Los procesos en la nube tienen una mayor exposición al riesgo. Por esta razón, proteger la nube de forma eficaz exige conocer las posibles vulnerabilidades, configuraciones e identidades. Adicionalmente, para obtener el control de las brechas de seguridad en la nube las organizaciones deben discernir los riesgos más críticos y definir las prioridades. El plan parece sencillo, pero durante el desarrollo pueden surgir varios retos a superar.
Para abordar esta problemática actual, CIO Ediworld realizó la mesa redonda titulada “¿Cómo superar los obstáculos de la seguridad en la nube?”. En este evento presencial se discutieron las vulnerabilidades más críticas en ciberseguridad que afectan a las empresas, así como las medidas necesarias para proteger la información en entornos cloud.
Esta reunión fue presidida por Mark Thurmond, Chief Operating Officer de Tenable, Jesús Navarro, CEO de Data Warden, y Juan Carlos Carrillo, Enterprise Territory Manager de Tenable. Asimismo, se llevó a cabo un panel de discusión con los CIO asistentes donde expusieron las actuales tendencias de la seguridad en la nube y sus preocupaciones.
Proteger el negocio, el actual papel del CIO
La apertura del evento estuvo a cargo de Mark Thurmond, quien subrayó la responsabilidad que recae sobre los CIO y CISO de salvaguardar los activos empresariales. En este sentido, la gestión de identidades emerge como un pilar fundamental. Es imperativo garantizar que los usuarios dispongan únicamente de los privilegios estrictamente necesarios para desempeñar sus funciones, y que las configuraciones de acceso sean auditadas y ajustadas de forma periódica.
El directivo enfatizó que la responsabilidad de la ciberseguridad no recae únicamente en los proveedores de servicios en la nube. Los CIO y CISO deben asumir un papel protagónico en la comprensión profunda de los entornos cloud, caracterizados por su dinamismo y complejidad. Es imperativo que las organizaciones adquieran un conocimiento exhaustivo de cómo interactúan sus sistemas con la nube y cómo evolucionan las amenazas en este ecosistema.
Asimismo, Mark dijo que es fundamental comprender el funcionamiento y las vulnerabilidades inherentes a los sistemas de Internet de las Cosas (IoT), ya que estos dispositivos representan una creciente superficie de ataque. Durante su ponencia, destacó que es necesario tener visibilidad, ya que todas las áreas son una posible superficie del ataque. “Como Tenable les ofrecemos una plataforma de gestión de la exposición”, enfatizó.
Añadió que Tenable brinda una sola plataforma que consolida tecnologías y herramientas individuales para la ciberseguridad, OT, aplicaciones web, gestión de los ataques, aplicaciones tradicionales de IT, etcétera. “Todos los datos de esas herramientas ahora viven en una sola plataforma. Por lo tanto, tienes una sola herramienta que te da visibilidad en toda la superficie de ataque y te ayuda a priorizar y gestionar tu propio riesgo”, aseveró.
On-premise vs. Cloud: elija sabiamente
Durante su intervención, Jesús Navarro, CEO de Data Warden, enfatizó el actual panorama de servicios en la nube en comparación con los servicios OnPremise. Como marco de referencia, mencionó que del año 2022 al 2024 los servicios PaaS, SaaS, BPaaS, DaaS e IaaS han tenido un considerable aumento de previsión de gastos. Por mencionar sólo uno de los datos mencionados por el experto, el gasto en los servicios SaaS en 2022 correspondió a 174,416 millones de dólares, mientras que en 2024 esta cifra ascendió a 243,991 mdd.
El ejecutivo agregó que esta tendencia de la nube no es ninguna casualidad, pues los gastos con este tipo de plataformas son mucho menores. Detalló que los servicios OnPremise incluyen gastos de licenciamiento de software, implementación, hardware, mantenimiento, entrenamiento, etc. Contrariamente, la nube sólo requiere gastos de suscripción, implementación y entrenamiento. Todo ello se traduce en un gasto reducido.
Además de ello, el cloud computing ofrece agilidad, flexibilidad y escalabilidad.
Navarro destacó que Data Warden es el complemento ideal para nube, pues ofrece una robusta seguridad que abarca protección perimetral y el desarrollo seguro de aplicaciones. “La capacidad para brindar soluciones adaptadas a entornos híbridos y multi-cloud, así como un control de identidades complementan nuestro portafolio de soluciones”, concluyó.
Estrategias avanzadas de ciberseguridad empresarial
Más adelante, Juan Carlos Carrillo, Enterprise Territory Manager de Tenable, habló sobre estrategias viables en la ciberseguridad empresarial. Al respecto, recomendó impulsar la madurez de la seguridad adoptando la normativa, e integrar la seguridad de las APIs en el ciclo de vida del desarrollo de software o SDLC por sus siglas en inglés. En el tema de cómo invertir en las herramientas adecuadas, aconsejó mejorar la visibilidad limitando el radio de acción; así como que las herramientas tengan la facultad de identificar la propiedad (documentación etiquetado y responsabilidades).
También destacó la importancia de usar KPIs significativos para cada audiencia. En este sentido, añadió que se debe transmitir una postura de riesgo precisa, demostrar el tiempo y los recursos ahorrados, así como desarrollar casos de negocios para la inversión.
El experto también dio su opinión sobre los tres pasos que considera adecuados para iniciar un proyecto de seguridad en la nube. Como primer paso sugirió descubrir continuamente identidades, infraestructura de trabajo y datos en múltiples nubes. Posteriormente, se debe abordar la gestión de riesgos visualizando y priorizando los riesgos de cumplimiento y seguridad de la nube. Finalmente, recomendó poner foco en la escalabilidad, implementando DevSecOps acelerando los esfuerzos de seguridad.
Carrillo presentó a Tenable como una solución integral de ciberseguridad que abarca múltiples dimensiones. La plataforma, según el ejecutivo, ofrece capacidades avanzadas para la gobernanza y el cumplimiento normativo en entornos cloud, así como para la gestión de identidades y derechos de acceso. Además, Tenable destaca por su habilidad automática para hallar y proteger datos sensibles, analizar registros de forma exhaustiva y detectar actividades sospechosas. La gestión de vulnerabilidades en cargas de trabajo se presenta como otro de los pilares de la solución. En su opinión, Tenable se posiciona como una solución en seguridad de la identidad, caracterizada por su capacidad de contextualización, priorización y automatización.
Desde la trinchera digital
El eje central de esta reunión fue conocer de mano de los CIO sus experiencias, inquietudes y conocimientos sobre las actuales tendencias tecnológicas. Durante la mesa redonda destacó el tema de los obstáculos de implementar seguridad en la nube.
Al respecto, Emilio Gómez, director de TI para la empresa Sí Vale, destacó la importancia de la capacitación en ciberseguridad de clientes internos como externos. Al tratarse de una empresa B2B es complejo abordar el tema de ciberseguridad, sin embargo, opinó que para el B2C esta tarea se complica mucho más.
En opinión de Oscar Salgado, CIO de Grupo Mexicano Seguros, la segregación de funciones de las soluciones TI es un problema a resolver. Sumado a ello, se debe atender la amplia variedad de frentes a defender en los entornos multi nube, lo cual significa un aumento en el costo de mantener esta tecnología. Añadió que, en comparación con entornos OnPremise, en ocasiones la nube dificulta saber con precisión toda la información, los procesos y recursos contenidos en ella.
La Comisión Nacional Bancaria y de Valores tuvo como representante en esta mesa redonda a Mary Pily Loo, directora general de Supervisión de Riesgo Operacional y Tecnológico. La experta destacó el reto del control de accesos, identificación de activos, recuperación y respaldo de datos, y el cumplimiento normativo como las principales inquietudes tecnológicas de la institución financiera. También resaltó la concentración de proveedores de servicios en la nube como un problema, ya que cuando alguno de ellos es atacado, pueden ser paralizados varios sectores e industrias.
En el tema de cuáles son las principales prioridades de seguridad en la nube, Jetzrael López, CTO para Aerolíneas Ejecutivas, destacó que debe ser una prioridad saber elegir las herramientas de ciberseguridad con las que cada compañía necesita trabajar. También mencionó la importancia de definir las certificaciones adecuadas para cada organización.
Erika Mata, CISO de Coppel, añadió que en muchos casos es necesario priorizar los procesos clásicos de TI, realizando las pruebas operativas requeridas para seguir los protocolos de tecnología antes de liberarlos para producción. Esto debe de tomarse en cuenta desde el punto de vista operativo, más también en ciberseguridad ya que esto brinda disponibilidad de servicios.
Acerca de cuáles son los principales desafíos que enfrentan para la protección de identidades y la gestión de permisos en la nube, Enrico Belmonte, CIO de Peñaranda, señaló que en determinados casos es complicado hallar al proveedor adecuado de servicios. Enfatizó que esto se debe a que el universo de proveedores y la gran variedad de problemáticas y necesidades de cada institución, dificulta la existencia de una solución única.
Erwin Campos, Global CISO de Grupo Bimbo, opinó que proteger la identidad se debe complementar con una estrategia de Zero Trust. Y en el caso de la nube, posterior a gestionar las identidades se debe dar paso a una estrategia de protección del dato. Recomendó que el encargado de ciberseguridad tenga un completo entendimiento de los procesos de negocios del corporativo, para que la ciberseguridad se alinee a la estrategia.
-César Villaseñor
