Funciones de seguridad en la nube

En este artículo se proporciona un resumen de las funciones organizativas necesarias para administrar el riesgo de seguridad de la información en una empresa. Estos roles y responsabilidades forman la parte humana de un sistema de ciberseguridad general.

La seguridad es un deporte de equipo

Es fundamental que las personas del equipo de seguridad se vean entre sí como parte de un equipo de seguridad global, parte de toda la organización y parte de una comunidad de seguridad más grande que se defiende contra los mismos adversarios.

Esta vista holística permite al equipo trabajar bien en términos generales. Esto es especialmente importante, ya que los equipos trabajan en lagunas y superposiciones no planificadas que se detectan durante la evolución de los roles y las responsabilidades.

Responsabilidades de seguridad (funciones)

En este diagrama se muestran las funciones organizativas específicas dentro de la seguridad, a menudo denominadas responsabilidades o "trabajos que hay que hacer".

Estos diagramas y documentación representan una vista ideal de un equipo de seguridad empresarial completo. Esta puede ser una vista aspiracional para los equipos de seguridad con recursos limitados, que pueden no tener responsabilidades formales definidas en torno a todas estas funciones. Cada función puede estar a cargo de una o varias personas, y cada persona puede cumplir una o varias funciones, dependiendo de varios factores, como la referencia cultural, el presupuesto y los recursos disponibles.

En cada uno de los artículos siguientes se encontrará información sobre cada función, incluido un resumen de los objetivos, el modo en que la función puede evolucionar debido a los cambios en el entorno de amenazas o la tecnología de la nube, y las relaciones y dependencias que son fundamentales para su éxito.

• Directivas y estándares
• Operaciones de seguridad
• Arquitectura de seguridad
• Administración del cumplimiento de la seguridad
• Seguridad de las personas
• Seguridad de las aplicaciones y DevSecOps
• Seguridad de datos
• Infraestructura y seguridad de los puntos de conexión
• Administración de identidades y claves
• Información sobre amenazas
• Administración de la posición
• Preparación de incidentes

Se hace referencia a estas responsabilidades en toda la documentación de Microsoft, incluida Azure Security Benchmark, protección del acceso con privilegios: plan de modernización rápida y principales 10 procedimientos de seguridad de Azure.

Roles y responsabilidades

En el diagrama siguiente se muestra cómo se asignan estas funciones a los tipos de rol dentro de una organización:

Asignación de la seguridad a los resultados empresariales

A nivel organizativo, las materias de seguridad se asignan a las fases estándar de planeación, compilación y ejecución que se ven ampliamente en todos los sectores y organizaciones. Aunque este ciclo se está acelerando en un ciclo de cambios continuos con la era digital y la llegada de DevOps, esto ilustra cómo la seguridad se asigna a los procesos empresariales normales.

La seguridad es tanto una materia con sus propias funciones únicas como un elemento crítico para integrarse en las operaciones empresariales normales.

Tipos de rol

La sección central (azul oscuro) agrupa estas responsabilidades en roles típicos que tienen conjuntos de aptitudes y perfiles profesionales comunes. Estas agrupaciones también ayudan a aportar claridad sobre cómo afectan las tendencias del sector a los profesionales de seguridad:

• Liderazgo de seguridad: Estos roles suelen abarcar varias funciones, lo que garantiza que los equipos se coordinen entre sí, brinda priorización y establece normas culturales, directivas y estándares de seguridad.

• Arquitecto de seguridad: Estos roles abarcan todas las funciones y proporcionan una funcionalidad de gobernanza clave para garantizar que todas las funciones técnicas trabajen sin problemas dentro de una arquitectura coherente.

• Posición de seguridad y cumplimiento: Se trata de un tipo de rol más reciente que representa la creciente convergencia de los informes de cumplimiento con las materias de seguridad tradicionales, como administración de vulnerabilidades y líneas base de configuración. Aunque el ámbito y la audiencia son diferentes para los informes de seguridad y cumplimiento, responden a versiones diferentes de la pregunta "¿qué tan segura es la organización?". La manera en que se responde a esa pregunta es cada vez más similar a través de herramientas como Puntuación de seguridad de Microsoft y Microsoft Defender for Cloud:

  • El uso de fuentes de distribución de datos a petición desde los servicios en la nube reduce el tiempo necesario para notificar el cumplimiento.
  • El mayor ámbito de datos disponibles permite a la gobernanza de la seguridad mirar más allá de las actualizaciones y revisiones de software tradicionales, y detectar y hacer un seguimiento de las "vulnerabilidades" a partir de las configuraciones de seguridad y las prácticas operativas.

• Ingeniero de seguridad de plataforma: Se trata de roles tecnológicos centrados en plataformas que hospedan varias cargas de trabajo, centradas tanto en el control de acceso como en la protección de los recursos. Estos roles a menudo se agrupan en equipos con conjuntos de aptitudes técnicas especializadas, como seguridad de red, infraestructura y puntos de conexión, administración de identidades y claves, etc. Estos equipos trabajan tanto en controles preventivos como en controles de detección, conde los controles de detección forman una asociación con SecOps, y los controles preventivos forman principalmente una asociación con las operaciones de TI. Para más información, consulte Integración de seguridad.

• Ingeniero de seguridad de aplicaciones: Estos roles tecnológicos se centran en los controles de seguridad para cargas de trabajo específicas, y admiten tanto modelos de desarrollo clásicos como modelos DevOps/DevSecOps modernos. Se trata de una combinación de aptitudes de seguridad de aplicaciones y desarrollo para código único, y aptitudes de infraestructura para componentes técnicos comunes, como VM, bases de datos y contenedores. Estos roles pueden encontrarse en organizaciones centrales de TI o de seguridad, o en equipos empresariales y de desarrollo, en función de los factores de la organización.

Nota

A medida que tanto DevOps como la infraestructura como código tienden a avanzar, esperamos ver cómo algunos talentos de seguridad migran de los equipos de ingeniería de seguridad de plataforma a los equipos de seguridad de aplicaciones y los roles de administración de posiciones. Esto se debe a que el modelo de DevOps requiere aptitudes de seguridad de infraestructura (como proteger las operaciones en DevOps), y los equipos de gobernanza también necesitarán estas aptitudes y experiencia para supervisar de manera eficaz la posición de seguridad técnica en tiempo real. Además, la infraestructura como código automatizará tareas técnicas manuales repetitivas, lo que reducirá el volumen de tiempo necesario para estas aptitudes en los roles de ingeniero de seguridad de plataforma (aunque aumentará la necesidad de conjuntos de aptitudes técnicas amplias y aptitudes de automatización o scripting).

Pasos siguientes

Revise la metodología de seguridad.