A medida que las organizaciones trasladan sus cargas de trabajo a entornos de nube, los profesionales de la seguridad se preguntan por qué la seguridad en la nube parece tan difícil. ¿Es porque la nube es intrínsecamente menos segura que otros modelos de computación? Posiblemente, pero el verdadero reto de seguridad de la computación en la nube es la pérdida de control y cómo validar y medir los controles para visibilidad y atribución.
Este problema no es nuevo. Llevamos años subcontratando y utilizando proveedores de hosting y llevamos con otros acuerdos, incluso más intrusivos, con muchos terceros; a veces durante años. Ahora, sin embargo, tenemos una infraestructura de servicios altamente escalable y dinámica, y estamos compartiendo recursos con otras organizaciones en la mayoría de los casos. Y es una diferencia importante.
La nube ha llegado y no se va a ningún lado
Estamos almacenando más datos sensibles relacionados con los clientes, como información personal identificable (PII) y registros sanitarios, en entornos de nube.
Está claro que la nube ha llegado para quedarse y tenemos que gestionar las amenazas y vulnerabilidades que acompañan a sus despliegues.
Un modelo de seguridad para controlarlo todo
¿Existe un modelo comúnmente aceptado para todos los implicados en la seguridad de la información? Si ese modelo existe, ¿se puede trasladar a la seguridad en la nube? Las respuestas a estas dos preguntas son complicadas, a veces desatan discusiones apasionadas, pero la mayoría de los modelos comparten gran parte de sus bases: el modelo práctico que propongo en este artículo es el de los 20 controles críticos de seguridad de CIS.
Los controles de seguridad críticos del CIS son un conjunto de 20 controles (a veces llamado el SANS Top 20) diseñados para ayudar a las organizaciones a salvaguardar sus sistemas y datos de los vectores de ataque conocidos. También puede ser una guía eficaz para las empresas que aún no tienen un programa de seguridad coherente. Aunque los controles del CIS no sustituyen a ningún esquema de cumplimiento existente, se ajustan a varios marcos de cumplimiento importantes (por ejemplo, ISO 27001 o el marco de ciberseguridad del NIST) y a normativas (por ejemplo, PCI DSS e HIPAA).
Los 20 controles se basan en la información más reciente sobre los ataques más comunes y reflejan los conocimientos combinados de expertos forenses comerciales, pentesters individuales y colaboradores de agencias gubernamentales de Estados Unidos.
La importancia del inventario
Si tuviéramos que elegir una única tarea para mejorar la seguridad de una compañía que está “empezando” a ser consciente de la problemática de la seguridad, la de mantener el control de los dispositivos y el software es la que va a proporcionar mejores resultados. Además, el inventario, la temida CMDB, es uno de los mayores quebraderos de cabeza de los responsables de seguridad. En un entorno híbrido, deslocalizado y parcialmente conectado, conocer el número de máquinas, redes y anomalías en el uso acordado de los dispositivos es cada vez más difícil. Sin inventario no podemos poner controles ni políticas de seguridad.
Inventario de Software, de las cuentas y de los permisos
Si llevar un control de los dispositivos ya es complicado, saber qué programas tenemos instalados, en qué versión están, si se han cambiado las contraseñas, si alguna labor de servicio interrumpida con el teletrabajo ha dejado permisos incorrectos, etc, es casi misión imposible.
Espero que este breve análisis te haya sido de utilidad. Permanece atento ya que en un par de semanas continuaremos analizando el tema más en profundidad
Un post de Bruno Diaz, director de ciberseguridad de BOTECH
