El 94% de los diferentes tipos de negocios usa al menos algún componente cloud en su ambiente.  

La adopción de diferentes servicios que la nube permite alojar sigue creciendo de manera acelerada, gracias a los beneficios que este tipo de ambientes genera como la flexibilidad, reducción de costos, agilidad en el despliegue, escalabilidad, disponibilidad, entre otros. Sin embargo, la existencia de datos sensibles en los ambientes de nube permite el crecimiento de riesgos y amenazas, trayendo consigo una serie de retos a nivel de seguridad mediante los cuales los equipos de seguridad se ven obligados a actualizar su postura y estrategias ya que las herramientas y enfoques tradicionales no se adaptan bien a los desafíos de los entornos de nube dinámicos, virtuales y distribuidos. A continuación, algunos de ellos:

• Carencia de visibilidad para conocer la actividad de los usuarios y su comportamiento, el uso de la información, almacenamiento, tipo, clasificación y acceso y los flujos de tráfico.
• Dificultad para identificar y asegurar los componentes del entorno, el uso de recursos (base de datos, servidores, aplicaciones, contenedores, funciones (serverless), entre otros) y las vulnerabilidades presentes en éstos.
• Multi-Cloud, contar con una vista centralizada de mis recursos multicloud que me permita identificar rápidamente en donde debo enfocar esfuerzos en cerrar brechas de seguridad.
• Complejidad para demostrar cumplimiento asociado a buenas prácticas y requerimientos legales asociados.

Las organizaciones cada día son más conscientes de la importancia de contar con una estrategia de seguridad para la nube, sin embargo, el 75% de éstas confía en la seguridad integrada al proveedor y el 50% reconoce que lo ofrecido por éste no es suficiente. (CyberArk, CyberArk Global Advanced Threat Landscape Report 2019: Focus on Cloud).

Por otro lado, témenos que el 94% de los diferentes tipos de negocios usa al menos algún componente cloud en su ambiente. (2019 State of the Cloud Report, Flexera)

¿Qué se debe tener en cuenta para la adopción de servicios en la nube?

Para garantizar un paso seguro a los ambientes en nube, se deben tener en cuenta las DIMENSIONES o perspectivas desde las cuales se debe evaluar la postura, los CONTROLES de seguridad asociados y la RESPONSABILIDAD de quién debe asumir los controles identificados, dependiendo del modelo de servicio (IaaS, PaaS, SaaS).

¿Cómo podemos ayudarlo?

B-SECURE, apoyado en el framework NIST Special Publication 500-299 (NIST Cloud Computing Security Reference Architecture) y las recomendaciones de CSA (Cloud Security Alliance), ha establecido una estrategia de seguridad sobre ambientes en nube basada en las dimensiones anteriormente mencionadas, compuesta por tres (3) etapas diseñadas para apoyar a las organizaciones en su transición a la nube o aseguramiento del estado actual y postura futura. El proceso debe ser cíclico para generar, a través de la mejora, nuevas oportunidades que permitan incrementar el nivel de madurez y facilitar la adición de nuevos activos al ambiente en nube.

Análisis del contexto organizacional para identificar el estado actual de la estrategia de adopción de nube y las buenas prácticas asociadas a seguridad. Dicho análisis comprende:

• Estado de adopción
• Modelo de servicio
• Modelo de despliegue
• Arquitectura
• Vulnerabilidades
• Controles de seguridad
• Modelo de gobierno
• Metodología de riesgos
• Lineamientos de control
• Requerimientos de cumplimiento
• Partes interesadas y responsabilidades

Protección

Mejora de la postura de seguridad basada en la implementación de controles técnicos y tácticos, según el modelo de servicio:

• Monitoreo continuo
• Automatización de respuestas
• Cumplimiento normativo
• Auditoría de buenas prácticas
  
  

Beneficios de la estrategia de nube segura

• Conocimiento del estado actual de la adopción de nube
• Mejora y mantenimiento de la postura de seguridad
• Identificación de vulnerabilidades
• Gestión efectiva de riesgos
• Apoyo al cumplimiento normativo y de buenas prácticas

Productos destacados