Este es un nivel asombroso de nuevo riesgo para que los CISO se enteren. Al mismo tiempo que el uso de la nube ha crecido, también lo han hecho los esfuerzos de los actores malintencionados para apuntar a las aplicaciones de la nube que, con demasiada frecuencia, están mal aseguradas y presentan una oportunidad constante de que los datos no seguros se vean comprometidos.

El desafío puede parecer insuperable, ya que los empleados traen aplicaciones en la nube a la organización a través de la TI en la sombra más rápido de lo que podemos bloquearlas una por una, pero no tiene por qué ser así. Aquí hay cinco consejos para los CISO que buscan manejar la seguridad en la nube:

1) Asóciese dentro de la empresa para crear seguridad desde el diseño

Con la nube proliferando en la organización, los equipos de seguridad deben asociarse estrechamente con TI y garantizar que la seguridad nunca sea una consideración de último momento. Muchas organizaciones ya están reestructurando y combinando equipos, en los que TI y seguridad se sientan juntas con KPI compartidos.

Para que la seguridad se integre ‘por diseño’, por definición, no se puede atornillar, y esta es una de las razones por las que la seguridad en la nube requiere una plataforma nativa de la nube. La mayoría de las organizaciones se dan cuenta de las limitaciones de sus arquitecturas basadas en dispositivos en el momento en que intentan proteger los datos, las aplicaciones y los usuarios que se encuentran fuera de su perímetro. La seguridad por diseño adopta un enfoque arquitectónico centrado en los datos, reconociendo que ya no existe un perímetro donde los usuarios, los dispositivos y los datos puedan residir de forma segura. En cambio, los usuarios, los dispositivos y los datos ahora están dispersos y se mueven libremente, dentro y fuera de las aplicaciones y servicios en la nube que requiera la empresa, y estas aplicaciones y servicios necesitan seguridad que exista donde sea que estén.

Este enfoque a menudo se denomina estrategia de borde de servicio de acceso seguro (SASE); colocando la seguridad en la nube, convirtiéndola en parte integral de la arquitectura de TI y ejecutando controles en línea. Al adoptar este enfoque arquitectónico de la seguridad, no es necesario crear y personalizar nuevos controles de seguridad aplicación en la nube por aplicación en la nube.

2) Comprenda sus flujos de datos

Cuando reconoce que sus datos ya no son estáticos, sino que se mueven constantemente por servicios en la nube de terceros, se vuelve muy evidente que un CISO necesita una comprensión mucho mayor de los flujos de datos de su organización. Una organización debe conocer los movimientos de sus datos, tener visibilidad de las categorías de datos en juego y comprender el perfil de la aplicación en la nube para decidir qué controles son necesarios.

Una visión de la seguridad centrada en los datos tiene sentido si se tiene en cuenta que los cálculos de regulación y riesgo suelen estar centrados en los datos. La visibilidad y la comprensión de sus flujos de datos son particularmente críticas cuando navega por áreas como el modelo de responsabilidad compartida o evalúa el riesgo de la cadena de suministro. Las organizaciones deben realizar evaluaciones de seguridad continuas basadas en sus flujos de datos.

3) Controle la seguridad de la API

La nube ha hecho que sea más urgente que nunca que las organizaciones evalúen el riesgo de la cadena de suministro y las garantías de los socios. Esto enlaza con el punto anterior sobre la comprensión de los flujos de datos (y saber exactamente dónde residen sus datos y cuáles son sus responsabilidades), pero también va más allá, específicamente cuando se aprovechan al máximo las oportunidades de integración y análisis que vienen con la nube.

Las integraciones en la nube son increíblemente convenientes y pueden agregar mucho valor. Suelen basarse en API y son muy fáciles de configurar. Sin embargo, los dispositivos de seguridad heredados no comprenden las API. Tienden a comprender solo el lenguaje de la web y los protocolos de red tradicionales y no pueden rastrear o controlar los servicios en la nube. Es otra razón más por la que debe proteger la nube desde dentro de la nube. Tener dispositivos heredados que intentan vigilar la nube es un poco como tener una fuerza policial que no habla el mismo idioma que la comunidad que está tratando de proteger. Son impotentes para comprender lo que está sucediendo y, por lo tanto, son ineficaces.

4) Haga de Zero Trust su posición predeterminada

Con las arquitecturas en la nube que eliminan el concepto de un perímetro seguro alrededor de los datos y la TI de una organización, Zero Trust se vuelve importante. Como CISO, a veces puede parecer que la organización busca en nosotros confianza y tranquilidad, pero en realidad, para hacer bien nuestro trabajo, hay mucho que decir para asumir la postura de alerta máxima y desconfianza. Zero Trust Network Access (ZTNA) es exactamente eso: no le da a nadie, ningún dispositivo o servicio en la nube acceso a nada sin una serie de credenciales de seguridad autenticadas asignadas específicamente. Los datos son demasiado valiosos para hacer suposiciones de autenticidad.

Una solución ZTNA marca una diferencia inmediata en el nivel de seguridad inherente a una arquitectura tradicional de red o nube y debe considerarse un componente clave a medida que las organizaciones migran aún más a un mundo en el que la nube primero.

5) Sensibilizar y activar la fuerza laboral

La seguridad de la información es algo que debería estar en la descripción del puesto de cada empleado. Pero aunque nosotros, los expertos, tenemos que trabajar tan duro para estar al tanto de los nuevos riesgos y amenazas de la nube, no podemos esperar que los empleados naveguen con éxito los mejores esfuerzos de los actores malintencionados sin educación.

Solo se necesita un simple error o una mala configuración para exponer pasivamente datos confidenciales o regulados, y los actores malintencionados están trabajando arduamente para hacer que sus trampas sean más difíciles de detectar para el empleado promedio. Saben cómo disfrazarse replicando marcas familiares y pantallas de inicio de sesión de servicios confiables en la nube. Incluso utilizan los mismos servicios en la nube de confianza en su arquitectura de ataque, lo que les otorga la familiaridad de una URL amigable. Las credenciales de la aplicación en la nube son un objetivo principal para las campañas de phishing, con el 36% de las campañas en 2020 dirigidas a las credenciales de la aplicación en la nube, y lo hacen en páginas que están alojadas y se parecen de manera convincente a la instancia corporativa auténtica del propio servicio en la nube de la organización.

Es nuestra responsabilidad equipar a la fuerza laboral para mantener la seguridad de los datos, y el mensaje tradicional de «no hacer clic en enlaces sospechosos» ya no es útil. Sensibilizar es el primer paso, pero el objetivo debe ser la «activación»; cuando las personas se sienten responsables y responsables de la seguridad, llegando a un punto en el que todos los empleados son miembros del equipo de seguridad.

Así como la nube provocó un replanteamiento revolucionario en torno a las arquitecturas de TI, los flujos de trabajo y los centros de costos, también debería hacer lo mismo por la seguridad. Ya sea que la nube ingrese al negocio a través de importantes proyectos de transformación comercial o mediante una aplicación descargada en un dispositivo no administrado, no es algo que los equipos de seguridad puedan ignorar. Una estrategia SASE, con sólidos principios de Confianza Cero, es la mejor manera de garantizar que la nube siga siendo una fuerza positiva dentro de una organización y no lo mantenga despierto por la noche.

Este artículo se publicó originalmente en Digital Bulletin .

Síguenos:

¿Te gustaría saber más, agenda una cita con un especialista?

Cargando Calendario...

Powered by Booking Calendar

Nombre*:

Apellido*:

Correo electronico*:

Telefono*:

Empresa:

Comentarios:

Enviar