Cómo asegurar el entorno cloud con un programa de cumplimiento

La tecnología cloud se está convirtiendo en una pieza clave para muchas empresas, pero cada vez se producen más brechas de seguridad en este tipo de herramientas corporativas. Como señala Eusebio Nieva, director técnico de Check Point para España y Portugal, “en la actualidad, los ciberataques son cada vez más rápidos y sofisticados, por lo que se requieren herramientas automáticas para mejorar la identificación de amenazas y mejorar el tiempo de respuesta y reparación. Esto es especialmente necesario en nuevos entornos de trabajo como la nube, que destacan por su naturaleza cambiante. En este sentido, contar con un programa de compliance de garantía es clave para potenciar la seguridad, el cumplimiento y el control en la nube, ya que permite evaluar riesgos y tomar las medidas de seguridad oportunas”, añade Nieva”.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Si bien el cumplimiento no es una garantía de seguridad en entornos cloud, puede ayudar a tomar un enfoque en la estrategia de ciberseguridad. Los expertos de Check Point señalan que los pasos clave para implementar con éxito cualquier programa de cumplimiento en la nube son:

-- Ganar visibilidad de los activos: Sólo se puede proteger lo que se conoce y se tiene, por lo que es fundamental que todos los sistemas estén correctamente organizados y adaptados para su futura evolución. En este sentido, la automatización de las operaciones en la nube permite hacer inventario y configurar los distintos elementos de los productos.

-- Elección del sistema de cumplimiento adecuado: Los programas de cumplimiento deben ser elegidos en base a las diferentes necesidades del mercado y de la industria. En el caso de las empresas para las que no existen normas de regulación específicas, las necesidades de su base de clientes pueden servir de guía para la elección, ya que puede buscar proveedores que cumplan las normas adecuadas a su propia industria. La elección de normas empresariales comunes, como el SOC2 de la AICPA, puede ser un buen punto de partida.

-- Evaluación inicial, excepciones y personalización: A la hora de analizar cualquier programa de cumplimiento, vale la pena examinar cómo otros han aplicado ciertas soluciones para cumplir con sus requisitos. Por ejemplo, los marcos de trabajo PCI muestran la necesidad de que los componentes específicos del sistema de datos del titular de la tarjeta (en lugar de toda la red o el sistema interconectado) reciban el mayor grado de protección. Esto da lugar a la segmentación y el aislamiento de partes del sistema para aislar los controles de cumplimiento sólo a los sistemas y datos en un determinado ámbito.

-- Monitoreo, frecuencia de las evaluaciones continuas, integración con el flujo de trabajo: La mayoría de los programas de cumplimiento cuentan con controles que deben estar operativos en todo momento, por lo que es necesario supervisarlos continuamente. Para que sea más fácil cumplir con estos requisitos, muchas empresas utilizan herramientas que automatizan el flujo de trabajo y aseguran la eficiencia de sus sistemas.

-- Reparación automatizada: Los sistemas que actúan en la nube son más complejos que los modelos tradicionales. Los controles de alta complejidad, como los sistemas de gran volumen y la detección de vulnerabilidades, se realizan automáticamente para aumentar la eficiencia. Sin embargo, es importante ser cuidadoso con la automatización de las actividades de seguimiento, especialmente en el caso de que se produzcan falsos positivos, ya que esto puede derivar en fallos de seguridad a gran escala.

-- Informes y auditorías: La implantación de la tecnología cloud debe venir acompaña de un sistema o herramienta que permita llevar un control sobre todo lo que sucede y, por tanto, generar informes periódicos que permitan evaluar de regular el rendimiento de todos los elementos que forman parte de la estrategia de ciberseguridad en la nube. De esta forma, se pueden analizar los puntos débiles y trabajar en medidas correctivas.