La Oficina del CISO de Google señala el camino hacia la escalabilidad de la seguridad
Las experiencias de Amazon, Google y Microsoft en la construcción de infraestructuras masivas para el mundo permiten obtener algunas ideas fascinantes sobre el futuro de la seguridad de TI a escala. Como resultado, cuando Google publicó La guía del CISO para la transformación de la seguridad en la nube a principios de este año, tenía curiosidad sobre las prioridades que veían en la seguridad de la nube. Es una lectura corta y vale la pena el tiempo invertido en descargar una copia.
Quiero compartir mis observaciones sobre algunos de los puntos más interesantes que se alinean con mis propias experiencias y pensamientos.
Culturas de Seguridad
Las seis «culturas» principales se clasifican para capturar de manera sucinta varias perspectivas importantes sobre la seguridad: Seguridad por defecto, Responsabilidad, Conciencia, Inevitabilidad, Revisión y Sostenibilidad. En el modo de pensamiento de seguridad tradicional, conceptos como responsabilidad, conciencia y revisión son muy conocidos y entendidos, pero la idea de seguridad por defecto e inevitabilidad ofrecen una visión casi nihilista que muy pocos en el sector han adoptado.
La idea de que debe actuar teniendo en cuenta la seguridad todo el tiempo y aún así esperar que falle a veces es algo que requiere reconocimiento de la misma manera en que abordamos la salud y la seguridad en el «mundo real». Por ejemplo, construimos mecanismos para brindar seguridad en todo momento y al mismo tiempo incluimos métodos adicionales para reducir los efectos negativos cuando algo sale mal. Como un ejemplo más concreto, hace tiempo que aceptamos la idea de que deberíamos tener materiales resistentes al fuego y retardadores de fuego en nuestros hogares y oficinas, pero eso no significa que renunciemos a tener extintores y planes de escape como precauciones adicionales para reducir el daños en el caso de que las protecciones no consigan prevenir todo incendio.
Seguridad de superescalado
En el tema de la escala, el concepto de área de superficie reducida frente a la escala masiva de las operaciones en línea también muestra cómo es importante reevaluar algunos procesos tradicionales. Durante demasiado tiempo, hemos adoptado un enfoque de la seguridad de TI que depende del mantenimiento de infraestructuras pequeñas y manejables que simplemente no reflejan el nivel de demanda de los sistemas de TI actuales. Como hemos superado estas soluciones de «servidor único», en muchos casos nuestros métodos para administrar y proteger la nueva expansión de la infraestructura no se han ampliado proporcionalmente, con métodos manuales mal adaptados que consumen muchos recursos humanos y, por lo tanto, resultan inadecuados para proteger a estos más grandes. infraestructuras independientemente de si están en las instalaciones o basadas en la nube. El cambio a una nube siempre segura que el proveedor actualiza constantemente con funciones de seguridad habilitadas de forma predeterminada tiene mucho sentido, especialmente cuando se trata de reflejar un mundo con no solo variaciones masivas entre la escala de la infraestructura del servidor implementado sino también una diversa variedad de amenazas que operan contra las pequeñas, medianas y grandes empresas.
Como resultado de los desafíos que plantea la escala, la idea de implementar y administrar la infraestructura como código también tiene mucho más sentido. La adopción de décadas de refinamientos de enfoques inteligentes para las pruebas, la compartimentación de componentes y otras metodologías que han hecho que el desarrollo de software sea más sólido que nunca se convierte en una forma lógica de administrar la infraestructura. Cuando este enfoque para implementar la infraestructura se convierte en la norma, también lo puede ser la idea de integrar la seguridad en cada actividad de implementación. Con un modelo sólido implementado, obtener seguridad desde el principio garantiza no solo una postura de «seguridad por defecto», sino también un mejor reconocimiento y aceptación de la seguridad desde el principio.
Funciones y responsabilidades
Finalmente, la idea de refinar aún más los roles de seguridad en la nube es algo que debe explorarse seriamente. Desde la gestión de políticas y riesgos hasta la garantía de la seguridad, es importante reconocer que la infraestructura de la nube puede provocar una serie de cambios significativos en las funciones de las personas involucradas en la seguridad, lo que a su vez requiere inversiones de tiempo adicionales dentro de las organizaciones.
Más allá de los roles específicos de seguridad, la seguridad dentro de las interfaces de ingeniería de infraestructura y aplicaciones también debe ajustarse al adoptar o expandirse en la nube. Como tal, es alentador ver el documento técnico de Google que destaca la importancia de la educación para garantizar que todos puedan desempeñar un papel, lo que fortalece aún más el compromiso de permitir que las personas trabajen con seguridad de forma predeterminada.
Perspectivas del CISO
Hay más información sobre seguridad en el documento técnico que la que he cubierto aquí, incluidos algunos comentarios útiles sobre el diseño de su modelo operativo de seguridad. Juntas, estas ideas lo convierten en una valiosa pieza de lectura. Para mí, estaré atento a las seis «culturas» en las próximas semanas, meses y años.