Getty Images/iStockphoto
Tres preguntas para los CISO sobre la postura de seguridad en la nube
A medida que la adopción de la nube continúa acelerándose, los CISO deben ayudar a los equipos de TI y de ciberseguridad a seguir el ritmo de la evolución de los mercados de nube, especialmente en lo que respecta a la postura de seguridad en la nube.
Los días en que se debatía sobre la computación en la nube han terminado. La mayoría de las organizaciones están en la nube, habiendo migrado aplicaciones, datos y servicios en respuesta a los avances tecnológicos y a las recientes transformaciones empresariales.
A medida que la evolución de las expectativas de los consumidores y de la tecnología sigue influyendo en la forma en que las organizaciones recopilan, almacenan y comparten datos valiosos, la tarea de proteger esos datos de las amenazas existentes y de las amenazas persistentes avanzadas se vuelve aún más compleja.
Los CISO deben estar preparados para ayudar a los equipos de TI y de seguridad en el siempre cambiante mundo de la seguridad en la nube. Para ayudar, aquí hay tres preguntas que todo CISO debe ser capaz de responder con respecto a su postura de seguridad en la nube.
1. ¿Su apetito por el riesgo está alineado con su estrategia de nube?
Es muy probable que haya trabajado para entender el apetito de riesgo de su organización. Pero es importante considerar el apetito por el riesgo desde la perspectiva de la estrategia de la nube, ya que los modelos operativos de la nube introducen intrínsecamente nuevos riesgos de seguridad.
Son muchos los factores que pueden influir en el apetito de riesgo de una organización, como los siguientes:
- El panorama de regulación y cumplimiento de la industria;
- los conocimientos y experiencia de todos los empleados
- el número y ubicación de los empleados
- el estado de modernización del hardware y el software
- los objetivos de TI y de negocio;
- la madurez de los procesos y procedimientos de gobernanza
- los eventos previos de ciberamenazas; y
- la base de clientes única.
El apetito de riesgo es único para cada negocio. El CISO de una empresa de dispositivos médicos tiene un apetito de riesgo diferente al del CISO de un banco tradicional, etc.
Una vez que establezca un perfil de apetito de riesgo, evalúe si esa medida se alinea con los requisitos de gobernanza, riesgo y cumplimiento de su organización.
Las estrategias de nube y de ciberseguridad deben funcionar al unísono. Como mínimo, los equipos de seguridad de TI deben comprender los retos que plantean los distintos modelos de implantación de la nube. También deben estar educados en las mejores prácticas de seguridad en la nube, incluidas las plataformas de seguridad nativas de la nube que permiten la visibilidad de la gestión de activos.
Si las estrategias de ciberseguridad y de la nube no están en la misma página, es hora de revisar ambas.
2. ¿Está su modelo de ciberseguridad lo suficientemente maduro para la nube?
Esta pregunta puede ser difícil de responder dependiendo de las capacidades de seguridad de su organización y de las inversiones previas.
Integrar la nube en su programa de seguridad empresarial existente no consiste en añadir más controles o herramientas. Requiere una evaluación de sus recursos y necesidades empresariales para desarrollar un nuevo enfoque de su cultura y estrategia de seguridad en la nube.
Para gestionar un programa de seguridad híbrido o multinube cohesivo, hay que establecer visibilidad y control, y orquestar el despliegue de la carga de trabajo mediante una gestión eficaz de las amenazas.
Obtener visibilidad con las herramientas adecuadas es fundamental para todo equipo de seguridad. Sin embargo, determinar si un modelo de seguridad es lo suficientemente maduro para la nube no es algo que un CISO sepa por supervisar las operaciones de seguridad diarias. Más bien, la respuesta debe basarse en gran medida en los resultados de una evaluación de la gestión de la postura de seguridad.
Realice ejercicios de gestión de la postura de seguridad de forma continua. Dichas evaluaciones están diseñadas para proporcionar información procesable sobre los programas de operaciones de seguridad existentes de una organización y la preparación general para las violaciones a través de la supervisión y la auditoría constantes.
No todos los modelos de ciberseguridad fueron diseñados para soportar los modelos operativos de la nube de hoy en día. Una herramienta de gestión de la postura de seguridad puede automatizar la identificación y la corrección de los riesgos en los entornos de infraestructura en la nube, incluidos IaaS, PaaS y SaaS. Además, puede utilizar la gestión de la postura de seguridad en la nube para la visualización y evaluación de riesgos, la respuesta a incidentes, la supervisión del cumplimiento y la integración de DevOps. Estas evaluaciones también pueden aplicar uniformemente las mejores prácticas de seguridad en la nube a los entornos híbridos, multinube y de contenedores.
Al tomarse el tiempo para evaluar la madurez de su modelo de ciberseguridad en la nube, está más cerca de anticipar los movimientos que los equipos de TI y de seguridad pueden necesitar para proteger los datos del próximo avance tecnológico inesperado o del cambio en el comportamiento del consumidor. También está un paso más cerca de optimizar su estrategia de seguridad para alinearla con los requisitos empresariales relacionados con la nube.
3. ¿Ha cambiado su modelo de ciberseguridad hacia la izquierda?
Un cambio a la izquierda implica la incorporación de medidas de ciberseguridad y de las mejores prácticas de pruebas a lo largo del ciclo de vida de desarrollo de la aplicación. El objetivo es identificar y corregir las vulnerabilidades de seguridad en una fase más temprana del proceso. Este enfoque requiere invertir en una mentalidad y capacidades de DevSecOps. Cuando se aplica correctamente, puede acelerar el tiempo de comercialización, así como ahorrar tiempo y dinero.
Estas son las preguntas para evaluar la madurez de su DevSecOps:
- ¿Están sus entornos de nube configurados de forma óptima para reducir el riesgo mediante la automatización?
- ¿Ha adoptado marcos de infraestructura como código, seguridad como código o cumplimiento como código que incorporan el modelado de amenazas de seguridad en su diseño arquitectónico?
El desarrollo de aplicaciones ya ha experimentado este cambio a la izquierda gracias a la prevalencia de las mejores prácticas de desarrollo ágil y los avances en la tecnología de la nube. Por ejemplo, las pruebas automatizadas de integración continua/entrega continua, las plataformas de contenedores y los recursos de aprovisionamiento de la nube pública fácilmente consumibles son cada vez más frecuentes, al igual que las herramientas de detección y respuesta ampliadas y de orquestación, automatización y respuesta de la seguridad. Estas herramientas pueden gestionar las alertas rutinarias del centro de operaciones de seguridad, orquestar una respuesta adecuada y catalogar su infraestructura de tiquets de servicio para que los incidentes se contabilicen, todo ello sin intervención humana.
A medida que el desarrollo de aplicaciones y las operaciones de seguridad se automatizan más, este cambio hacia la izquierda seguirá ganando impulso. Asegúrese de que su modelo de ciberseguridad sigue el ritmo.
Sobre el autor
Kristopher Carr ha ejercido como CIO, CISO, director de riesgos globales y CTO. Es un investigador certificado de delitos de alta tecnología con más de 25 años de éxito demostrado. Ha demostrado su liderazgo ejecutivo dirigiendo e integrando las estrategias de ciberseguridad a los resultados del negocio, utilizando una sólida experiencia en el diseño y las operaciones de la infraestructura tecnológica de la empresa. Carr ha trabajado en múltiples organizaciones internacionales y ha sido responsable de la infraestructura de ciberseguridad de la empresa y de los programas de tecnología de fabricación, de la respuesta a incidentes y del desarrollo e integración de programas de gestión de riesgos, así como del cumplimiento local y federal en los siguientes sectores: Departamento de Defensa, servicios financieros, seguros y fabricación.