Cumplimiento normativo en la nube: lo que necesita saber
Cualquiera que lea esta publicación habrá al menos sumergido los dedos de los pies en el mundo de los servicios en la nube. Como resultado de este crecimiento masivo, el mundo del cumplimiento ha pasado gran parte de la última década poniéndose al día con las implicaciones de los servicios en la nube.
Para la infraestructura alojada, «ponerse al día» presenta un conjunto interesante de desafíos, ya que los entornos administrados en la nube a menudo se actualizan más rápidamente y es posible que solo ofrezcan opciones limitadas para administrar su área de superficie de seguridad. Pero eso no significa que las organizaciones puedan afirmar que están seguras solo porque un proveedor de servicios en la nube de buena reputación mantiene o administra sus datos. Afortunadamente, la mayor parte del mundo de la seguridad es muy consciente de esto y, en consecuencia, la mayoría de los proveedores de políticas de cumplimiento han dado un paso adelante para ayudar a proteger las cargas de trabajo en la nube.
Organizaciones de cumplimiento y estándares para la nube
Para aquellos que recién están comenzando o están pensando en madurar su postura de seguridad, puede que no esté claro cuáles son los requisitos de cumplimiento exactos para fortalecer sus entornos a medida que se trasladan a la nube, la realidad es que la mayoría de las organizaciones del mundo tradicional de TI de cumplimiento han ampliado su cobertura para considerar cómo se ve la seguridad en la era de la computación en la nube, que incluye:
COBIT
“COBIT es el acrónimo de Control Objectives for Information and Related Technologies. El marco COBIT fue creado por ISACA (la Asociación de Auditoría y Control de Sistemas de Información, una asociación profesional internacional enfocada en el gobierno de TI) para cerrar la brecha crucial entre los problemas técnicos, los riesgos comerciales y los requisitos de control”.
FedRAMP
“El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) es un programa del gobierno federal de los Estados Unidos que proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y el control continuo de los productos y servicios en la nube”.
NESA
La Autoridad Nacional de Seguridad Electrónica (NESA), la autoridad federal de los Emiratos Árabes Unidos (EAU) encargada de fortalecer las medidas de seguridad cibernética de la nación, está dando grandes pasos para proteger los sectores críticos contra los ataques cibernéticos.
NIST sp800-171/sp800-53
– NIST SP 800-171 es una publicación especial de NIST que proporciona requisitos recomendados para proteger la confidencialidad de la información no clasificada controlada (CUI). Los contratistas de defensa deben implementar los requisitos recomendados contenidos en NIST SP 800-171 para demostrar su provisión de seguridad adecuada para proteger la información de defensa cubierta incluida en sus contratos de defensa.
PCI DSS
“El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de estándares de seguridad diseñados para garantizar que TODAS las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantienen un entorno seguro”.
medias
“Parte de los controles internos de SOX incluye los procedimientos de TI de una empresa, incluidos elementos como quién tiene acceso a qué datos, dónde y cómo se almacenan los datos, cómo se mantiene la integridad de los datos, etc.”
Muchos de estos nombres ya les resultarán familiares a aquellos que han buscado pasar una auditoría de cumplimiento para la infraestructura local, por lo que tal vez no sea sorprendente que muchas de estas organizaciones de políticas ofrezcan cobertura para sistemas operativos en la nube como Amazon Linux, un componente clave. en entornos de servidor de AWS. Casi todos los proveedores de pólizas también cubren una cobertura similar para Microsoft y sus siempre populares sistemas operativos Windows Server.
Cumplimiento: comenzar el viaje
Entonces, ¿qué hay que considerar una vez que haya identificado cuáles son sus objetivos de cumplimiento y se haya expandido a la nube? La primera consideración importante es que, si bien muchos proveedores de nube admitirán una serie de controles de seguridad y configuraciones de mejores prácticas listas para usar que lo ayudarán a protegerlo, la mayoría de las políticas de cumplimiento sugerirán regímenes más estrictos que los «predeterminados» para garantizar que sus datos se mantiene aún más seguro y lo mantiene del lado correcto de la ley.
Sin embargo, comenzar con el cumplimiento de la política no tiene por qué ser difícil y poner en marcha esas configuraciones reforzadas puede llevar menos tiempo de lo que piensa al principio. Las herramientas automatizadas para evaluar e incluso guiarlo sobre cómo resolver áreas de su configuración que no cumplen están ampliamente disponibles y pueden brindarle una ventaja significativa en comparación con las verificaciones manuales de cumplimiento en máquinas individuales, especialmente a medida que crece su carga de trabajo en la nube.
Cumplimiento – Regulación y Riesgo
Si bien el cumplimiento para muchos puede parecer una tarea ardua, en realidad debería estar en la parte superior de sus listas de verificación de seguridad por dos razones principales.
En primer lugar, la regulación a menudo exigirá niveles particulares de cumplimiento para demostrar que lo está haciendo bien y son estos estándares de cumplimiento en los que la regulación a menudo se apoyará para demostrar su compromiso con las mejores prácticas de seguridad.
Pero la segunda razón podría ser la más importante en los entornos de nube de hoy en día: ser atrapado por una auditoría o una infracción puede dañar seriamente su empresa financieramente, así como la confianza en su organización. Una solución basada en la nube y siempre activa no cambia la necesidad de cumplimiento, y es muy probable que los controles que ha visto antes con la infraestructura tradicional sigan siendo igual de importantes o incluso más importantes. Como resultado, realmente no hay excusa para eludir los requisitos de cumplimiento.
En última instancia, evaluar y trabajar para mejorar su cumplimiento con el estándar relevante es un paso clave hacia una buena base de seguridad, y todos deberíamos estar poniéndonos al día en la era de la computación en la nube.