Retos de la seguridad en la nube
Juan Carlos Carrillo
Cybersecurity & Privacy Expert | Public Speaker | Educator
Aprovechar las tecnologías de la nube presenta consideraciones nuevas e incrementales, que requieren que los clientes evalúen su comprensión actual de los riesgos comerciales y digitales relevantes para garantizar el cumplimiento continuo de los requisitos empresariales y regulatorios. El cambio de una infraestructura de TI en las instalaciones (OnPrem) a la tecnología en la nube agrega complejidad al entorno de TI, pero también presenta la oportunidad de automatizar los procedimientos de control manual existentes al aprovechar la tecnología nativa de la nube.
El cambio a nuevas tecnologías y formas de trabajo significa que el gobierno y control interno está cambiando. La mayoría de los responsables de riesgos observan que sus empresas comienzan a considerar la seguridad y el cumplimiento de los proyectos en la nube hasta la mitad de la fase (muy tarde); solo el 37% lo evalúa durante la recopilación de requisitos de negocio, y el 29% cuando se da recopilación de requisitos técnicos; son muy pocas las compañías que evalúan su riesgo de seguridad en la fase de planificación.
Fuente: PwC US Cloud Business Survey. 15 de junio de 2021. 70 responsables de riesgos.
¿Estamos teniendo las conversaciones adecuadas para crear confianza a lo largo del extenso viaje a la nube?
Las conversaciones sobre la adopción de la nube y su impacto en el negocio deben abarcar a diferentes líderes de la empresa, desde los equipos de TI y cumplimiento hasta el C-Suite y el consejo de administración. Los líderes de gestión de riesgos necesitan sentarse a la mesa antes para comenzar a comprender y abordar estas preocupaciones antes de que una empresa realice cambios en un nuevo sistema o implemente nuevos productos e innovaciones.
Una solución de seguridad y cumplimiento de la nube debe integrar holísticamente las capacidades de cumplimiento, gobierno, seguridad y privacidad en el programa de transformación de la nube de una empresa para brindar confianza en el proceso de adopción de la nube en toda la empresa. Las soluciones de cumplimiento y seguridad en la nube permiten a los clientes reducir y administrar el riesgo, mientras se adaptan rápidamente a los cambios en su entorno comercial al enfocarse en lo siguiente:
¿Qué elementos debe considerar una estrategía de seguridad en la nube?
Gestión de cumplimiento, riesgos y gobierno de la nube
Soluciones de gestión de riesgos en la nube a través de las funciones de cumplimiento, riesgo y gobierno del cliente (riesgo de operaciones, riesgo empresarial y auditoría interna). Diseño, implementación y pruebas de riesgo y control contra el marco de cumplimiento y riesgo de la nube, con marcos regulatorios y líderes de la industria (p. ej., SOX, NIST CSF, CSA CCM, ISO 27001, GDPR).
Capacidades de entrega modernas
Soluciones que ayudan a los clientes a automatizar su modelo de entrega en la nube DevOps y minimizar las interrupciones que pueden afectar negativamente al negocio. A medida que los clientes aceptan y adoptan el enfoque DevOps para automatizar su modelo de entrega en la nube, demostrar que los cambios promovidos a producción se administran y aprueban adecuadamente es un desafío común. Generamos confianza en el proceso de cambio de una organización, ya sea a través de una transformación ágil, cambios DevOps o canalización de CI/CD.
Estrategia y transformación de seguridad en la nube
Servicios de estrategia, evaluación y recomendación centrados en optimizar y transformar las estrategias de seguridad en la nube, los modelos operativos y de gobierno y las capacidades operativas (procesos, controles, herramientas) de los clientes frente a prácticas, marcos y arquitecturas de referencia líderes.
Seguridad de arquitectura, IaaS y PaaS
Taxonomías de arquitectura componible, planos técnicos, patrones de seguridad y arquitecturas de soluciones personalizadas, que se pueden usar para planificar y diseñar zonas de aterrizaje en la nube, políticas y recursos básicos de IaaS y PaaS en los que se pueden implementar cargas de trabajo de forma segura. Da soporte a las fábricas de migración a la nube empresarial a través del diseño, las pruebas, la implementación y el despliegue seguros de la infraestructura de la nube, las plataformas y el movimiento de las aplicaciones y los almacenes de datos heredados.
DevSecOps
Soluciones de seguridad para ingenieros de plataforma e infraestructura en la nube, y equipos de DevOps, que incluyen habilitación de servicios en la nube y gestión de deriva, infraestructura segura y automatización y validación de plataforma, "seguridad de canalizaciones de CI/CD" y "seguridad en la canalización" a través de AppSec TestOps integración, orquestación y automatización.
Recomendado por LinkedIn
Secure SaaS y ERP Security
Soluciones de seguridad diseñadas para controlar y administrar la adopción de productos SaaS y plataformas de productividad en el lugar de trabajo utilizadas por el personal interno de un cliente (p. ej., CASB, SaaS Posture Management).
Seguridad de datos en la nube
Ofrece soluciones de seguridad en la nube diseñadas para integrarse en el ciclo de vida de la gestión de datos y proporcionar controles y contramedidas para DataOps, gestión de modelos de datos y análisis y ciencia de datos.
Gestión de la nube
Soluciones de gestión de vulnerabilidades en la nube diseñadas para mitigar las configuraciones incorrectas de servicios y recursos en la nube; deficiencias en las operaciones de seguridad y salvaguardias; y vulnerabilidades que emanan de las operaciones, los entornos, los recursos y las cargas de trabajo en la nube.
Cloud IAM
Soluciones de administración de acceso e identidad en la nube, incluida la arquitectura de servicio IAM en la nube, el gobierno y la administración de identidades (IGA), la administración de acceso (AM), la administración de acceso privilegiado (PAM) y la administración de secretos.
Detección y respuesta de amenazas en la nube
Soluciones de seguridad orientadas a la gestión de registros en la nube (registro de eventos, agregación, correlación), detección de amenazas, respuesta a incidentes y análisis forense. Este equipo también crea y diseña soluciones de lago de datos de seguridad y SIEM en la nube.
Resiliencia de la nube
Soluciones centradas en la continuidad del negocio, la recuperación ante desastres y la resiliencia técnica que aumentan la capacidad de enfrentar amenazas comunes en la nube que provocan interrupciones y cortes en una organización.
Tecnología de riesgo integrado
Soluciones para ayudar a los clientes a transformar sus programas de riesgo y cumplimiento de reactivos y tácticos a proactivos y estratégicos a través de un marco de gestión de riesgos integrado habilitado por tecnología. A medida que los clientes atraviesan su viaje a la nube, podemos ayudarlos a imaginar, planificar, diseñar, desarrollar, lanzar y administrar GRC empresarial y soluciones integradas de gestión de riesgos con un repositorio centralizado de riesgo, control y gobierno, flujos de trabajo integrados y capacidades analíticas para pasar de lo estático (informes) a información y análisis de cumplimiento en tiempo real (tableros). Al integrar programas de riesgo y cumplimiento desconectados y unificar soluciones tecnológicas fragmentadas, nuestros clientes obtienen una visión amplia de la empresa del riesgo y están mejor equipados para responder a las necesidades regulatorias mientras equilibran la eliminación de costos y la transformación digital de la gestión de riesgos.
Gestión de riesgos de terceros
Soluciones TPRM centradas en la diligencia debida de terceros y la gestión de riesgos para proveedores de servicios en la nube externos y sus cadenas de suministro de proveedores.
Tecnologías emergentes habilitadas para la nube segura
Soluciones de seguridad y privacidad en la nube para tecnologías y servicios en la nube de última generación.
¿Está tu estrategia de nube considerando todos estos elementos?