Cómo eliminar los obstáculos de seguridad y lograr el nirvana de la nube



Muchos profesionales de la seguridad desvían la atención de la seguridad en la nube y el program como servicio (SaaS) basándose en la suposición errónea de que los proveedores son inherentemente seguros. Si bien la mayoría de los proveedores lo son, la nube es tan flexible y personalizable que cada organización puede abrir puertas diferentes, que son responsables de cerrar. Aquellas que las herramientas de seguridad tradicionales suelen pasar por alto.

Alguno El 89% de las organizaciones tienen una estrategia multinube, con un 48 % usando múltiples nubes públicas y privadas. Para fines de 2021, se estimó que el 99 % de las organizaciones usaría una o más soluciones SaaS. Con tantos recursos ahora en la nube, proteger cada uno de ellos es una responsabilidad compleja.

Los riesgos de seguridad siguen afectando a las organizaciones. Según Varonis «Informe de riesgos de SaaS 2021«el 44 % de los privilegios de los usuarios de la nube están mal configurados y el 43 % de todas las identidades de la nube no se usan y están expuestas a amenazas. Al redimensionar su espacio en la nube, adoptar nuevos controles de seguridad y enfatizar la administración de seguridad de SaaS, puede confiar lo suficiente en su seguridad para Logre el nirvana de la nube: seguridad tan automatizada, intuitiva y sin fricciones que nunca tendrá que pensar en ello Hay tres fases para llegar allí.

Comprenda su huella en la nube

Debe tener una visión estratégica de la seguridad en la nube. El primer paso es realizar un inventario para encontrar qué servicios SaaS están en uso. ¿Qué áreas de negocio dependen de qué servicios SaaS? ¿Qué servicios SaaS son comunes en toda la empresa?

Luego, cree un inventario centrado en dónde se encuentran sus datos más confidenciales. ¿Qué información sale de sus aplicaciones o se intercambia con otras aplicaciones? La siguiente pregunta es: ¿Qué usuarios, recursos y aplicaciones tienen acceso a sus datos? Solo una vez que comprenda su huella en la nube, los datos en la nube y los recursos que acceden a ellos, podrá trabajar para protegerlos.

No se equivoque: la nube y la expansión de SaaS son difíciles de auditar. De acuerdo a Informe reciente de Productiv, el tamaño promedio de la cartera de SaaS es de 254 aplicaciones, pero solo el 45 % de esas aplicaciones se usan con regularidad. Tomar esa inmersión profunda y reflexionar sobre los propósitos comerciales de esas aplicaciones puede identificar algunas formas de reducir el riesgo basic de su organización (y su gasto en SaaS). La auditoría de su huella en la nube es importante para tener una plan clara de su riesgo y para asegurarse de que cumple con las obligaciones de cumplimiento, reglamentarias y de los clientes.

Antes de que pueda comenzar a eliminar los inhibidores de la seguridad de SaaS, debe asegurarse de que está cubriendo todas sus bases. ¿Su ámbito de seguridad incluye la gestión de aplicaciones y datos de terceros? ¿Qué pasa con las políticas reglamentarias o de cumplimiento necesarias para verificar configuraciones incorrectas y anomalías? Si bien la mayoría de las empresas se detienen ahí, es importante tener una cobertura de seguridad profunda para sus aplicaciones SaaS más críticas para el negocio, incluida la detección de amenazas y el monitoreo continuo.

Proteja su huella en la nube

Una vez que comprenda su huella en la nube y dónde se encuentran los datos más confidenciales, debe evaluar si sus datos están protegidos. ¿Existen controles de seguridad apropiados para garantizar todas las capas aplicables de encriptación y enmascaramiento? ¿Solo las personas apropiadas pueden acceder a datos confidenciales? ¿Se escanean las configuraciones de forma regular para detectar configuraciones incorrectas y, lo que es más importante, se corrigen esas configuraciones incorrectas de manera oportuna?

Debe definir controles de seguridad para proteger los datos y las configuraciones. Una vez que haya definido los controles de seguridad, debe replicar el proceso para la multitud de proveedores de SaaS con los que está trabajando en todo su ecosistema.

Además de, digamos, Microsoft 365, probablemente también tenga alguna combinación de Workday, Salesforce, ServiceNow, Atlassian y potencialmente docenas de otras aplicaciones que mantienen su negocio en funcionamiento. Curiosamente, el informe Productiv muestra una relación inversa entre el tamaño de una organización y su compromiso con la aplicación. Las organizaciones más pequeñas, según el informe, interactúan con el 49 % de las aplicaciones, mientras que las empresas solo usan el 39 %.

La fragmentación del mercado de SaaS significa que no solo tiene que considerar múltiples proveedores, sino que todos operan según diferentes estándares y con diferentes niveles de seguridad. Desafortunadamente, no existe un marco común para la seguridad de SaaS.

El Centro para la Seguridad en Internet (CIS) ha desarrollado controles críticos para la nube, pero aún no se han adoptado tan ampliamente como para proporcionar coherencia en toda la industria. Por ahora, necesita visibilidad de la seguridad de cada aplicación SaaS.

Cloud Nirvana: elimine la necesidad de pensar en la seguridad

Acercarse al nirvana de la nube significa encontrar eficiencia a medida que la nube continúa escalando. SaaS lidera el camino en la expansión de la adopción de la nube, y se espera que el gasto de los usuarios finales supere los $ 176 mil millones este año. según Gartnery aumentar casi un 18% el próximo año.

Cumplir con el marco estándar de la industria, como los controles CIS, brindará una imagen más clara de su seguridad SaaS, pero aún hay más que puede hacer. Al adoptar una estructura DevSecOps, involucra a los equipos de seguridad al comienzo del ciclo de vida del desarrollo para que no haya sorpresas ni retrasos en el camino.

Sin embargo, alcanzar el verdadero nirvana de la nube generalmente se logra a través de la administración de seguridad de SaaS que puede monitorear, detectar y proteger contra amenazas. Esto incluye la automatización de la seguridad para una visibilidad instantánea, monitoreo 24/7 y alertas para riesgos de seguridad SaaS comunes como acceso a datos mal configurados, permisos demasiado amplios para cuentas de usuario y datos expuestos.



Enlace a la noticia authentic