De acuerdo con la encuesta KPMG 2021 U.S. CEO Outlook, 81% de las directoras y directores generales (CEO) confía en las perspectivas de crecimiento de su empresa y, al mismo tiempo, prevé el riesgo de ciberseguridad como una de las tres principales amenazas para el crecimiento de sus organizaciones. Como resultado, en comparación con hace un año, en 2021, los CEO afirmaron que planean invertir más en tecnologías de seguridad de datos. Es un hecho bien establecido que la ciberseguridad es una de las principales preocupaciones que podrían estar ralentizando la transformación digital.
Descargue la publicación Riesgos en México 2022. Anticipando rutas de crecimiento
Las empresas no solo se están moviendo hacia tecnologías modernas en la nube, sino que también están adoptando técnicas modernas de entrega de software. En esencia, las organizaciones se están transformando rápidamente en muchos frentes distintos.
La tecnología es el habilitador clave; sin embargo, también introduce una superficie de ataque mucho mayor. Por lo tanto, no sorprende que la seguridad y la privacidad sean una inversión importante en la nueva realidad.
Una de esas áreas es la infraestructura como código (IaC, por sus siglas en inglés) que ayudan a construir una infraestructura en la nube, no solo de recursos informáticos, sino también con recursos de almacenamiento, redes y seguridad. IaC también brinda una oportunidad única para la coherencia en la automatización de la seguridad, ya que es un área en la que históricamente las organizaciones no han tenido suficiente seguridad o han contado con demasiadas ventanas para observar y demasiadas alertas por analizar, lo que lleva a la fatiga de alertas.
En reconocimiento de posibles problemas de configuración con el entorno de la nube y los recursos subyacentes, las herramientas de gestión de la postura de seguridad en la nube (CSPM, por sus siglas en inglés) se están volviendo comunes. Sin embargo, CSPM es una medida reactiva y uno de los mecanismos de control de detección.
La mejor opción es evitar que los problemas de seguridad se filtren en IaC, realizando un análisis en busca de posibles configuraciones incorrectas y luego superponiéndolo en CSPM como un mecanismo de monitoreo para problemas en el tiempo de ejecución.
La pregunta sigue siendo: si bien hay muchas herramientas de seguridad y repositorios de código abierto, ¿cómo podemos proporcionar un punto de partida para que los profesionales de Desarrollo y Operaciones creen y mantengan aplicaciones seguras? La respuesta está en una política de seguridad como solución de código (SPaC) de KPMG. Consta de los siguientes aceleradores:
- Estrategia de transformación de la organización de seguridad que incluye modelos de interacción con modelos de centro de excelencia en la nube (Cloud Center of Excellence, CCOE) y gráficos RACI para implementar rápidamente SPaC
- Marco de gestión de políticas que incluye la traducción de su seguridad y requisitos reglamentarios complicados, en políticas como código. También cuenta con una biblioteca de políticas normalizadas para ayudarle a demostrar el cumplimiento de múltiples marcos, como NIST 800-53 e ISO 27001
- Planos de seguridad que codifican la infraestructura y las políticas de seguridad simultáneamente
- Estudio comparativo técnico detallado de herramientas de seguridad de terceros que pueden ayudarle a seleccionar rápidamente una o más herramientas de seguridad de código abierto o de terceros para ayudarle con la seguridad de múltiples nubes que van mucho más allá de las capacidades nativas de CSP
- Desarrollo, seguridad y operaciones (DevSecOps), gestión automatizada de alertas y ajuste de alertas falsas y estrategia de respuesta a incidentes que aprovecha nuestra amplia experiencia en este espacio
Una advertencia importante: si bien es fundamental tener una política como solución de código, los controles de detección también siguen desempeñando un papel importante en la seguridad de la nube, ya que es posible que los desarrolladores no tengan una visibilidad perfecta durante la creación de soluciones en la nube.
El objetivo de poner en producción sus pocos casos de uso iniciales de SPaC debe ser aprender su proceso de implementación. Incluso puede incluir la creación de tales casos de uso como parte del programa de campeones de seguridad de su organización, o hackatones.
A medida que se implementan más casos de uso de SPaC, aumenta la confianza en que su canal de compilación, su desarrollo de software y su entorno de tiempo de ejecución sean confiables; disminuye la probabilidad de eventos de seguridad graves, y usted puede concentrarse en brindar valor a sus clientes.
Una vez que se realiza la codificación de SPaC, los clientes pueden aprovechar las herramientas nativas de CSP o de terceros para monitorear la desviación de la política. Dependiendo de su madurez en esta área, los clientes también pueden desarrollar capacidades de remediación automática para corregir las exposiciones de seguridad sin intervención humana.
Opine: ¿Por qué es necesaria la ciberseguridad para el crecimiento de las empresas?
