A medida que las empresas migran cada vez más a la nube, los directores de seguridad de la información (CISO) enfrentan numerosos desafíos críticos para garantizar una seguridad sólida en la nube. ¿No me crees? Los expertos destacaron esto en la reciente Cumbre de Gestión de Riesgos y Seguridad de Gartner. Gartner proyecta un aumento significativo del 24% en el gasto en seguridad en la nube, posicionándolo como el segmento de más rápido crecimiento dentro del mercado global de seguridad y gestión de riesgos. Adaptar, ajustar, ejecutar La conclusión es que el cambio a la computación en la nube requiere repensar fundamentalmente la seguridad. Las organizaciones se esfuerzan por integrar la nube en las operaciones comerciales estándar; sin embargo, esta transición tiene más dificultades de las que la mayoría de los CISO comprenden. He visto esto en mi investigación y en mi experiencia como consultor durante 20 años, en la nube y antes. Los problemas que han estado presentes en los entornos de TI tradicionales persisten en la nube, como la gobernanza, la mala configuración, las cadenas y tuberías de suministro inseguras, la pérdida de datos. o exfiltración, y fallos en la gestión de secretos y claves. La nube presenta riesgos únicos, que incluyen visibilidad limitada, superficies de ataque dinámicas, proliferación de identidades y malentendidos en torno a la responsabilidad compartida, el cumplimiento, la regulación y la soberanía. Y esto es sólo la punta del iceberg. La mayoría de los CISO me dicen que aún tienen que entender exactamente qué debería cambiar. Muchos se sienten engañados por el proveedor de la nube con respecto al trabajo necesario para proteger sus implementaciones en la nube. He escrito muchos consejos en sentido contrario, pero nunca es una buena idea decirle «te lo dije» a alguien que está teniendo dificultades, por lo que debemos descubrir cómo hacerlo mejor. El modelo de responsabilidad compartidaMuchos CISO y equipos de seguridad necesitan aclaraciones sobre el modelo de responsabilidad compartida utilizado por los principales proveedores de nube pública como Amazon Web Services (AWS) y Microsoft Azure. Este modelo delinea las responsabilidades de seguridad del proveedor de la nube y del cliente y normalmente aparece en la primera diapositiva de cualquier presentación de seguridad en la nube desde 2008. Los desafíos a menudo surgen de suposiciones relacionadas con la tecnología y el alcance de las obligaciones de seguridad de los proveedores de la nube. El cumplimiento, la visibilidad de datos confidenciales, la continuidad del negocio y los acuerdos de nivel de servicio (SLA) confusos se convierten en problemas que los CISO no vieron venir. Como dijo un amigo mío CISO después de 12 años de ocuparse de la seguridad en la nube: «Nunca se trató de ‘responsabilidad compartida’, siempre fue toda mi responsabilidad, punto». Los CISO a menudo encuentran varios obstáculos clave en la gestión de la seguridad en la nube: Las líneas de negocios no han abordado adecuadamente las necesidades de seguridad. La nube es más compleja de lo que se pensaba inicialmente. Las iniciativas de estrategia, arquitectura o transformación de la nube a menudo avanzan sin la participación del CISO, de quien luego se espera que lo haga todo seguro. La falta de colaboración con los CIO para integrar la seguridad en la ingeniería de la plataforma y los desarrollos obstaculizan los procesos de desarrollo con procesos de seguridad obsoletos. Los viejos patrones de seguridad se aplican a las nuevas tecnologías. No hay sustituto para el trabajo duro (aburrido). Recomiendo varias estrategias para afrontar estos desafíos. Es fundamental utilizar herramientas automatizadas para gestionar la seguridad del entorno de la nube. La automatización es tu amiga. Además, establecer una gobernanza sólida de la seguridad en la nube puede ayudar a priorizar las alertas y proteger los bordes de los servicios. Correr en círculos por cada anomalía no escala, y el riesgo de ser «el niño que gritó el lobo» probablemente provocará una brecha. Consolidar los esfuerzos de seguridad y trabajar hacia la inmutabilidad también son mejores prácticas esenciales. Además, volver a capacitar y mejorar las habilidades de la fuerza laboral de seguridad es fundamental para adaptarse al panorama cambiante de la seguridad en la nube. La mayoría de las infracciones se deben a la falta de formación y no a la falta de tecnología. Los CISO entienden que pueden tener la mejor tecnología de seguridad en la nube disponible, pero no pueden arreglar cosas estúpidas. Las configuraciones incorrectas son la causa principal de las infracciones de la nube. Por supuesto, se deben abordar problemas específicos para sus necesidades específicas. Los CISO a menudo adoptan buenas ideas de analistas y empresas consultoras que no son adecuadas para ellos. La seguridad en la nube nunca es una solución única y debe ser sistémica para todos los sistemas, no instalada durante el último paso de la implementación. Las empresas a menudo se meten en problemas porque la seguridad está poco acoplada y, por lo tanto, es ineficaz. Desearía tener una fórmula mágica para darles a los CISO que buscan una mejor seguridad en la nube, pero se trata de hacer las cosas de manera inteligente y decidida para ganar el juego. La gente odia oír eso: significa más planificación e investigación aburridas. Pero no hay sustituto. Copyright © 2024 IDG Communications, Inc.