La evolución de la responsabilidad compartida en la seguridad en la nube

Las empresas
están en conflicto acerca de mover sus datos a la nube. Algunos afirman que uno de los
Las principales razones para mover los datos a la nube son porque son más seguros.
Simultáneamente, una de las principales razones para no
mover datos a la nube se debe a preocupaciones por la seguridad. Que opinión es
¿Derecha? La respuesta no es tan simple.

La mayoría de las
Los profesionales de TI aceptan que muchas características de la seguridad en la nube son mejores que
enfoques locales, pero esta no es la imagen completa. La seguridad es quizás
La faceta más importante de un proveedor de nube empresarial, ya que un incidente podría
conducir a una pérdida catastrófica de negocios. Por lo tanto, pasan mucho tiempo
y dinero protegiendo su propia infraestructura, incluidos centros de datos, servidor
hardware y conectividad a internet. Sin embargo, la imagen tiene más matices que
ese. Los proveedores de la nube no tienen el 100% del conocimiento o las capacidades bajo
su control y, por lo tanto, no puede ofrecer el 100% de seguridad.

La resultante
La ambigüedad lleva a muchas empresas a yuxtaponer pensamientos y enfoques cuando
llega a la seguridad en la nube. Una gran mayoría de las empresas reconoce la nube como
una poderosa herramienta de negocios, pero al mismo tiempo aún expresa reservas debido
a los riesgos percibidos asociados con la colocación de datos en una nube pública sin
La seguridad de esos datos está garantizada. Las empresas necesitan mirar más profundamente
discernir brechas de seguridad y determinar cómo se comparte la responsabilidad cuando los datos
viaja a la nube, en la nube, entre nubes y desde la nube.

No
una organización o persona puede tener la responsabilidad completa de mantener los datos
seguro, la realidad es que la seguridad es una "responsabilidad compartida" - donde
organizaciones, usuarios, profesionales de seguridad de TI y proveedores de servicios en la nube
Todos tienen una tarea conjunta para garantizar que todas las partes estén usando la nube de forma segura. Cuando
este modelo se implementa correctamente, los beneficios para las organizaciones incluyen
mayor confianza del cliente, reducción de riesgos, reputación positiva de la marca y en general
Éxito empresarial en la economía digital actual.

Dedos puntiagudos y propiedad incierta

Optimal
la seguridad en la nube requiere una defensa en capas donde las empresas abordan cada parte de
la "pila de responsabilidad" individualmente, sin embargo, todos interactúan juntos como un
marco completo Esto incluye seguridad física, infraestructura, red
control, controles a nivel de aplicación, gestión de identidad y acceso, punto final
protección, clasificación de datos, control de usuario / dispositivo / datos y colaboración
controlar. Es mucho y puede ser desalentador para cualquier equipo de TI, grande o
pequeña.

Soluciones
Los proveedores de servicios ofrecen cierta protección de seguridad, pero eso no significa que
Los datos empresariales en la nube son totalmente seguros. Los principales proveedores de la nube como Microsoft,
Amazon y Google señalan correctamente que la responsabilidad no es de ellos
solo y que las empresas deben adoptar el concepto de una responsabilidad compartida
modelo. Microsoft, por ejemplo,
publica su modelo para Azure. Amazon tiene un
similares enfoque para AWS. Ambos
los modelos señalan que una infraestructura segura depende de que el cliente juegue
su parte para hacer que el sistema sea verdaderamente seguro y compatible.

La
comunidad de analistas se da cuenta de esta creciente necesidad y está sonando las alarmas sobre
La importancia de la responsabilidad compartida en la seguridad de la nube. Gartner advierte: "Hasta 2025, al menos el 99 por ciento de la seguridad en la nube
las fallas serán culpa del cliente. ”La declaración de Gartner implica
que las empresas mismas, no los proveedores de la nube, deben asegurarse de que sus
El enfoque de la seguridad en la nube lo abarca todo.

Soluciones
los proveedores a menudo se han acercado a la responsabilidad compartida al enumerar la seguridad
características que ofrecen y dejar el resto al cliente, dividiendo
responsabilidad en dos. Si bien esta división es un buen comienzo, puede dejar el
empresa insegura sobre cómo decidir, asignar e implementar las áreas
asignado a ellos. Ahora es imprescindible asignar roles dentro de la organización
y determinar la responsabilidad de varias líneas de negocios, incluyendo pero no
limitado a, seguridad de TI, riesgo y cumplimiento, usuarios, desarrolladores y compradores de
Los servicios en la nube.

Responsabilidad compartida en acción

El carro
El proceso de alquiler puede ilustrar mejor un ejemplo ideal de responsabilidad compartida
modelo. Primero, el fabricante es responsable de garantizar que el automóvil esté en condiciones de circular
cuando sale de la línea de montaje. Necesita tener buenos frenos, llantas y
bolsas de aire en funcionamiento. Después de que el automóvil llega a una empresa de alquiler, tanto el
la empresa y el inquilino generalmente no probarán las bolsas de aire, solo asumen
funcionarán como se instalaron originalmente. A medida que el auto envejece, el alquiler
la empresa debe revisar los neumáticos y los frenos, reparar el automóvil y conservarlo
en condiciones para circular. El arrendatario supone que este es el caso y, lamentablemente, a menudo
no descubra lo contrario a menos que tengan un problema con el vehículo.

On
por parte del arrendatario, necesitan tener la licencia apropiada para el vehículo, que
la empresa de alquiler verifica antes de entregar las llaves. El inquilino es
responsable de daños accidentales, aunque este puede no ser el conductor real
cuando varios conductores comparten la conducción. El auto incluye cinturones de seguridad,
instalado por el fabricante, pero es responsabilidad del conductor usar su
cinturón y asegúrese de que todos los miembros del automóvil los usen también. Además, el
El conductor es responsable de conducir de acuerdo con las condiciones y las normas de circulación.
Esta división de responsabilidad al alquilar un automóvil se comparte entre cinco grupos.
de personas: el fabricante de automóviles, la empresa de alquiler, los pasajeros, el arrendatario
y el conductor Todos tienen su parte para jugar. Ignorar una capa de seguridad podría
tienen consecuencias trágicas, por lo que cada aspecto necesita consideración en su totalidad.

Donde el riesgo finalmente radica

Microsoft,
Amazon y otros proveedores de la nube están trabajando para ofrecer una responsabilidad compartida
modelos a nivel de línea de base, pero debe haber más responsabilidad por parte del
comunidad de usuarios finales. Esto incluye la propia empresa, información y TI.
equipos de seguridad y los usuarios. Los líderes empresariales y de TI solo pueden proteger la nube
datos si las características de seguridad son bien entendidas, activadas y correctamente
configurado desde el principio. Vimos este problema específicamente salir con un reciente
incumplimiento de alto perfil causado por reglas de AWS mal configuradas para el público
servidores, lo que en última instancia conduce a una gran vulnerabilidad y violación de datos.

En general,
la comunidad tecnológica necesita considerar quién controla y administra la nube
configuraciones, flujo de datos entre diferentes servicios en la nube, colaboración,
acceso, controles de dispositivo y comportamiento del usuario. La conclusión es esa responsabilidad.
para el riesgo pertenece a la empresa porque, en esencia, la recopilación de datos y
la seguridad pertenece al negocio. Aunque los proveedores de la nube juegan un papel importante,
no son la empresa pública que asume el riesgo de manejar esto
informacion delicada. Los miembros del equipo de TI deben ser los guardianes de la seguridad y
cumplimiento para la empresa. Necesitan trabajar con el CISO y otros
líderes empresariales para comprender y establecer políticas en torno al control de datos, trabajar con líneas
de negocios para ayudarlos a clasificar los datos con precisión, garantizar el cumplimiento normativo,
ayudar al equipo de compras a tomar decisiones de compra, determinar qué servicios en la nube
para permitir el acceso del usuario y garantizar que la capacitación del usuario sea integral.

Sin
procesos estrictos en el lugar y una delimitación de quién es responsable de qué, un
decisión comercial como implementar un nuevo servicio de nube pública puede poner un
corporación en grave riesgo de violación de datos u otros problemas de seguridad relacionados.
Pero con el modelo de responsabilidad compartida, las empresas pueden garantizar que todos
hace su parte

Nigel Hawthorn, director de EMEA, unidad de negocios en la nube

Temas:

Cloud Security

Fuente: https://www.scmagazine.com/home/opinion/exeexe-insight/the-evolution-of-shared-responILITY-in-cloud-security-2/

Inteligencia de datos generativa

La evolución de la responsabilidad compartida en seguridad en la nube

Temas:

La actualización de ciberseguridad de Singapur avisa a los proveedores de la nube

MACH Networks nombra al veterano de la industria Richard Lockard para liderar la expansión de las asociaciones de proveedores de servicios WAN inalámbricos 5G

Información más reciente

Andrew Tate invierte 6 millones de dólares en Gamestop mientras la moda de las acciones de memes continúa conmocionando a Wall Street

Microsoft Windows DWM Zero-Day preparado para una explotación masiva

La Armada del Reino Unido comprará seis buques mientras entra en la 'edad de oro' de la construcción naval

Xsolla publica un informe trimestral de información sobre el futuro de los juegos y el desarrollo de juegos: un análisis preliminar de las métricas de la primavera de 2024 y las próximas tendencias –...

Regulaciones criptográficas de fondos mutuos propuestas por Canadá para 2024

Una encuesta considera insuficientes las advertencias sanitarias en los anuncios sobre juegos de apuestas