La industria de la seguridad gasta mucha tinta (o electrones) diciéndole a los CISOs cómo asegurar sus propiedades en la nube, pero generalmente se asume que hay una propiedad completa que debe ser asegurada. A menudo asumimos que la compañía del CISO es nativa de la nube, o se ha trasladado agresivamente a la nube ya. Soy tan culpable de esto como cualquiera; mientras que nunca lo digo directamente, la premisa subyacente de mis libros electrónicos de Cómo ser un CISO en la Nube ciertamente está dirigida a aquellos que ya viven en la nube.
¿Pero y si tú y tu empresa están comenzando en la nube? Deberías abordar la seguridad cuando apenas estás metiendo los pies en el agua un poco diferente a cuando ya estás nadando en el extremo profundo. Si eres demasiado cauteloso y no dejas que nada suceda, corres el riesgo de perderte los beneficios de la transformación en la nube. Si eres demasiado laxo y dejas que todo suceda, entonces corres el riesgo de establecer un estándar (o la falta de él) de seguridad inexistente, y estarás luchando cuesta arriba durante años tratando de volver a introducir la seguridad en las conversaciones sobre la nube. Veamos algunos conceptos de los que debes estar consciente, y las conversaciones que deberías tener, mientras comienzas tu viaje en la nube.
Realidades Multi-nube
Probablemente vas a escuchar mucho sobre “estrategias multi-nube” – la idea de que puedes construir tus aplicaciones en la nube de una manera agnóstica – para que puedas moverte de AWS a Azure en un instante si hay un problema en uno u otro. A menudo, los equipos de seguridad terminan liderando la carga condenada en la promoción de multi-nube, y yo recomendaría mantenerse alejado de ella.
Uno de los mayores errores que las organizaciones a menudo tienen cuando se mudan a la nube es que los negocios de Infraestructura como Servicio realmente se tratan solo de cambiar los costos de gastos de capital por adelantado a gastos operativos en curso, ahorrando así dinero. Eso puede existir, por supuesto, pero los mejores beneficios de la nube giran realmente en torno a la agilidad, y obtienes la mayor agilidad cuando aprovechas las herramientas que los proveedores de la nube tienen. Cuanto más aprovechas esas herramientas, menos vas a poder simplemente mover una carga de trabajo (esa es la nueva palabra para lo que solía llamarse servidores, y es un poco más amplia) de un proveedor de la nube a otro.
Dicho esto, vas a terminar siendo multi-nube. No en el sentido de distribuir alguna carga de trabajo en dos plataformas diferentes. En cambio, terminarás con diferentes partes de tu negocio resolviendo sus problemas con diferentes nubes. Puedes llegar allí por adquisición, cuando compras una empresa que utiliza diferentes herramientas. Tal vez termines allí cuando algunos desarrolladores comienzan a experimentar con una plataforma que usaron en una empresa diferente. O tal vez obtendrás un incentivo financiero para mover algo de trabajo a otra nube. Sin embargo que suceda, es probable que termines con un negocio que abarca varios entornos en la nube, que aún necesitarán interactuar entre sí, y necesitarás planificar para eso.
Visibilidad y rutas de ataque para comprender mejor los riesgos
A diferencia de un centro de datos tradicional, donde puedes simplemente caminar arriba y abajo por las filas frígidas de bastidores de servidores, contando tus máquinas y comparándolo con la hoja de cálculo impresa en tu portapapeles, la nube es un poco más nebulosa. No solo las cargas de trabajo pueden ser “activadas” y “desactivadas” en un momento dado basándose en la demanda, las formas en las que interactúan entre sí no son tan simples como rastrear cables dentro de un bastidor. En cambio, necesitas no solo ser capaz de identificar cargas de trabajo, sino también ver cómo interactúan entre sí… y las vulnerabilidades que cada una presenta a la otra.
La visibilidad completa no solo te proporciona un inventario consultable, sino que te permite entender algo más profundo: las rutas de ataque que un adversario podría tomar a través de tu entorno en la nube, a medida que pasa de explotar una vulnerabilidad a usar un permiso excesivamente amplio para acceder a tu plano de control central de la nube, llegando a los datos sensibles que pensabas que estaban protegidos. Necesitas conocer cuáles son esas rutas de ataque, para que puedas aplicar controles de seguridad reflexivos… o, ¿me atrevo a decir, “barreras de seguridad”?
¿Barreras de seguridad o puertas para bebés?
“Barreras de seguridad” es una de las frases favoritas entre los CISOs en estos días: implementar políticas que eviten que tu empresa haga cosas que no debería. A veces, sin embargo, ni siquiera sabemos lo suficiente para establecer barreras de seguridad sostenibles para mantener a las personas en un camino, y si nos equivocamos, entonces nuestros socios de negocio dejan de confiar en nosotros para ser sus socios. A medida que iniciamos nuestras transformaciones digitales, a veces es mejor apuntar a “puertas para bebés”: controles ligeros que esperamos que nuestro negocio supere, pero realmente nos gustaría comenzar con estos desafíos más pequeños a medida que todos aprendemos la nube. Implementar cualquiera requiere una cobertura sólida: tenemos que saber qué estamos haciendo en la nube para poder preguntar si deberíamos estar haciendo eso.
Por ejemplo, tal vez no permitamos PII en la nube al principio. Es fácil decir eso en una política, pero a menos que monitoreemos el PII, no deberíamos esperar que esa regla dure mucho. Quizás tenemos necesidades de soporte, por lo que deberíamos estar monitoreando las máquinas que no se actualizan. Nos gustaría monitorear qué desarrolladores tienen acceso para asegurarnos de que sabemos qué proyectos están en la nube. Ciertamente deberíamos esperar que algunos proyectos en la nube sean abandonados, por lo que deberíamos estar monitoreando los recursos desperdiciados.
Avanzando con tu transformación digital segura
Si tu empresa se dirige hacia su transformación digital, ¡felicidades! Mantente cerca de lo que está sucediendo, para que sepas qué tecnologías necesitas aprender más para asegurar antes de que estés detrás de la curva.
Recuerda esto también: todavía estamos viviendo en un tiempo donde las organizaciones apenas están comenzando sus transformaciones digitales, por lo que sumergirse de cabeza en todo lo relacionado con la nube y la seguridad de la nube no es (y no debería considerarse) factible. Todo lo que necesitas hacer es tener una idea de qué servicios en la nube planeas aprovechar, y qué soluciones están disponibles para mantener seguros esos aspectos específicos de tu nueva propiedad en la nube. Si apenas estás comenzando con tu viaje en la nube y te gustaría ser proactivo acerca de la seguridad desde el principio, te recomiendo que revises una evaluación de riesgos.
