¿Qué estrategia debe seguir el CISO para garantizar la seguridad en la nube?
Los CISO siguen lastrados por falsas premisas y enfoques obsoletos. Estos directivos deberían participar en las decisiones de la dirección de sus compañías desde el primer día para dar respuesta a las necesidades del negocio.
A medida que las empresas migran cada vez más a la nube, los directores de seguridad de la información (CISO) se enfrentan a numerosos retos críticos para garantizar una sólida seguridad en la nube. No fueron pocos los expertos que así lo destacaron en la reciente Cumbre de Gartner sobre Seguridad y Gestión de Riesgos. Gartner prevé un aumento significativo del 24% en el gasto en seguridad en la nube, lo que lo sitúa como el segmento de más rápido crecimiento dentro del mercado global de la gestión de la seguridad y los riesgos.
Adaptar, ajustar, ejecutar
La conclusión es que el cambio a la computación en nube exige un replanteamiento fundamental de la seguridad. Las organizaciones se esfuerzan por integrar la nube en las operaciones empresariales estándar. Sin embargo, esta transición tiene más escollos de los que la mayoría de los CISO comprenden. Lo he visto en mis investigaciones y en mi experiencia como consultor durante 20 años, tanto ahora en la nube como antes de ésta.
Los problemas que han estado presentes en los entornos de TI tradicionales persisten en la nube, como es el caso de la gobernanza, la configuración incorrecta, las cadenas de suministro y conductos inseguros, la pérdida o exfiltración de datos y los fallos en la gestión de secretos y claves. La nube introduce riesgos únicos tales como la visibilidad limitada, las superficies de ataque dinámicas, la proliferación de identidades y los malentendidos en torno a la responsabilidad compartida, el cumplimiento, la regulación y la soberanía. Y esto es sólo la punta del iceberg.
La mayoría de los CISO me dicen que aún no entienden exactamente qué debe cambiar. Muchos se sienten engañados por el proveedor de la nube con respecto al trabajo necesario para proteger sus implantaciones en la nube. He escrito muchos consejos en sentido contrario, pero nunca es buena idea decir «te lo dije» a alguien que tiene problemas, así que tenemos que averiguar cómo hacerlo mejor.
El modelo de responsabilidad compartida
Muchos CISO y equipos de seguridad necesitan aclaraciones sobre el modelo de responsabilidad compartida utilizado por los principales proveedores de nubes públicas, como Amazon Web Services (AWS) y Microsoft Azure. Este modelo delimita las responsabilidades de seguridad del proveedor de la nube y del cliente, y suele figurar en la primera diapositiva de cualquier presentación sobre seguridad en la nube desde 2008.
Los retos surgen a menudo de suposiciones relacionadas con la tecnología y el alcance de las obligaciones de seguridad de los proveedores de la nube. El cumplimiento, la visibilidad de los datos sensibles, la continuidad del negocio y los confusos acuerdos de nivel de servicio (SLA) se convierten en problemas que los CISO no veían venir. Como dijo un amigo mío CISO después de doce años lidiando con la seguridad en la nube: “Nunca se trató de “responsabilidad compartida”, siempre fue toda mi responsabilidad. Punto”.
A menudo Los CISO se encuentran con varios escollos clave en la gestión de la seguridad de la nube como los siguientes:
· Las líneas de negocio no han abordado adecuadamente las necesidades de seguridad.
· La nube es más compleja de lo que se pensaba en un principio.
· La estrategia, la arquitectura o las iniciativas de transformación de la nube a menudo se llevan a cabo sin la aportación del CISO, de quien se espera que lo haga todo seguro.
· La falta de colaboración con los directores de sistemas de información para integrar la seguridad en la ingeniería de plataformas y el desarrollo de operaciones atasca los procesos de desarrollo con procesos de seguridad obsoletos.
· Los viejos patrones de seguridad se aplican a las nuevas tecnologías.
No hay sustituto para el trabajo duro (y aburrido)
En consecuencia, recomiendo varias estrategias para superar estos retos. Es crucial utilizar herramientas automatizadas para gestionar la seguridad del entorno de nube. La automatización es su amiga. Además, establecer una sólida gobernanza de la seguridad en la nube puede ayudar a priorizar las alertas y asegurar los bordes del servicio. Correr en círculos por cada anomalía no es escalable, y el riesgo de ser “el niño que gritó que viene el lobo” probablemente causará una brecha.
La consolidación de los esfuerzos de seguridad y el trabajo hacia la inmutabilidad son también buenas prácticas esenciales. Además, para adaptarse al cambiante panorama de la seguridad en la nube es fundamental reciclar y actualizar los conocimientos del personal de seguridad. La mayoría de las infracciones se deben a la falta de formación y no a la de tecnología. Los CISO entienden que pueden tener la mejor tecnología de seguridad en la nube disponible, pero no pueden arreglar la estupidez. Los errores de configuración son la causa principal de las brechas en la nube.
Por supuesto, hay que abordar cuestiones específicas para sus necesidades únicas. A menudo, los CISO adoptan buenas ideas de analistas y consultoras que no se ajustan a sus necesidades. La seguridad en la nube nunca es una solución de “talla única”, y debe ser sistémica en todos los sistemas, no instalarse en el último paso de la implantación. Las empresas suelen tener problemas porque la seguridad está poco acoplada y, por tanto, es ineficaz.
Ojalá tuviera una fórmula mágica para dar a los CISO que buscan una mejor seguridad en la nube, pero se trata de hacer las cosas de forma inteligente y decidida para ganar la partida. La gente odia oír eso: significa más planificación e investigación aburridas. Pero no hay sustituto.