Riesgo continuo, seguridad y cumplimiento para la gestión de la postura de ciberseguridad: un enfoque unificado.


Las soluciones actuales de riesgo, seguridad y cumplimiento están fragmentadas, lo que requiere diferentes enfoques o incluso implementaciones totalmente diferentes para las instalaciones locales, la nube, los contenedores y las aplicaciones críticas para la empresa, como las bases de datos. Con múltiples herramientas, configuraciones, operaciones y diferentes algoritmos para priorizar activos críticos, es difícil para cualquier equipo de operaciones de seguridad evaluar y mantener la postura de ciberseguridad de su organización.

Como industria, debemos evolucionar para crear un enfoque más unificado que abarque múltiples entornos y ofrezca a los clientes un panel único para seleccionar marcos, lanzar evaluaciones basadas en el tiempo e informar sobre los resultados. Y necesitamos introducir la inteligencia de la máquina para facilitar las evaluaciones predictivas y un tiempo más rápido para remediar.

Esta evolución tiene un impacto tanto financiero como práctico, ya que los días de un presupuesto de seguridad en constante crecimiento han terminado, como recientemente capturó IDC. Este año, el 50% de las empresas espera un aumento del presupuesto, en comparación con el 79% del año pasado, lo que refleja una desviación de la tendencia de incorporar un nuevo producto de seguridad de puntos para cada requisito. Las organizaciones deben encontrar más valor y, a medida que sus entornos se vuelven más complejos, los productos deben adaptarse en consecuencia. En particular, esto es un buen augurio para las plataformas que protegen la nube pública y la infraestructura local de manera unificada.

Abrazando la nube híbrida

Para manejar de manera efectiva los diferentes activos en la nube híbrida, las soluciones ganadoras deben tener la flexibilidad para asegurar los servicios en la nube pública, manejar múltiples sistemas operativos y admitir arquitecturas de VM, contenedores y servidores sin facilidad.

Considere una carga de trabajo HIPAA en VMware, local dentro de un perímetro. Cuando se migran a Amazon Web Services (AWS), esta misma carga de trabajo podría tener VPC de acceso abierto y grupos de seguridad, depósitos de S3 abiertos y máquinas virtuales vulnerables, todo lo cual necesita una evaluación continua para la seguridad. Luego, dado un mecanismo de descubrimiento sofisticado y flexible, la solución no debe limitarse a solo evaluar sistemas operativos. Debería manejar efectivamente los hipervisores y contenedores como VMware, Docker y Kubernetes. Además, debe evaluar de manera efectiva los servicios de nube críticos que están estrechamente relacionados con la carga de trabajo, como las bases de datos, ofreciendo así una visión más completa de la postura de seguridad de una organización. Este requisito de flexibilidad se presta a la personalización.

Personalización

La cita de Henry Ford  : “Cualquier cliente puede pintar un auto del color que quiera, siempre y cuando sea negro”, simplemente no lo corta en las implementaciones de seguridad de hoy. Cada empresa tiene sus propios requisitos, su propia forma de evaluar el riesgo. Para evaluaciones exhaustivas de seguridad y cumplimiento, esto requiere una forma intuitiva de crear scripts de políticas personalizadas tanto para el SO como para los servicios locales / en la nube.

Por ejemplo, la solución de un proveedor puede ofrecer monitoreo y remediación para un conjunto pre-empaquetado de servicios de AWS, pero la empresa puede haber adoptado uno de los más oscuros, aunque crítico para su entorno. Aquí, la personalización puede ofrecer a las empresas una visión completa de su postura de seguridad. De la misma manera, los puntos de referencia preempaquetados de la CIS u otras asignaciones de control técnico como HIPAA o HITECHpuede integrar un conjunto de controles, pero una institución de atención médica puede necesitar algo más en profundidad o una variación de un control existente. O bien, puede necesitar desarrollar su propio marco que consiste en controles de diferentes familias, así como políticas personalizadas. Las opciones aquí incluyen aprovechar el contenido del Protocolo de automatización del contenido de seguridad (SCAP) ya disponible o crear políticas personalizadas desde cero a través de secuencias de comandos.

Aprendizaje automático

En la mayoría de los casos, los equipos de cumplimiento adoptan un estándar como HIPAA que contiene un conjunto de medidas administrativas, físicas y técnicas. Asignan cada protección técnica a una política de control técnico correspondiente, como la que se encuentra en CIS, que luego se asigna a un sistema operativo de destino. Como se podría imaginar, este es un proceso que requiere mucho tiempo y, en casi todos los casos, no tienen forma de priorizar los controles técnicos para guiar los planes de gestión de cambios. Una vez que las asignaciones están en su lugar, la plataforma de cumplimiento automatiza las comprobaciones, con el resultado una lista de las acciones de remediación recomendadas.

Pero, a medida que surgen nuevas regulaciones y estándares, especialmente para la privacidad de los datos, debemos evolucionar, tanto en la forma en que mapeamos los diferentes estándares, regulaciones y puntos de referencia, como en cómo manejamos el resultado. Aquí es donde entra en juego una aplicación práctica de aprendizaje automático, ya que puede ayudar a racionalizar y automatizar el mapeo y la priorización de varios controles técnicos. En la cola, el sistema debe priorizar efectivamente las acciones de remediación y, si el operador lo desea, automáticamente lleve a cabo esta guía.

Cómo empezar

Si usted es un líder en seguridad cibernética que busca implementar este enfoque unificado, aquí le indicamos cómo comenzar. Como referencia, el Marco de Ciberseguridad (CSF) del NIST proporciona una estructura para implementar un programa de seguridad, que incluye la realización de una evaluación de riesgos inicial, la creación de un perfil de seguridad objetivo, el análisis y la priorización de brechas y la realización de un plan de acción. No es una regulación en sí misma, pero hace referencia a una serie de otras normas que se pueden aplicar a una función específica y vertical. Por ejemplo, los que están en el cuidado de la salud pueden centrarse en HIPAA e ISO. Extendiéndose a la nube pública, el CSF se puede utilizar junto con la nueva Guía complementaria de la nube de controles CIS que mapea los controles CIS 20 a IaaS, PaaS, SaaS y FaaS.

En última instancia, un enfoque unificado de la automatización de riesgos, seguridad y cumplimiento ofrece a las organizaciones una forma más extensible, precisa y rentable de proteger sus datos y aplicaciones híbridas. La implementación en múltiples nubes, las secuencias de comandos personalizadas y el aprendizaje automático son todas las capacidades críticas que permiten esta evolución.El Consejo de Tecnología de Forbes es una comunidad de invitación únicamente para CIO, CTO y ejecutivos de tecnología de clase mundial.¿Califico?

Fuente: www.forbes.com

Praveen Jain

Consejos Praveen Jain Forbes

Contactanos

Mario Meneses

mario@c2csmartcompliance.com

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: