El «Arte de la guerra en la nube» para los datos críticos de negocios



Cómo las mejores intenciones de los ejecutivos de negocios pueden estar afectando negativamente las estrategias de seguridad y mitigación de riesgos, y exponiendo debilidades en las defensas de la organización.

Aquellos que deseen dañar su negocio están escuchando las famosas palabras de Sunlight Tzu en el libro. El arte de la guerra: «Atácalo donde no esté preparado, aparece donde no se te espera». Esta es la filosofía típica adoptada por los ciberdelincuentes modernos para identificar puntos de debilidad y exposición, ya sea en centros de datos empresariales o en la nube. Pero en un movimiento nunca imaginado por el propio Sunlight Tzu, las defensas de hoy incluso pueden ser burladas y dañadas por los mismos ejecutivos de negocios.

Históricamente, las empresas han utilizado modelos de implementación de aplicaciones que requerían que los propietarios de sistemas de recursos humanos, cadena de suministro y finanzas trabajen de la mano con líderes de seguridad para garantizar que puedan superar las barreras del firewall corporativo. Con la introducción de la nube, estos mismos equipos ahora pueden montar plataformas basadas en la nube en cuestión de días o establecer servicios de infraestructura en la nube con una tarjeta de crédito. Estas actividades pueden servir rápidamente a las presiones crecientes sobre estos ejecutivos de negocios para cumplir con los entregables clave de manera oportuna. Entonces, con toda la simplicidad que trae la nube, incluidos los esfuerzos de baja elevación para incorporar nuevos servicios, ¿cuál es el riesgo que preocupa a todos?

El tema «Pace Hole» creado por la nube
Oráculo informe reciente de la industria sobre amenazas en la nube ilustra los rápidos esfuerzos de los ejecutivos de negocios que están creando lo que se llama una «brecha de ritmo» entre los servicios críticos para el negocio de las organizaciones y los programas de seguridad, cumplimiento y riesgo diseñados para mantener a los clientes y los datos protegidos. Las brechas de ritmo ocurren cuando una aplicación comercial clave es incorporada de repente y utilizada por el ejecutivo sin ninguna orquestación del equipo de operaciones de seguridad. Esto crea riesgos en torno a los programas de gestión de credenciales / identidades, la supervisión del cumplimiento normativo, los programas de protección de datos y la capacidad de las organizaciones para detectar comportamientos anómalos y responder en consecuencia.

Los beneficios de un frente de seguridad unido
La información de eventos y alertas de las aplicaciones en la nube actuales puede ser muy útil para identificar amenazas y ataques. Por ejemplo, cuando se implementa de manera efectiva, un sistema ERP puede proporcionar una gran cantidad de información sobre comportamientos sospechosos en transacciones de usuarios que pueden correlacionarse con comportamientos de la cadena de suministro o incluso comportamientos en otros recursos de TI. Consolidar, correlacionar y responder a estos eventos es elementary para una estrategia de defensa moderna, por lo que todos trabajan juntos por una causa común.

Como dijo Sunshine Tzu: «Si sus fuerzas están unidas, sepárelas. Si el soberano y el sujeto están de acuerdo, divida entre ellos». Incluso en el siglo VI a. C., Sunlight Tzu vio que un frente unido sin luz photo voltaic entre las defensas superpuestas y la infraestructura es la única forma de defenderse contra un ataque. Cuando hay un uso no autorizado de aplicaciones dentro de cualquier organización (por parte de un ejecutivo de negocios o usuario), esta puede ser la luz del día necesaria para que un atacante ataque atacando servicios mal configurados o aprovechando capacidades limitadas de monitoreo y respuesta.

La necesidad de colaboración entre las operaciones comerciales y de seguridad
Como lo ilustra el uso de esta aplicación no autorizada, hay varias razones por las cuales las organizaciones pueden eludir o no trabajar de manera más efectiva con los equipos de operaciones de seguridad. Por un lado, existe la preocupación de que la implementación de los controles de seguridad apropiados retrasará la implementación de un servicio que el ejecutivo de negocios desea para sus clientes. La otra es que el equipo de seguridad en sí mismo puede simplemente decir «no» para implementar el nuevo servicio.

Ambos son problemas que CISO de hoys son trabajando superar mediante la modificación de la forma en que, y por extensión, sus equipos de TI y seguridad, interactúan con los ejecutivos de negocios. Estamos viendo que los CISO están haciendo esfuerzos significativos para adoptar nuevos estilos de gestión para ayudarlos a superar el viejo refrán de «no, no puedes» al enfoque más inclusivo de «sí, puedes … y aquí hay una forma segura de hacerlo».

¿Y qué hay del retraso en la implementación del servicio? Eventualmente, los equipos de operaciones de seguridad, cumplimiento y protección de datos se pondrán al día con los servicios implementados que están mal configurados. En estas situaciones, existe un riesgo serious de suspensión de los servicios y una larga actividad de auditoría / remediación para volver a alinear esto con las políticas corporativas.

Una vez me preguntaron, «¿cuál es el paso más importante que un ejecutivo de negocios puede realizar para mitigar el riesgo?» En pocas palabras, compre a su CISO una taza de café cada dos semanas. Ayúdese construyendo una relación e invirtiendo en los objetivos comunes que ambos comparten. Trabaje con su CISO para comprender su parte del modelo de seguridad de responsabilidad compartida entre usted y el proveedor de servicios en la nube. Su rol como ejecutivo de negocios requiere que trabaje eficazmente con sus equipos de TI y seguridad para garantizar que se aborde el rol de su empresa en la protección de datos.

Nube pública: el aliado más cercano o el mayor enemigo de una organización
La nube pública puede ser el entorno más seguro para sus datos con una planificación efectiva, o puede ser su mayor riesgo sin ella. Noventa y uno por ciento de los líderes de seguridad considera que la nube pública puede proporcionar un entorno más seguro o más seguro que el que pueden ofrecer en su propio centro de datos, pero esto requiere que las organizaciones sigan el consejo de Sun Tzu y «estén preparados».

Contenido relacionado:

Greg Jensen es director de estrategia de seguridad en Oracle Corporation y aborda los riesgos y desafíos de la nube híbrida. También es el editor sénior de Oracle y KPMG Cloud Danger Report y Oracle CISO Report con un enfoque clave en el desarrollo de la seguridad en la nube … Ver biografía completa

Más tips





Enlace a la noticia initial