En base a los detalles de la pregunta que preguntan: “¿Qué [es] lo primero que se te ocurre cuando escuchas el término ‘Seguridad en la nube'” , creo que tengo que decir que la respuesta sería:
La mayoría de las personas realmente no entienden qué es Cloud Security, pero tienen muchos enfoques que creen que funcionarán para proporcionarlo.
Y, de manera realista, ese detalle es realmente el problema. La seguridad en la nube es mucho más que los controles porque los controles solo le dicen cómo. No le dicen por qué son los que seleccionó o cuánta “seguridad” realmente necesita para su (s) caso (s) particular (es) de uso de la nube.
- Cloud Computing en 2013: ¿Cuál es la forma más fácil de configurar una nube privada?
- ¿Por qué se inventó la computación en la nube?
- ¿Es seguro guardar datos personales en el almacenamiento en la nube?
- ¿La virtualización realmente está reduciendo los costos para las empresas de TI?
- ¿Cuál es la necesidad de usar trampillas en la computación en la nube?
Ahora hay 33 respuestas (contando las mías), y más del 95% de ellas hablan sobre los controles en lugar de lo que una organización está tratando de lograr mediante el uso de la nube.
Definiendo la nube
Entonces, demos un paso atrás y echemos un vistazo a lo que realmente es “la nube”.
En primer lugar, “la nube” o computación en la nube, desde una perspectiva comercial, es una relación comercial que proporciona una aplicación, función o un lugar para colocar cosas que:
- no controlas físicamente
- realmente no te las arreglas completamente,
- donde paga por esas aplicaciones, funciones y ubicaciones de almacenamiento en función de lo que usa en lugar de lo que su presupuesto CAPEX respaldará este año, al menos en teoría, y
- donde su organización depende completamente de la forma en que un proveedor de nube seleccionado decide que le asignarán recursos, incluido el acceso a esas mismas aplicaciones, funciones y ubicaciones de almacenamiento.
No hace falta decir que esto limita un poco sus opciones de controles de seguridad, independientemente de lo que esté tratando de proteger y habilitar para que los propietarios y usuarios de esas cosas en la nube realmente puedan lograr lo que quieren lograr.
Volveré a eso más tarde.
Definiendo seguridad
Como he dicho antes, una frase cortesía del Sr. David Lynas, uno de los autores de la metodología SABSA, “la seguridad es siempre una función de otra cosa”.
Ese “algo más” es: ¿qué están tratando de hacer realmente las personas que usan la nube? ¿Y por qué pensaron (más allá de la exageración de los proveedores) que emplear la nube en sus organizaciones podría ser algo bueno en primer lugar?
Esos son los objetivos que necesita encontrar, y esos son los objetivos que definirán lo que realmente significa “Seguridad en la nube”.
DESPUÉS DE ESO , puede averiguar qué controles necesita para implementarlo realmente. En la práctica, es menos de lo que piensas, y generalmente está mucho más alejado de lo que usarías en un entorno informático tradicional, alojado o in situ.
Como algunos de los autores de la respuesta han mencionado, fundamentalmente cualquier “nube” se trata de la información que vas a poner en ella, por qué la pones allí y qué quieres hacer con ella una vez que la tienes allí. Mucha gente se enfoca en los datos, pero los datos son un detalle de implementación de la forma en que un sistema particular representa un elemento de información específico, como una factura, la forma más eficiente posible para que los datos requeridos puedan almacenarse y ensamblarse de manera confiable Y lo más rápido posible.
A pesar de lo que la prensa popular (y, desafortunadamente, mucha gente de InfoSec) te haría creer, los datos no son el punto. Es la información que esos 1 y 0 representan realmente lo que es significativo para el negocio.
No me creas, solo pregúntale a la Bolsa de Nueva York (fundada en 1792) si una entrada en el libro mayor de bolígrafo o lápiz, una tira de cinta de teletipo o cualquier dispositivo de almacenamiento SSD es más importante en relación con el precio actual real de cualquier valores. La respuesta que la empresa debería darle es la siguiente:
“¿A quien le importa? ¿Cuál es el precio en este momento?
Si digo que tengo datos que son “42”, que es la representación (probablemente) Unicode de esos dos caracteres, podría ser cualquier cosa. Podría ser “La respuesta” o podría ser el tamaño de mi zapato (UE o BR, por supuesto), o podría ser el número de apartamento de mi ex novia. Si no sé lo que representa, son solo un montón de bits que se encuentran uno al lado del otro en algún dispositivo de almacenamiento, ya sea memoria volátil, almacenamiento secundario o ambos.
¿Qué quiere el negocio con la nube?
No voy a volverme loco aquí porque la mayoría de las personas que leen esto han escuchado todo esto antes. El problema es que cuando normalmente comenzamos a pensar en “seguridad”, obtenemos uno de esos momentos de “Bla, bla, bla, Ginger” y lo desconectamos.
La nube es importante para una organización debido al menos a:
- Reduce mis costos de comprar hardware yo mismo; reduce mi costo de tener personas suficientemente calificadas en la nómina para ejecutarlo; y reduce mis costos de oportunidad (algo) para adoptar y modernizar las aplicaciones, funciones y capacidades de almacenamiento que necesitaré para continuar el negocio;
- Abre el acceso a aplicaciones, funciones y almacenamiento compartido a las personas que los necesitan desde más dispositivos, más ubicaciones físicas y, potencialmente, diferentes canales de acceso;
- Basado en lo anterior, significa que mis equipos (con suerte) no pierden el tiempo copiando, pegando y adjuntando el mismo contenido una y otra vez para que puedan concentrarse más en las tareas que están tratando de lograr;
- Significa (en teoría) que puedo eliminar el gasto en tecnología de mis presupuestos CAPEX y solo pagar lo que necesito, cuando lo necesito para permitirme resolver más fácilmente problemas menos frecuentes, absorber picos estacionales y evitar la interrupción y los costos de las actualizaciones del servicio. ; y
- Tengo acceso a las aplicaciones e interfaces más útiles y productivas creadas por especialistas en lugar de experiencias de usuario torpes, frágiles y poco intuitivas que en última instancia ralentizan el negocio.
Hay otros, pero eso es lo que me viene a la mente casi a medianoche. El análisis rudimentario nos da algunos temas u objetivos (no exhaustivos):
- Previsibilidad de las inversiones y el costo impulsada por el negocio (Atributo: Gestionado por los costos );
- Aplicaciones y procesos actualizados, modernos y más productivos (atributos: utilizable, oportuno );
- Acceso en cualquier momento y en cualquier lugar (Atributos: Disponible, Controlado por acceso, Autorizado ); y
- Escalabilidad bajo demanda (atributos: disponible, escalable ).
Esas cosas de atributos son las partes importantes, porque eso es lo que el negocio realmente quiere ver desde “Seguridad” y, en última instancia, es lo que quieren ver desde la Seguridad de la Nube en la práctica.
Entonces, ¿qué es “Seguridad en la nube” de nuevo?
Son las características, los componentes, las políticas y los contratos, los controles, lo que se necesita para asegurarse de entregar lo suficiente de:
- Disponible;
- Acceso controlado;
- Autorizado;
- Costo gestionado;
- Escalable;
- Oportuno; y
- Usable
Al negocio para que tengan confianza en que “el negocio” puede salir adelante, matar dragones, salvar el Reino y aún estar en casa antes de acostarse para ver Paw Patrol y jugar al fútbol con sus hijos, ya sean mamás o papás: “el negocio “, no los niños.
Para hacer esto, hay algunas preguntas que Cloud Security necesita responder:
- ¿Eres la nube que estoy buscando? (Atributo: Identificado ; Dominio: Internet público )
- ¿Puedes demostrar que eres la nube que estoy buscando? (Atributo: Autenticado ; Dominio: Cloud Provider X )
- ¿Eres alguien que ha sido previamente registrado? (Atributo: Identificado ; Dominio: Organización :: Personas )
- Muéstrame tu identificación, chico. ¿Eres realmente el Bob the Builder? (Atributo: Autenticado ; Dominio: Organización :: Personas )
- etc.
Sin embargo, al final del día, solo tiene a) lo que controla y b) lo que puede influir para trabajar en un entorno Cloud, como siempre.
Lo que controlas:
- Qué proveedores de la nube eliges como proveedores de servicios;
- El precio que está dispuesto a pagar por promesas específicas de disponibilidad, calidad de servicio y elasticidad;
- El rigor se aplicaba a la verificación, validación y prueba de las capacidades del servicio en la nube y los términos bajo los cuales se entregan;
- Quién usa qué aplicaciones, servicios, funciones y almacenamiento; y
- El estado y la estructura de la información presentada al proveedor de almacenamiento en la nube (a veces, por ejemplo, solo se almacenan los datos cifrados de origen para que sean opacos para el proveedor de la nube).
En qué puedes influir:
- Los términos bajo los cuales se entregará esa opción y las sanciones disponibles en caso de que esos términos no se cumplan; y
- ( Gritos chirriando ).
Lo que NO PUEDES controlar:
- La estrategia de negocios y la capacidad de ejecución del proveedor de servicios en la nube, incluyendo fusiones y adquisiciones y desinversiones;
- Las tecnologías elegidas por el proveedor de servicios en la nube (tanto para la implementación como para aquellas respaldadas por los propios servicios);
- Las habilidades técnicas y de seguridad disponibles para el proveedor de servicios en la nube;
- La conectividad del proveedor de la nube con el resto del mundo;
- Los límites de los recursos físicos que sustentan el servicio en la nube;
- Las arquitecturas de seguridad específicas y las implementaciones de control elegidas por el proveedor de seguridad para implementar sus términos de servicio admitidos;
- La forma en que el proveedor de servicios asigna sus recursos físicos que respaldan los servicios en la nube que usted compra;
- La ubicación geográfica de los recursos físicos utilizados para responder a sus solicitudes de servicio; y
- Los requisitos legales y reglamentarios que influyen, limitan y vinculan al proveedor de servicios en la nube y la forma en que procesan, almacenan y responden a sus solicitudes de servicio.
En última instancia, “Cloud Security” es la forma en que cualquier empresa que utiliza servicios en la nube entiende, gestiona, mide y reacciona a todo lo anterior para que puedan lograr el equilibrio adecuado entre costo, riesgo y recompensa para sus propietarios, empleados y las comunidades en las que funcionar.
–
Ayudamos a los equipos de arquitectura de seguridad a trabajar más rápido y a ofrecer resultados mejores y medibles que demuestren de manera confiable a los líderes empresariales que se están haciendo las cosas correctas para mantener segura a su organización.
Si desea ver cómo, ayudaré a uno de sus arquitectos de seguridad GRATIS como parte de nuestro programa de Arquitectura de seguridad de alta velocidad y alto valor. También puedes conectarte conmigo en Archistry, Twitter y LinkedIn.