Aprendiendo a amar las auditorías y el cumplimiento, sí es posible
La protección de las cargas de trabajo en ejecución en la nube pública y la observación de las normas de cumplimiento son cuestiones innegociables para la mayoría de las organizaciones. Sin embargo, reunir las capacidades necesarias de visibilidad, correlación y monitoreo frecuentemente es un proceso manual que lleva mucho tiempo. Como resultado, las auditorías y los ejercicios de cumplimiento pueden ocasionar retrasos y ansiedad a los equipos de seguridad y cumplimiento.
En vista de que los requisitos de auditoría y cumplimiento son un dilema conocido en la infraestructura en la nube, "aprender a amarlos" puede parecer más fantasioso que realista. En este blog, analizaremos los desafíos de cumplimiento y seguridad de acceso en la nube y cómo los profesionales de la seguridad pueden aprovechar las herramientas y estrategias adecuadas para que las auditorías sean un juego de niños.
Aunque parezca algo sencillo, lograr el cumplimiento en la nube no se compara con simplemente completar unos cuantos formularios. Si bien algunas normas reglamentarias y prácticas recomendadas tienen instrucciones muy específicas, muchas otras son mucho más abstractas. Una norma abstracta puede exigir el cumplimiento de un objetivo determinado sin explicar cómo hacerlo. En estos casos, nadie sabe qué métodos y herramientas hay que implementar para cumplir la norma ni qué hacer para garantizar su cumplimiento constante.
Uno de los motivos por los que algunas normas son abstractas es que la seguridad no es una práctica universal. Los entornos en la nube, en particular, son multidimensionales y dinámicos, y constantemente surgen vulnerabilidades nuevas. Además, las organizaciones tienen diferentes requisitos de cumplimiento en función de su industria, el tamaño de la empresa y su ubicación. Ni siquiera la lista más larga de instrucciones específicas de cumplimiento podría abarcar todas las situaciones hipotéticas posibles en materia de seguridad.
La compleja mezcla de regulaciones y marcos es solo un aspecto de lo que hace que el cumplimiento de la seguridad sea tan complicado en los entornos de nube. En la mayoría de las organizaciones, muchos equipos y herramientas operan en el ecosistema de la nube de una organización, incluyendo los siguientes:
- Equipos de infraestructura que desarrollan y mantienen entornos en la nube.
- Desarrolladores que envían códigos a producción.
- Profesionales de gestión de identidades y acceso (IAM) que proporcionan nuevos servicios e identidades humanas.
El gran número de partes interesadas que intervienen hace que a los equipos de seguridad les lleve mucho tiempo asignar los detalles básicos de cumplimiento ― como qué recursos se están ejecutando y con qué permisos ― a las evaluaciones comparativas de la industria. Para complicar aún más la situación, muchas organizaciones utilizan más de un proveedor de servicios en la nube (CSP) junto con una infraestructura local. Esto deja a los equipos de cumplimiento estancados en interminables hilos de correos electrónicos y reuniones mientras trabajan con un inventario de activos que probablemente quede obsoleto casi en cuanto se cree.
Aunque los equipos de cumplimiento se lleven la peor parte del trabajo, el cumplimiento tampoco es una tarea fácil para los equipos de DevOps e infraestructura. Frecuentemente se ven inmersos en una lucha por obtener información detallada sobre sus recursos en la nube.
Sin una visión centralizada de la arquitectura de la nube, los equipos de cumplimiento no pueden observar múltiples nubes ni monitorear los cambios frecuentes en las configuraciones de las aplicaciones a medida que se ejecutan. Resulta aún más difícil aislar los problemas de cumplimiento, como un servicio Lambda de exposición pública o una gestión de accesos inadecuada, por no hablar de priorizar cuál de ellos debe corregirse primero.
Aprender a amar las auditorías con la CNAPP
Una plataforma de protección de aplicaciones nativas en la nube (CNAPP) de gran calidad que abarque la gestión de la configuración de la infraestructura, la visibilidad multinube centralizada y la elaboración de informes personalizables puede aliviar gran parte del trabajo de los equipos en materia de cumplimiento. Además, la buena CNAPP no se limita al cumplimiento, sino que refuerza la postura de seguridad de la organización de acuerdo con las prácticas recomendadas. Porque, como muchos profesionales de la seguridad experimentados saben, demostrar el cumplimiento es solo una parte de una estrategia de seguridad integral. Puede que consiga pasar las auditorías, pero, si no se mantiene al tanto de las prácticas recomendadas nuevas y emergentes, su postura de seguridad en la nube se verá afectada. La CNAPP ideal equilibrará el cumplimiento y las prácticas recomendadas de seguridad, y ofrecerá las cuatro capacidades siguientes:
1. Amplitud y profundidad del alcance normativo
La solución contemplará una amplia gama de prácticas recomendadas de seguridad, así como las principales normas de la industria y de cumplimiento. Estos incluyen los siguientes:
- Evaluaciones comparativas de organismos, tales como el Center for Internet Security (CIS), la Organización Internacional de Normalización (ISO) y el Instituto Nacional de Estándares y Tecnología (NIST).
- Pautas de la industria, tales como el Estándar de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) y el Control de Organizaciones de Servicios (SOC) Tipo 2 del Instituto Americano de Contadores Públicos Certificados (AICPA).
- Regulaciones tales como el Reglamento General de Protección de Datos (RGPD) y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA).
Asegúrese de que las normas que debe seguir estén incluidas en las plantillas que proporciona la plataforma y que se actualicen con frecuencia. Además de contar con una amplia gama de normas y políticas listas para usar, la solución también permitirá que los usuarios las adapten en función de sus necesidades cambiantes, que podrían no corresponder a ninguna de las categorías de cumplimiento vigentes.
2. Correlación entre el cumplimiento y la nube
El contexto es importante para la seguridad y el cumplimiento. Debe poder asignar con facilidad cada norma a configuraciones específicas de la nube, recursos en la nube y políticas de actividad en la nube, y al mismo tiempo proporcionar un inventario claro del estado de cumplimiento por activo o cuenta. Por ejemplo, un servicio Lambda de Amazon Web Services (AWS) que esté expuesto públicamente podría estar eludiendo las normas del programa STAR de Cloud Security Alliance (CSA), los marcos ISO y NIST o infringiendo las regulaciones de cumplimiento. El hecho de contar con este nivel de detalle en su CNAPP puede ayudarle a desglosar las áreas en las que podría estar incumpliendo las normas y a corregirlas rápidamente mediante la automatización incorporada.
3. Monitoreo constante
No se debería tardar una semana laboral para comprender su situación en relación con las normas y las prácticas recomendadas de la industria. Las soluciones como Tenable Cloud Security verifican constantemente todo el entorno en comparación con marcos y evaluaciones comparativas para garantizar el cumplimiento e identificar desviaciones y anomalías. Usted ―y cualquiera de sus partes interesadas― tiene que poder ver el estado de cumplimiento en cualquier momento y sin tener que esperar a auditorías extenuantes. Los retrasos en el monitoreo lo dejan vulnerable ante los agentes maliciosos.
4. Flexibilidad en la elaboración de informes
La CNAPP le ayudará a demostrar el cumplimiento a los auditores mediante la visibilidad y la elaboración de informes flexibles para todos los niveles de la organización. Por ejemplo, su herramienta le permitirá ver la postura de seguridad y el cumplimiento de toda la organización, pero también le permitirá desglosar cuentas y proyectos específicos para generar fácilmente informes de cumplimiento para auditores internos y externos.
Conclusión
Lograr el cumplimiento en la nube comienza adaptando las pautas de cumplimiento a la realidad de la arquitectura en la nube. Para poder llevar a cabo las tareas de monitoreo, elaboración de informes y corrección que requiere el cumplimiento, es fundamental saber con qué activos en la nube cuenta, a qué tipos de vulnerabilidades son susceptibles y cómo se relacionan con las pautas de auditoría. Después de correlacionar su entorno, puede pasar al monitoreo automatizado con base en políticas de cumplimiento o personalizadas. Por último, puede generar un informe automatizado que le permita demostrar el cumplimiento a los auditores. Tenable Cloud Security puede ayudarle a hacer todo esto para reducir los obstáculos que dificultan el cumplimiento y aprender a amar las auditorías de seguridad.
Para obtener más información sobre Tenable Cloud Security o solicitar una demostración, visite la página del producto Tenable Cloud Security: https://es-la.tenable.com/products/tenable-cloud-security.
Artículos relacionados
- Cloud
- Compliance
- Cloud
- Exposure Management