Cómo hacer que los CISO se sientan cómodos con la seguridad en la nube

  • Gestión de IT

La escasez de talentos de ciberseguridad y la preocupación por las violaciones de datos tienen muchos CISO que retrasan las migraciones en la nube.

Prácticamente todas las organizaciones están moviendo algunos flujos de trabajo y activos a la nube. Pero la preocupación por los controles de seguridad y la escasez de talentos preocupa a muchos CISO, ya que un 40% de las empresas desacelera la migración debido a estos problemas, según un informe reciente.

Mientras que el 83% de los profesionales de TI dijeron que almacenan datos confidenciales en la nube pública, solo el 69% dijo que confiaba en la nube pública para mantener sus datos seguros, encontró el informe. Los problemas de seguridad en la nube son desenfrenados: una de cada cuatro organizaciones que usan Infrastructure as a Service (IaaS) o Software as a Service (SaaS) se han robado sus datos, según el informe. Mientras tanto, uno de cada cinco dijo que había experimentado un ataque avanzado contra su infraestructura de nube pública.

"Recibimos muchas consultas sobre cómo proteger sus datos en la nube, cómo mover sus identidades a la nube y cómo se realiza la seguridad de la red", dijo Andras Cser, vicepresidente y analista principal de Forrester. "Muchas veces vemos personas incluso reteniendo proyectos de seguridad en esta área".

Pero las razones por las que los CISO a menudo desconfían de la seguridad en la nube son más matizadas de lo que podrían sugerir algunos informes, dijo Daria Kirilenko, directora de investigación de riesgos de la información en Gartner.

"Muchos CISO piensan que la seguridad del proveedor es en realidad mucho más fuerte que la de ellos, pero al final creen que si se produce una infracción en algunos de estos proveedores, seguirán siendo responsables de las consecuencias", dijo Kirilenko. "Esa es la razón principal de su percepción de la nube como algo que debe ser visto con precaución".

Los CISO también tienden a creer que su equipo de seguridad no tiene las habilidades adecuadas para implementar una estrategia en la nube en su organización, dijo Kirilenko. "Los CISO creen que en última instancia no están preparados para apoyar a la organización en su rápida adopción de la nube", agregó.

Muchos equipos de seguridad carecen del conocimiento de cómo debería ser la seguridad en la nube en su organización, ya que la mayoría de las prácticas de seguridad tradicionales no se pueden trasplantar al entorno de la nube, y en su lugar deben reconstruirse, dijo Kirilenko.

"No están preparados y, en última instancia, creen que en última instancia tendrán la responsabilidad si algo sale mal", dijo Kirilenko.

Construyendo un equipo de seguridad en la nube

La responsabilidad de las violaciones en la nube a menudo recae en el CISO, incluso si el proveedor tiene la culpa, dijo Kirilenko. Los CISO deben educar a sus principales grupos de interés sobre el hecho de que la seguridad en la nube se comparte entre los proveedores y el equipo interno, agregó, ya que surgen muchos problemas de seguridad cuando las partes interesadas internas cometen un error.

"Tiene mucho más sentido que los CISO dediquen tiempo y esfuerzo a formar un sólido equipo de seguridad y eduquen a los desarrolladores sobre los procesos seguros en la nube, que pasar todo el tiempo gobernando y monitoreando a los proveedores", dijo Kirilenko. "Obtendrán mejores resultados si se esfuerzan en construir ese sólido equipo de seguridad, facilitando la implementación de la seguridad en la nube para los desarrolladores que en este momento están realmente al corriente de la seguridad. Muchas veces no implementan correctamente la seguridad en la nube, y esto aumenta el riesgo de usar su proveedor de nube ".

Las operaciones en la nube, la arquitectura en la nube o los trabajadores de la seguridad en la nube suelen ser responsables de la seguridad en la nube, pero es común ver a los trabajadores de seguridad más tradicionales luchando con las nuevas plataformas también, dijo Cser.

Cuando se trata de formar un equipo de seguridad en la nube, normalmente no es factible que las empresas busquen un candidato "unicornio" que sea un experto en cierto proveedor de la nube, comprenda la arquitectura de la nube y tenga habilidades de desarrollo de software, dijo Kirilenko. En cambio, los CISO deben considerar a su equipo de seguridad como una cartera de habilidades.

"Primero debes entender cuáles son las habilidades que realmente necesitas para la nube", dijo Kirilenko. "Muchas veces, en realidad no es muy importante encontrar personas que conozcan y conozcan el interior y el exterior de cada proveedor individual. Eso es algo que estas personas pueden desarrollar con el tiempo".

En su lugar, debe construir un equipo con fortalezas individuales que se sumen a un todo de seguridad colectiva, dijo Kirilenko. Por ejemplo, un trabajador puede tener las habilidades de desarrollo de software necesarias, mientras que otro es fuerte en arquitectura empresarial y otro en arquitectura de soluciones.

Los CISO también deben tener en cuenta que no necesitan construir toda la seguridad en la nube utilizando solo su propio equipo, dijo Kirilenko. Algunas compañías establecen un centro de excelencia en la nube y hacen que las personas entren y salgan de diferentes funciones, como las aplicaciones y la infraestructura, y usan a esas personas para fortalecer la seguridad en la organización.

"Muchas empresas exitosas no ven sus recursos de seguridad interna como una limitación, porque entienden que la creación de una estrategia en la nube es algo que la organización debería hacer colectivamente", dijo Kirilenko.

Los CISO también deberían hacer que las directrices de seguridad en la nube sean fáciles para los desarrolladores, dijo Kirilenko. Otra práctica de organizaciones exitosas es desarrollar una plataforma de seguridad común que contenga API y arquitecturas de referencia que los desarrolladores puedan usar para comprender rápidamente cómo implementar las pautas de seguridad en sus aplicaciones.

"Piense en términos de cómo aliviar la carga de sus partes interesadas para hacer las cosas de manera segura: tiene que hacer las cosas de forma segura de la manera más fácil", dijo Kirilenko.

 

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.