Cinco consideraciones para proteger la infraestructura en la nube

  • Vídeos

La industria financiera está adoptando de forma masiva los servicios cloud, pero aún los flujos de datos son inciertos y los impactos regulatorios no están claros. Check Point señala cinco áreas clave para las empresas financieras en este contexto.

Recomendados: 

Cómo abordar la complejidad de un programa de Gestión de Identidades y Gobernanza Leer 

Gestión de identidades en la Educación Superior Leer 

Los proveedores de servicios cloud han ampliado sus ofertas a dominios específicos de la industria. AWS Financial Services y Azure for Financial Services son buenos ejemplos de cómo los players están tratando de atraer a las industrias para que trasladen funciones comerciales más esenciales a plataformas cloud y así mejorar la seguridad y el crecimiento.
 
Si bien la industria de los servicios financieros está adoptando estos servicios, todavía hay preocupaciones crecientes en lo tocante a la migración. Por ejemplo, la visibilidad es un problema constante dada la enorme variedad de arquitecturas y enfoques posibles a la hora de implementar y administrar la tecnología dentro de la nube. Los flujos de datos son inciertos y los impactos regulatorios no están claros. Además, los líderes de seguridad deben confirmar que una nueva adopción no introduzca riesgos y amenazas a los sistemas esenciales.
 
En este contexto, Check Point señala cinco áreas clave para la mayoría de las empresas de servicios financieros: 
 
1. Implementaciones de múltiples nubes
La decisión de trabajar con una “solución cloud” rara vez involucra a un solo proveedor o aplicación. Pasar a la nube generalmente significa integrar los sistemas heredados en otros alojados en cloud, a veces en múltiples entornos, para proteger los datos y brindar seguridad a los componentes de cara al público.
 
Así, los entornos mixtos se han vuelto muy comunes hoy, dejando menos válidas las medidas de seguridad tradicionales para las implementaciones de nubes privadas, públicas e híbridas. Por ejemplo, muchas estructuras adoptan enfoques hiperhíbridos que involucran arquitecturas creativas para maximizar la confidencialidad y la disponibilidad. De forma similar, los sistemas de cara al público se colocan en entornos SaaS a través de múltiples proveedores públicos para la redundancia, con sus funciones de backend (centrales) alojadas en centros de datos privados. Además, muchas empresas están utilizando herramientas y capacidades con diferentes modelos de implementación (por ejemplo, proveedores de IaaS y PaaS), lo que da como resultado entornos mixtos de nube dentro de las fases de desarrollo o ciclo de vida administrativo de una red. De modo que son pocos los sistemas que residen en una sola plataforma.
 
Por otro lado, la tríada de seguridad tradicional de confidencialidad, integridad y disponibilidad ahora es significativamente más compleja cuando se tiene que abordar una arquitectura multicloud. Por ejemplo, cuando se trata de protección de datos, es posible que deba cumplir con varias regulaciones específicas de cada país si el sistema se encuentra en varias ubicaciones físicas. La disponibilidad de los servicios durante el tiempo de actividad en un entorno de este tipo también puede resultar difícil. Aparte, hay que garantizar la integridad de las organizaciones mediante varios proveedores, lo que puede requerir una reorganización para abordar las limitaciones técnicas subyacentes.
 
En cuanto a seguridad, la arquitectura de nube compleja no niega las medidas tradicionales, como el cifrado, la gestión de identidad y acceso, la copia de seguridad y la supervisión. Pero a menudo complica mitigaciones, como la autenticación de inicio de sesión único y los controles de seguridad física. Además, los límites del sistema pueden ser difíciles de trazar, lo que hace que la comprensión del flujo de datos sea aún más importante cuando se trata del cumplimiento normativo. Por último, la gestión de riesgos, que es la base de la mayoría de las evaluaciones de cumplimiento, debe poder abordar también entornos complejos multicloud.
 
2. Cumplimiento
Las regulaciones definen el entorno de trabajo de una organización de servicios financieros, y la adopción exitosa de soluciones en la nube debe poder cumplir con unos requisitos siempre en evolución. Muchos proveedores son muy conscientes de esto y proporcionan paneles e informes para ayudar a las organizaciones a lograr esta meta mediante varios controles. Sin embargo, como han descubierto varias empresas, las funciones de cumplimiento de un proveedor cloud no garantizan el citado cumplimiento. Esta desconexión suele ser el resultado de un enfoque competitivo entre el proveedor de la nube (que busca proporcionar una plataforma coherente para varios clientes) y su organización (que intenta utilizar la nube dentro de las limitaciones de su programa de cumplimiento).
 
Es probable que las firmas financieras ya estén familiarizadas con varias regulaciones, como AICPA-SOC2, Payment Card Industry (PCI-DSS), GDPR de la UE y CCPA de California. Todos estos requieren el cumplimiento auditado de los controles técnicos que rigen, por ejemplo, el procesamiento de datos, la seguridad y la gestión de proveedores. Es importante que el proveedor se asegure de que su infraestructura y las aplicaciones cloud se adhieran a la versión más reciente de un requisito de cumplimiento. Es incluso mejor si puede personalizar los conjuntos de reglas y las políticas.
 
3. DevSecOps
Junto con la aceptación de los servicios en la nube por parte de la industria financiera, también ha habido un aumento en el uso de la metodología DevOps, y las ventajas de este enfoque se anuncian como un medio para mejorar la velocidad de las versiones y actualizaciones de aplicaciones.
 
DevSecOps introduce la integración de la seguridad en el proceso de "canalización" para construir> probar> lanzar> implementar> operar y monitorear el código y la infraestructura de manera rápida. Los "pasos de la tubería" pueden mejorar considerablemente la velocidad, así como la eficiencia y el cumplimiento si se hacen bien.
 
Si su organización aún no está siguiendo el enfoque de DevSecOps, lo primero es reconocer que se necesita tiempo para implementarlo. Luego, tenga en cuenta estas prácticas recomendadas:
 
Examine sus procesos actuales para el desarrollo de aplicaciones, actualizaciones y lanzamientos de infraestructura. Para la codificación, el ciclo de vida de desarrollo tradicional debe trasladarse a sprints más cortos, con un mayor énfasis en la construcción de requisitos de seguridad en la fase de requisitos. Para la infraestructura, automatice el proceso de creación y lanzamiento, incluidas las actualizaciones de parches y las pruebas de seguridad.
 
Mueva el control de calidad y las pruebas de vulnerabilidad al principio del ciclo de lanzamiento. Esto ayudará a reducir las instancias de versiones fallidas debido a cambios inesperados en bibliotecas integradas, parches o actualizaciones.
 
Asegúrese de que los requisitos de cumplimiento estén integrados en los requisitos para el desarrollo y la automatización de la infraestructura cuando sea posible. Esto proporcionará una mejor garantía de que las actualizaciones no provoquen que un sistema no cumpla con las normas.
 
Practique y mejore el proceso de canalización de forma continua para integrar mejor el enfoque DevSecOps en su cultura corporativa y mejorar la eficacia de los recursos y la resistencia de la organización.
 
Si bien el valor del enfoque DevOps es atractivo debido a su alta velocidad y automatización, se debe tener mucho cuidado con su diseño e ingeniería, ya que una canalización puede aplicar un cambio a la base de código y llevarlo a producción con un solo clic. La automatización debe examinar correctamente el código en busca de vulnerabilidades y asegurarse de que éste no utiliza ni implementa características y funciones inseguras. También tiene que asumir que la integración con otro código no romperá el sistema a través de alguna inconsistencia no reconocida previamente. Se requiere, por tanto, un proceso de verificación que "ralentice" la tubería lo suficiente como para detectar problemas, amenazas y errores para así confirmar que la estructura sigue siendo funcional, aceptable y compatible.
 
4. Controles y Visibilidad
Si bien la migración a la nube es buena para los negocios, el impacto operativo del uso de los recursos de cloud es un desafío. Los proveedores tienen una amplia gama de sofisticación técnica y herramientas asociadas para la administración y gestión; sin embargo, el impacto operativo de diferentes funcionalidades puede convertir el cumplimiento normativo en un verdadero quebradero de cabeza.
 
Los equipos de SecOps de hoy necesitan herramientas para abordar esta nueva complejidad: administrar entornos de nube, reducir los desafíos técnicos y de seguridad y cumplir con los requisitos de cumplimiento.
 
5. Seguridad de la aplicación
Muchas organizaciones de servicios financieros están utilizando aplicaciones modernas basadas en la web que compilan varios tipos de datos, lo que las convierte en un objetivo principal para los piratas informáticos. Además, estas aplicaciones introducen un conjunto completamente insólito de consideraciones de seguridad, incluido el uso de múltiples API para proporcionar funciones importantes como comunicaciones, administración de encriptación y encriptación, y autenticación sólida.
 
En una infraestructura de red tradicional, la seguridad de las aplicaciones dependía en gran medida de la red en la que se ejecutaba, con control de acceso, copias de seguridad de datos e implementaciones controladas dentro de la empresa. Pero para las organizaciones orientadas a la nube, el modelo debe cambiar. Las redes ya no se ejecutan en un único sistema operativo con puntos estáticos, por lo que las aplicaciones cloud están diseñadas para ejecutarse sin asumir la seguridad de red tradicional. Así, mecanismos como el equilibrio de carga virtual o los firewalls virtuales presentan una complejidad arquitectónica mayor, lo que conlleva nuevos riesgos para la seguridad.
 
De modo que, las organizaciones deben adoptar un tipo de desarrollo de aplicaciones que genere conciencia de seguridad directamente en éstas y proporcione acceso granular a la citada aplicación al mismo tiempo que la protege contextualmente contra ataques.
 
Conclusión
La industria financiera ha avanzado mucho en la adopción de servicios en la nube. El desafío para las empresas es comprender adecuadamente las consideraciones necesarias no solo para migrar, sino también para prevenir amenazas y mantener el cumplimiento normativo y, al mismo tiempo, ser ágiles en el mundo actual. Las cinco áreas discutidas brindan a las organizaciones una guía de lo que debe examinarse al evaluar e implementar estas nuevas tecnologías para que se pueda garantizar adecuadamente tanto la seguridad como el cumplimiento.