Check Point dio a conocer los seis puntos clave para poner en marcha un programa de Cloud Compliance de garantías que permita hacer frente a los ciberriesgos asociados a la nube.
Al respecto, Eusebio Nieva, director técnico de Check Point para España y Portugal, destacó: “contar con un programa de compliance de garantías es clave para potenciar la seguridad, el cumplimiento y el control en la nube, ya que permite evaluar riesgos y tomar las medidas de seguridad oportunas”.
Agregó: “en la actualidad, los ciberataques son cada vez más rápidos y sofisticados, por lo que se requieren herramientas automáticas para mejorar la identificación de amenazas y mejorar el tiempo de respuesta y reparación. Esto es especialmente necesario en nuevos entornos de trabajo como la nube, que destacan por su naturaleza cambiante”.
Si bien, el cumplimiento no es una garantía de seguridad en entornos cloud, puede ayudar a tomar un enfoque en la estrategia de ciberseguridad. Los expertos de Check Point indicaron que los pasos clave para implementar con éxito cualquier programa de cumplimiento en la nube son:
1. Ganar visibilidad de los activos
Sólo se puede proteger lo que se conoce y se tiene. Con la nube, los recursos digitalizados son sus activos, por lo que es fundamental que todos los sistemas estén correctamente organizados y adaptados para su futura evolución. Para muchas empresas, la vigilancia y el control de sus productos es también una manera de obtener más rentabilidad. En este sentido, la automatización de las operaciones en la nube permite hacer inventario y configurar los distintos elementos de los productos.
2. Elección del sistema de cumplimiento adecuado
Los programas de cumplimiento deben ser elegidos con base a las diferentes necesidades del mercado y de la industria. En el caso de las empresas para las que no existen normas de regulación específicas, las necesidades de su base de clientes pueden servir de guía para la elección, ya que puede buscar proveedores que cumplan las normas adecuadas a su propia industria. La elección de normas empresariales comunes, como el SOC2 de la AICPA, puede ser un buen punto de partida.
3. Evaluación inicial, excepciones y personalización
A la hora de analizar cualquier programa de cumplimiento, vale la pena examinar cómo otros han aplicado ciertas soluciones para cumplir con sus requisitos. Por ejemplo, los marcos de trabajo PCI muestran la necesidad de que los componentes específicos del sistema de datos del titular de la tarjeta (en lugar de toda la red o el sistema interconectado) reciban el mayor grado de protección. Esto da lugar a la segmentación y el aislamiento de partes del sistema para aislar los controles de cumplimiento sólo a los sistemas y datos en un determinado ámbito. La adaptación de un sistema para cumplir los requisitos de cumplimiento puede dar lugar a ahorro económico y mayor eficiencia.
4. Monitoreo, frecuencia de las evaluaciones continuas, integración con el flujo de trabajo
La mayoría de los programas de cumplimiento cuentan con controles que deben estar operativos en todo momento, por lo que es necesario supervisarlos continuamente. Para que sea más fácil cumplir con estos requisitos, muchas empresas utilizan herramientas que automatizan el flujo de trabajo y aseguran la eficiencia de sus sistemas. Esto puede ser tan sencillo como automatizar las funciones de seguridad, por ejemplo, añadir o eliminar usuarios, o acciones más complejas como combinar el tratamiento de los pedidos con confirmaciones multisistema para garantizar la precisión, la privacidad y la confidencialidad.
5. Reparación automatizada
Los sistemas que actúan en la nube son más complejos que los modelos tradicionales. Los controles de alta complejidad, como los sistemas de gran volumen y la detección de vulnerabilidades, se realizan automáticamente para aumentar la eficiencia. Sin embargo, es importante ser cuidadoso con la automatización de las actividades de seguimiento, especialmente en el caso de que se produzcan falsos positivos, ya que esto puede derivar en fallos de seguridad a gran escala.
6. Informes y auditorías
La implantación de la tecnología cloud debe venir acompaña de un sistema o herramienta que permita llevar un control sobre todo lo que sucede y, por tanto, generar informes periódicos que permitan evaluar de regular el rendimiento de todos los elementos que forman parte de la estrategia de ciberseguridad en la nube. De esta forma, se pueden analizar los puntos débiles y trabajar en medidas correctivas.
