Por Michael Massimi | Global Business Leader, Cloud Security Services, IBM
Las organizaciones que emprenden su viaje hacia la nube enfrentan una avalancha de palabras a veces confusas. Está la nube híbrida, multicloud, transformación digital, microservicios y muchas más. Aunque estos términos pueden ser confusos, el elemento clave para tener en cuenta es que la seguridad de los datos en la nube debe ser una parte inherente de la estrategia y la discusión a nivel de negocio para cualquier migración de nube exitosa.
La importancia de abordar las principales necesidades de seguridad y cumplimiento pesa en gran medida en muchas organizaciones. Es una preocupación muy válida, ya que se estima que 990 millones de servidores en la nube están mal configurados.
Además de las configuraciones erróneas en la nube, algunas de las preocupaciones de nube híbrida y multicloud más importantes incluyen:
• Establecimiento de una estrategia de seguridad preparada para la nube
• Falta de experiencia junto con los crecientes requisitos de calificación
• Necesidad de abordar los requisitos de cumplimiento
• Visibilidad centralizada y gestión de amenazas
• Una sobrecarga de nuevas herramientas y tecnologías
• Mantener las políticas de seguridad en el panorama privado/público
Con tantas cuestiones a considerar al mismo tiempo puede ser difícil abordarlas eficientemente. Para ahorrar tiempo y aumentar la productividad, se debe comenzar con estos cinco conceptos básicos que mejorarán los resultados de cualquier programa de seguridad en la nube.
Gobernanza y estrategia en la nube
En el corazón de cada programa de seguridad en la nube exitoso, hay una estrategia bien definida que incluye los siguientes criterios:
• Establece una línea base de seguridad para los entornos de nube
• Entiende dónde están los datos críticos, cuáles son y quién tiene acceso a ellos
• Define la seguridad, cumplimiento, industria o requisitos normativos
• Racionaliza sobre el conjunto correcto de controles para cumplir con estos requisitos
• Construye un estado objetivo y una hoja de ruta desde la cual ejecutar
Seguridad Nativa en la Nube
En algún momento se puede considerar si los controles de seguridad nativos del Proveedor de Servicios de Nube (CSP) son lo suficientemente viables o adecuados para gestionar la seguridad de un entorno. Los CSPs tienen conjuntos variables de controles de seguridad en sus plataformas de nube. Ellos pueden proporcionar muchas ventajas, incluyendo un límite en el número de licencias de terceros que están siendo gestionadas, consumo flexible, facilidad de integración y más.
Sin embargo, un enfoque de seguridad nativo de la nube plantea algunas preguntas a responderse:
• ¿Los controles nativos tienen el nivel adecuado de madurez o proporcionan el nivel adecuado de visibilidad para cumplir con los requisitos de cumplimiento?
• ¿Qué controles nativos de la nube hacen más sentido para su nube híbrida y entorno multicloud?
• ¿Cuenta con las habilidades adecuadas para gestionar un nuevo conjunto de tecnologías de seguridad que crece rápidamente?
• ¿Cómo se diseñan, implementan y configuran correctamente estos controles y se integran en el resto de las operaciones de seguridad?
• ¿Qué se hace con todos estos nuevos datos de seguridad en la nube y telemetría, y qué decisiones o acciones se pueden tomar con ellos?
Una vez que se deciden cuáles controles de seguridad nativos adecuados para la organización, la gestión eficaz de esos controles y políticas requiere primero asegurarse que se dispone de la arquitectura y las políticas adecuadas para dar soporte a los requisitos de negocio y normativos. Y también, debe tenerse una capa sólida de gobernanza que permita convertir la telemetría nativa en la nube y las alertas en toma de decisiones priorizadas y accionables.
Postura para gestionar la seguridad en la nube (Cloud Security Posture Management)
Tener la configuración correcta y un cumplimiento continuo de los entornos en la nube es vital para un programa de ciberseguridad en la nube, pero esto puede ser complejo de supervisar. Es posible que varios equipos o líneas de negocio se encuentren utilizando los servicios de nube al mismo tiempo que se debe cumplir con los estándares globales de organizaciones como el Centro de Seguridad de Internet (CIS). La situación se vuelve más complicada con la incapacidad de obtener el contexto de la nube y una correlación suficientemente rápida como para ayudar a detectar y responder a problemas de seguridad en la nube.
Debe considerarse el uso de una postura para gestionar la seguridad en la nube con el fin de abordar estas complicaciones y lograr los siguientes objetivos:
• Monitorear constantemente un inventario de activos en la nube en tiempo real para cumplimiento, informes normativos y fines de auditoría.
• Prevenir las filtraciones por una ágil detección y respuesta a malas configuraciones de la nube.
• Fortalecer continuamente la postura de seguridad y cumplimiento
• Incorporar información de seguridad y automatización para detectar anomalías en la nube