Tres preguntas para los CISO sobre la postura de seguridad en la nube

1. ¿Su apetito por el riesgo está alineado con su estrategia de nube?

Es muy probable que haya trabajado para entender el apetito de riesgo de su organización. Pero es importante considerar el apetito por el riesgo desde la perspectiva de la estrategia de la nube, ya que los modelos operativos de la nube introducen intrínsecamente nuevos riesgos de seguridad.

Son muchos los factores que pueden influir en el apetito de riesgo de una organización, como los siguientes:

• El panorama de regulación y cumplimiento de la industria;
• los conocimientos y experiencia de todos los empleados
• el número y ubicación de los empleados
• el estado de modernización del hardware y el software
• los objetivos de TI y de negocio;
• la madurez de los procesos y procedimientos de gobernanza
• los eventos previos de ciberamenazas; y
• la base de clientes única.

El apetito de riesgo es único para cada negocio. El CISO de una empresa de dispositivos médicos tiene un apetito de riesgo diferente al del CISO de un banco tradicional, etc.

Una vez que establezca un perfil de apetito de riesgo, evalúe si esa medida se alinea con los requisitos de gobernanza, riesgo y cumplimiento de su organización.

Las estrategias de nube y de ciberseguridad deben funcionar al unísono. Como mínimo, los equipos de seguridad de TI deben comprender los retos que plantean los distintos modelos de implantación de la nube. También deben estar educados en las mejores prácticas de seguridad en la nube, incluidas las plataformas de seguridad nativas de la nube que permiten la visibilidad de la gestión de activos.

Si las estrategias de ciberseguridad y de la nube no están en la misma página, es hora de revisar ambas.

2. ¿Está su modelo de ciberseguridad lo suficientemente maduro para la nube?

Esta pregunta puede ser difícil de responder dependiendo de las capacidades de seguridad de su organización y de las inversiones previas.

Integrar la nube en su programa de seguridad empresarial existente no consiste en añadir más controles o herramientas. Requiere una evaluación de sus recursos y necesidades empresariales para desarrollar un nuevo enfoque de su cultura y estrategia de seguridad en la nube.

Para gestionar un programa de seguridad híbrido o multinube cohesivo, hay que establecer visibilidad y control, y orquestar el despliegue de la carga de trabajo mediante una gestión eficaz de las amenazas.

Obtener visibilidad con las herramientas adecuadas es fundamental para todo equipo de seguridad. Sin embargo, determinar si un modelo de seguridad es lo suficientemente maduro para la nube no es algo que un CISO sepa por supervisar las operaciones de seguridad diarias. Más bien, la respuesta debe basarse en gran medida en los resultados de una evaluación de la gestión de la postura de seguridad.

Realice ejercicios de gestión de la postura de seguridad de forma continua. Dichas evaluaciones están diseñadas para proporcionar información procesable sobre los programas de operaciones de seguridad existentes de una organización y la preparación general para las violaciones a través de la supervisión y la auditoría constantes.

No todos los modelos de ciberseguridad fueron diseñados para soportar los modelos operativos de la nube de hoy en día. Una herramienta de gestión de la postura de seguridad puede automatizar la identificación y la corrección de los riesgos en los entornos de infraestructura en la nube, incluidos IaaS, PaaS y SaaS. Además, puede utilizar la gestión de la postura de seguridad en la nube para la visualización y evaluación de riesgos, la respuesta a incidentes, la supervisión del cumplimiento y la integración de DevOps. Estas evaluaciones también pueden aplicar uniformemente las mejores prácticas de seguridad en la nube a los entornos híbridos, multinube y de contenedores.

Al tomarse el tiempo para evaluar la madurez de su modelo de ciberseguridad en la nube, está más cerca de anticipar los movimientos que los equipos de TI y de seguridad pueden necesitar para proteger los datos del próximo avance tecnológico inesperado o del cambio en el comportamiento del consumidor. También está un paso más cerca de optimizar su estrategia de seguridad para alinearla con los requisitos empresariales relacionados con la nube.

3. ¿Ha cambiado su modelo de ciberseguridad hacia la izquierda?

Un cambio a la izquierda implica la incorporación de medidas de ciberseguridad y de las mejores prácticas de pruebas a lo largo del ciclo de vida de desarrollo de la aplicación. El objetivo es identificar y corregir las vulnerabilidades de seguridad en una fase más temprana del proceso. Este enfoque requiere invertir en una mentalidad y capacidades de DevSecOps. Cuando se aplica correctamente, puede acelerar el tiempo de comercialización, así como ahorrar tiempo y dinero.

Estas son las preguntas para evaluar la madurez de su DevSecOps:

• ¿Están sus entornos de nube configurados de forma óptima para reducir el riesgo mediante la automatización?
• ¿Ha adoptado marcos de infraestructura como código, seguridad como código o cumplimiento como código que incorporan el modelado de amenazas de seguridad en su diseño arquitectónico?

El desarrollo de aplicaciones ya ha experimentado este cambio a la izquierda gracias a la prevalencia de las mejores prácticas de desarrollo ágil y los avances en la tecnología de la nube. Por ejemplo, las pruebas automatizadas de integración continua/entrega continua, las plataformas de contenedores y los recursos de aprovisionamiento de la nube pública fácilmente consumibles son cada vez más frecuentes, al igual que las herramientas de detección y respuesta ampliadas y de orquestación, automatización y respuesta de la seguridad. Estas herramientas pueden gestionar las alertas rutinarias del centro de operaciones de seguridad, orquestar una respuesta adecuada y catalogar su infraestructura de tiquets de servicio para que los incidentes se contabilicen, todo ello sin intervención humana.

A medida que el desarrollo de aplicaciones y las operaciones de seguridad se automatizan más, este cambio hacia la izquierda seguirá ganando impulso. Asegúrese de que su modelo de ciberseguridad sigue el ritmo.

Sobre el autor

Kristopher Carr ha ejercido como CIO, CISO, director de riesgos globales y CTO. Es un investigador certificado de delitos de alta tecnología con más de 25 años de éxito demostrado. Ha demostrado su liderazgo ejecutivo dirigiendo e integrando las estrategias de ciberseguridad a los resultados del negocio, utilizando una sólida experiencia en el diseño y las operaciones de la infraestructura tecnológica de la empresa. Carr ha trabajado en múltiples organizaciones internacionales y ha sido responsable de la infraestructura de ciberseguridad de la empresa y de los programas de tecnología de fabricación, de la respuesta a incidentes y del desarrollo e integración de programas de gestión de riesgos, así como del cumplimiento local y federal en los siguientes sectores: Departamento de Defensa, servicios financieros, seguros y fabricación.