Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir

Aprendiendo a amar las auditorías y el cumplimiento, sí es posible

Aprenda a amar las auditorías y el cumplimiento en la nube con Tenable Cloud Security

La protección de las cargas de trabajo en ejecución en la nube pública y la observación de las normas de cumplimiento son cuestiones innegociables para la mayoría de las organizaciones. Sin embargo, reunir las capacidades necesarias de visibilidad, correlación y monitoreo frecuentemente es un proceso manual que lleva mucho tiempo. Como resultado, las auditorías y los ejercicios de cumplimiento pueden ocasionar retrasos y ansiedad a los equipos de seguridad y cumplimiento.

En vista de que los requisitos de auditoría y cumplimiento son un dilema conocido en la infraestructura en la nube, "aprender a amarlos" puede parecer más fantasioso que realista. En este blog, analizaremos los desafíos de cumplimiento y seguridad de acceso en la nube y cómo los profesionales de la seguridad pueden aprovechar las herramientas y estrategias adecuadas para que las auditorías sean un juego de niños.

Aunque parezca algo sencillo, lograr el cumplimiento en la nube no se compara con simplemente completar unos cuantos formularios. Si bien algunas normas reglamentarias y prácticas recomendadas tienen instrucciones muy específicas, muchas otras son mucho más abstractas. Una norma abstracta puede exigir el cumplimiento de un objetivo determinado sin explicar cómo hacerlo. En estos casos, nadie sabe qué métodos y herramientas hay que implementar para cumplir la norma ni qué hacer para garantizar su cumplimiento constante.

Uno de los motivos por los que algunas normas son abstractas es que la seguridad no es una práctica universal. Los entornos en la nube, en particular, son multidimensionales y dinámicos, y constantemente surgen vulnerabilidades nuevas. Además, las organizaciones tienen diferentes requisitos de cumplimiento en función de su industria, el tamaño de la empresa y su ubicación. Ni siquiera la lista más larga de instrucciones específicas de cumplimiento podría abarcar todas las situaciones hipotéticas posibles en materia de seguridad.

La compleja mezcla de regulaciones y marcos es solo un aspecto de lo que hace que el cumplimiento de la seguridad sea tan complicado en los entornos de nube. En la mayoría de las organizaciones, muchos equipos y herramientas operan en el ecosistema de la nube de una organización, incluyendo los siguientes:

  • Equipos de infraestructura que desarrollan y mantienen entornos en la nube.
  • Desarrolladores que envían códigos a producción.
  • Profesionales de gestión de identidades y acceso (IAM) que proporcionan nuevos servicios e identidades humanas.

El gran número de partes interesadas que intervienen hace que a los equipos de seguridad les lleve mucho tiempo asignar los detalles básicos de cumplimiento ― como qué recursos se están ejecutando y con qué permisos ― a las evaluaciones comparativas de la industria. Para complicar aún más la situación, muchas organizaciones utilizan más de un proveedor de servicios en la nube (CSP) junto con una infraestructura local. Esto deja a los equipos de cumplimiento estancados en interminables hilos de correos electrónicos y reuniones mientras trabajan con un inventario de activos que probablemente quede obsoleto casi en cuanto se cree.

Aunque los equipos de cumplimiento se lleven la peor parte del trabajo, el cumplimiento tampoco es una tarea fácil para los equipos de DevOps e infraestructura. Frecuentemente se ven inmersos en una lucha por obtener información detallada sobre sus recursos en la nube.

Sin una visión centralizada de la arquitectura de la nube, los equipos de cumplimiento no pueden observar múltiples nubes ni monitorear los cambios frecuentes en las configuraciones de las aplicaciones a medida que se ejecutan. Resulta aún más difícil aislar los problemas de cumplimiento, como un servicio Lambda de exposición pública o una gestión de accesos inadecuada, por no hablar de priorizar cuál de ellos debe corregirse primero.

Aprender a amar las auditorías con la CNAPP

Una plataforma de protección de aplicaciones nativas en la nube (CNAPP) de gran calidad que abarque la gestión de la configuración de la infraestructura, la visibilidad multinube centralizada y la elaboración de informes personalizables puede aliviar gran parte del trabajo de los equipos en materia de cumplimiento. Además, la buena CNAPP no se limita al cumplimiento, sino que refuerza la postura de seguridad de la organización de acuerdo con las prácticas recomendadas. Porque, como muchos profesionales de la seguridad experimentados saben, demostrar el cumplimiento es solo una parte de una estrategia de seguridad integral. Puede que consiga pasar las auditorías, pero, si no se mantiene al tanto de las prácticas recomendadas nuevas y emergentes, su postura de seguridad en la nube se verá afectada. La CNAPP ideal equilibrará el cumplimiento y las prácticas recomendadas de seguridad, y ofrecerá las cuatro capacidades siguientes:

1. Amplitud y profundidad del alcance normativo

La solución contemplará una amplia gama de prácticas recomendadas de seguridad, así como las principales normas de la industria y de cumplimiento. Estos incluyen los siguientes:

  • Evaluaciones comparativas de organismos, tales como el Center for Internet Security (CIS), la Organización Internacional de Normalización (ISO) y el Instituto Nacional de Estándares y Tecnología (NIST).
  • Pautas de la industria, tales como el Estándar de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) y el Control de Organizaciones de Servicios (SOC) Tipo 2 del Instituto Americano de Contadores Públicos Certificados (AICPA).
  • Regulaciones tales como el Reglamento General de Protección de Datos (RGPD) y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA).

Asegúrese de que las normas que debe seguir estén incluidas en las plantillas que proporciona la plataforma y que se actualicen con frecuencia. Además de contar con una amplia gama de normas y políticas listas para usar, la solución también permitirá que los usuarios las adapten en función de sus necesidades cambiantes, que podrían no corresponder a ninguna de las categorías de cumplimiento vigentes.

Normas y estados de cumplimiento compatibles en Tenable Cloud Security.
Normas y estados compatibles en Tenable Cloud Security.
Fuente de la imagen: Tenable Cloud Security.

2. Correlación entre el cumplimiento y la nube

El contexto es importante para la seguridad y el cumplimiento. Debe poder asignar con facilidad cada norma a configuraciones específicas de la nube, recursos en la nube y políticas de actividad en la nube, y al mismo tiempo proporcionar un inventario claro del estado de cumplimiento por activo o cuenta. Por ejemplo, un servicio Lambda de Amazon Web Services (AWS) que esté expuesto públicamente podría estar eludiendo las normas del programa STAR de Cloud Security Alliance (CSA), los marcos ISO y NIST o infringiendo las regulaciones de cumplimiento. El hecho de contar con este nivel de detalle en su CNAPP puede ayudarle a desglosar las áreas en las que podría estar incumpliendo las normas y a corregirlas rápidamente mediante la automatización incorporada.

Tenable Cloud Security permite que los usuarios asignen políticas específicas y su estado a las normas de la industria.
Tenable Cloud Security permite que los usuarios asignen políticas específicas y su estado a las normas de la industria. Si las políticas fallan, se pueden asignar fácilmente tareas de corrección a través de flujos de trabajo de chatops.
Fuente de la imagen: Tenable Cloud Security.

3. Monitoreo constante

No se debería tardar una semana laboral para comprender su situación en relación con las normas y las prácticas recomendadas de la industria. Las soluciones como Tenable Cloud Security verifican constantemente todo el entorno en comparación con marcos y evaluaciones comparativas para garantizar el cumplimiento e identificar desviaciones y anomalías. Usted ―y cualquiera de sus partes interesadas― tiene que poder ver el estado de cumplimiento en cualquier momento y sin tener que esperar a auditorías extenuantes. Los retrasos en el monitoreo lo dejan vulnerable ante los agentes maliciosos.

El tablero de control principal de Tenable Cloud Security muestra los hallazgos actualizados y clasificados por prioridad en todo el entorno,
El tablero de control principal de Tenable Cloud Security muestra los hallazgos actualizados y clasificados por prioridad en todo el entorno, incluyendo la correlación del cumplimiento, los hallazgos abiertos y las combinaciones tóxicas más propensas a que un atacante las aproveche.
Fuente de la imagen: Tenable Cloud Security.

4. Flexibilidad en la elaboración de informes

La CNAPP le ayudará a demostrar el cumplimiento a los auditores mediante la visibilidad y la elaboración de informes flexibles para todos los niveles de la organización. Por ejemplo, su herramienta le permitirá ver la postura de seguridad y el cumplimiento de toda la organización, pero también le permitirá desglosar cuentas y proyectos específicos para generar fácilmente informes de cumplimiento para auditores internos y externos.

Informe automatizado de cumplimiento de SOC-2 en Tenable Cloud Security.
Informe automatizado de cumplimiento de SOC-2 en Tenable Cloud Security. Los usuarios pueden descargar informes de cumplimiento específicos del producto que correlacionan los hallazgos de seguridad con los requisitos de cumplimiento clave y la asesoría de corrección clave.
Fuente de la imagen: Tenable Cloud Security.

Conclusión

Lograr el cumplimiento en la nube comienza adaptando las pautas de cumplimiento a la realidad de la arquitectura en la nube. Para poder llevar a cabo las tareas de monitoreo, elaboración de informes y corrección que requiere el cumplimiento, es fundamental saber con qué activos en la nube cuenta, a qué tipos de vulnerabilidades son susceptibles y cómo se relacionan con las pautas de auditoría. Después de correlacionar su entorno, puede pasar al monitoreo automatizado con base en políticas de cumplimiento o personalizadas. Por último, puede generar un informe automatizado que le permita demostrar el cumplimiento a los auditores. Tenable Cloud Security puede ayudarle a hacer todo esto para reducir los obstáculos que dificultan el cumplimiento y aprender a amar las auditorías de seguridad.

Para obtener más información sobre Tenable Cloud Security o solicitar una demostración, visite la página del producto Tenable Cloud Security: https://es-la.tenable.com/products/tenable-cloud-security.

Artículos relacionados

Noticias de ciberseguridad que le son útiles

Ingrese su correo electrónico y nunca se pierda alertas oportunas y orientación en seguridad de los expertos de Tenable.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Probar Tenable Web App Scanning

Disfrute de accesos de seguridad completos a nuestra última oferta de análisis de vulnerabilidades de aplicaciones web diseñada para aplicaciones modernas como parte de la plataforma Tenable One Exposure Management. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Registrarse ahora.

Su prueba de Tenable Web App Scanning también incluye Tenable Vulnerability Management y Tenable Lumin.

Comprar Tenable Web App Scanning

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Probar Tenable Lumin

Visualice y explore su gestión de exposición, realice un seguimiento de la reducción de riesgos de seguridad en la nube a lo largo del tiempo y compárese con sus competidores con Tenable Lumin.

Su prueba de Tenable Lumin también incluye Tenable Vulnerability Management y Tenable Web App Scanning.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para saber cómo puede ayudarle Tenable Lumin a obtener información de toda su organización y gestionar vulnerabilidades y riesgos cibernéticos.

Probar Tenable Nessus Professional gratuitamente

GRATIS POR 7 DÍAS

Tenable Nessus es el escáner de vulnerabilidad más completo en el mercado hoy en día.

NUEVO - Tenable Nessus Expert
Ahora disponible

Nessus Expert viene con aún más funcionalidades, incluyendo análisis de vulnerabilidades de superficie de ataque externa y la capacidad de agregar dominios y escanear infraestructura en la nube. Haga clic aquí para probar Nessus Expert.

Rellene el formulario a continuación para continuar con la prueba de Nessus Pro.

Comprar Tenable Nessus Professional

Tenable Nessus es el escáner de vulnerabilidad más completo en el mercado hoy en día. Tenable Nessus Professional ayudará a automatizar el proceso de análisis de vulnerabilidades, ahorrará tiempo en sus ciclos de cumplimiento y le permitirá involucrar a su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año.

Seleccione su licencia

Compre una licencia multi anual y ahorre.

Añada soporte y capacitación

Probar Tenable Nessus Expert gratuitamente

GRATIS POR 7 DÍAS

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

¿Ya tiene Tenable Nessus Professional?
Actualice a Nessus Expert gratuitamente por 7 días.

Comprar Tenable Nessus Expert

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

Seleccione su licencia

Compre una licencia plurianual y ahorre más.

Añada soporte y capacitación