Un equipo cibernético integrado en la nube puede evaluar una serie de riesgos asociados con el viaje a un entorno de nube y construir seguridad por diseño
Muchas organizaciones que migran a la nube lo están haciendo mientras consideran la ciberseguridad como un ejercicio integral al final del proceso. Tal enfoque pierde una oportunidad crítica para desarrollar requisitos sin fricción, incluidos los relacionados con una multitud de riesgos y regulaciones, e incorporarlos en el proceso de desarrollo.
Un enfoque integrado para una estrategia de migración a la nube puede promover la agilidad y la resiliencia al tiempo que fomenta la confianza del consumidor. Un equipo combinado de nube y ciberseguridad puede implementar un modelo operativo que aproveche la colaboración, la coordinación y la implementación a través de controles, riesgos y cumplimiento para incorporar seguridad en la infraestructura de TI por diseño.
La migración a la nube puede reducir ciertos riesgos de seguridad de la infraestructura asociados con entornos de TI heredados y locales. El cifrado, el registro, las redes privadas, la supervisión, las protecciones distribuidas de denegación de servicio, los parches automatizados y otros elementos a menudo están integrados en los entornos de nube para reducir los riesgos de seguridad.
Sin embargo, muchos sistemas y aplicaciones migrados no fueron diseñados para operar en línea. Como tal, antes de que comience la transición, las organizaciones pueden realizar una evaluación de madurez de riesgo cibernético para entender una multitud de riesgos y considerar estrategias de remediación.
Riesgo tecnológico
Comprender el riesgo tecnológico es crítico, y las evaluaciones de riesgo a veces revelan sorpresas para las organizaciones que creían que sus sistemas estaban bien protegidos. La gestión del riesgo tecnológico requiere un equilibrio de comprensión de la tecnología existente y futura, que es una fortaleza de un equipo integrado de migración de la nube y cibernética. Las organizaciones pueden centrarse en cuatro áreas importantes para evaluar los riesgos tecnológicos y desarrollar respuestas de mitigación.
Plataformas locales heredadas, aplicaciones. Si bien estos activos pueden parecer seguros debido a un mayor control y proximidad física, pueden albergar vulnerabilidades desconocidas y podrían ser desafiados por los estándares de seguridad modernos. Los equipos de seguridad pueden buscar vulnerabilidades en sistemas operativos, centros de datos, aplicaciones y middleware.
Brecha de talento tecnológico. Los conjuntos de habilidades de talento tecnológico existentes que van desde lenguajes de codificación obsoletos hasta funciones como la administración de servidores pueden no coincidir con las necesidades de seguridad en la nube. Las organizaciones pueden reasignar el talento existente para alinearse con las nuevas funciones paralelas y volver a capacitar a los miembros de la fuerza laboral para lograr una experiencia de codificación relevante. También pueden lograr la certificación en la plataforma de proveedores de nube requerida, incluidas sus funciones de seguridad.
Continuidad del negocio, recuperación ante desastres. Muchos sistemas heredados no se construyeron teniendo en cuenta la continuidad moderna del negocio y los planes de recuperación ante desastres. Las organizaciones podrían considerar el uso de la migración a la nube como una oportunidad para actualizar la continuidad del negocio y los planes de recuperación ante desastres y adquirir capacidad en la nube para la conmutación por error de recuperación ante desastres.
Configuraciones erróneas. Estos pasos técnicos en falso pueden crear un punto de entrada para los actores maliciosos, lo que conduce al riesgo en el almacenamiento en la nube, la base de datos y otros servicios. Las organizaciones pueden implementar soluciones de monitoreo de cumplimiento para buscar nuevas configuraciones, como un puerto abierto y no autorizado que pueda exponer la red al riesgo.
Riesgo regulatorio
Al evaluar a los proveedores de nube y antes de migrar datos o cargas de trabajo, las organizaciones pueden reunir a los equipos de nube y ciberseguridad para considerar cuatro áreas regulatorias esenciales que probablemente afectarán los flujos de trabajo de datos posteriores y la configuración del sistema.
“Al evaluar a los proveedores de la nube y antes de migrar datos o cargas de trabajo, las organizaciones pueden reunir a los equipos de nube y ciberseguridad para considerar cuatro áreas regulatorias esenciales que probablemente afectarán los flujos de trabajo de datos posteriores y la configuración del sistema”.
Regulaciones de gobernanza de datos. Las regulaciones gubernamentales de protección de datos y privacidad requieren un marco de gobernanza que aborde la propiedad y retención de datos, la respuesta y coordinación de brechas, y la necesidad de una estrategia de nube multinacional. Dado que muchas jurisdicciones tienen leyes de protección de datos separadas, las organizaciones pueden necesitar considerar la necesidad de armonización regulatoria.
Marcos basados en la industria. Industrias como la atención médica, los servicios financieros, la educación y las telecomunicaciones tienen leyes y marcos adicionales que regulan las políticas de gobernanza de datos, añadiendo complejidad.
Estándares tecnológicos más amplios. Los estándares de ciberseguridad protegen el entorno cibernético, incluidos los usuarios, las redes, los dispositivos, el software, los procesos, las aplicaciones, los servicios y los sistemas.
Marcos del gobierno de EE. UU. Las agencias gubernamentales que utilizan tecnologías modernas en la nube se enfrentan a requisitos adicionales al determinar la seguridad y protección de la información federal. Algunos marcos agregan restricciones a los datos de exportación que se comparten fuera de los Estados Unidos o requieren segmentación de datos adicional y controles de seguridad.
Una revisión de los requisitos de riesgo regulatorio realizada por un equipo colaborativo de nube-ciber puede mejorar la comprensión de los marcos de datos existentes, los riesgos relevantes y las especificaciones tecnológicas requeridas para mejorar la selección de proveedores de nube, las negociaciones de acuerdos a nivel de servicio y la contratación.
Insider, riesgo de la cadena de suministro
Un programa de riesgo cibernético en la nube puede considerar las amenazas internas y la cadena de suministro de la organización como vectores de amenaza específicos. Este enfoque puede equilibrar la seguridad y la confianza dentro y fuera de la organización y ayudar a prevenir posibles fugas y derrames de datos.
La actividad de migración a la nube podría intersecarse con el riesgo interno mediante el uso compartido de acceso acreditado o la creación de un punto de acceso de red abierto. Los corredores de seguridad de acceso a la nube que monitorean la pérdida de datos y aplican controles en un entorno multinube están en aumento. Pueden ayudar a las organizaciones a mejorar su gestión de las amenazas internas y monitorear la prevención de pérdida de datos, que muchas organizaciones consideran un elemento importante de la seguridad en la nube.
La gestión del riesgo cibernético requiere que las organizaciones miren hacia adentro y hacia afuera los diferentes riesgos internos y vulnerabilidades potenciales a lo largo de las cadenas de suministro. Esta evaluación se puede lograr mediante un equipo integrado en la nube y el cibernética, con visibilidad, transparencia, comunicación, colaboración y ejecución de un programa de cumplimiento integrado. A medida que la tecnología continúa evolucionando, siguen surgiendo procesos y enfoques nuevos e innovadores para automatizar y aliviar la carga del monitoreo moderno del cumplimiento.
—por Deborah Golden, directora y U.S. Líder de Riesgo Ciber y Estratégico, Vikram Kunchala, director y U.S. Líder de Cyber Cloud para Cyber & Strategic Risk, Bhavin Barot, director, y Ritesh Bagayat, gerente senior, todos con Deloitte Risk & Financial Advisory, Deloitte & Touche LLP; Amod Bavare, director en ingeniería de la nube, Deloitte Consulting LLP; y Diana Kearns-Manolatos, gerente senior, y Jay Parekh, analista senior, Deloitte Center for Integrated Research, Deloitte Services LP
Este es el tercero de tres artículos sobre cómo los programas de migración a la nube pueden considerar una estrategia de nube de avance cibernético. Vea también: Seguridad por diseño: Un nuevo modelo para la nube, Cyber. Y próximamente: “Un marco de control para la seguridad integrada en la nube”.
Fuente. https://deloitte.wsj.com/riskandcompliance/2021/05/28/risk-management-for-cloud-migration/
