CISO saben que pueden aprovechar la mejor tecnología de seguridad en la nube disponible, pero no pueden arreglar cosas estúpidas. Las configuraciones incorrectas son la causa principal de las infracciones de la nube.
Por supuesto, sus problemas específicos deberán abordarse para satisfacer sus necesidades específicas. Los CISO a menudo adoptan grandes ideas de analistas y empresas consultoras que no les convienen. La seguridad en la nube no es una solución única para todos. Debe ser sistemático en todos los sistemas y no es algo que se instale como último paso de la implementación. Las empresas a menudo se topan con problemas porque la seguridad no está bien acoplada y es ineficaz.
Para los CISO que buscan una mejor seguridad en la nube, me gustaría compartir una fórmula mágica: sea inteligente y decidido a ganar. La gente no quiere oír eso. Eso significa una planificación e investigación más tediosas. Pero no hay sustituto para ello.
Fuente: https://www.infoworld.com/article/3715335/a-ciso-game-plan-for-cloud-security.amp.html
