Seguridad en Microsoft Cloud Adoption Framework para Azure

Al igual que la adopción de la nube es un recorrido, la seguridad en la nube también es un recorrido continuo de progreso y madurez incrementales, no un destino estático.

Previsión de un estado final de la seguridad

Un recorrido sin un destino objetivo no es más que una deambulación. Aunque este enfoque podría llevar finalmente a una solución, los objetivos empresariales y las restricciones a menudo requieren centrarse en los objetivos y los resultados clave.

La metodología de seguridad proporciona una visión del estado final completo para guiar la mejora del programa de seguridad a lo largo del tiempo. La siguiente infografía proporciona una correspondencia visual de las principales maneras en que la seguridad se integra con la organización y las materias dentro de la seguridad.

CAF Secure Methodology

Para aportar claridad a los procesos, procedimientos recomendados, modelos y experiencias, Cloud Adoption Framework proporciona instrucciones para este recorrido de seguridad. Estas instrucciones se basan en las lecciones aprendidas y las experiencias reales de clientes reales, el recorrido de seguridad de Microsoft y el trabajo con organizaciones como NIST, The Open Group y Center for Internet Security (CIS).

Vea el vídeo siguiente para más información sobre la metodología segura y cómo ayuda en las mejoras de seguridad continuas en el tiempo.

Correspondencia con conceptos, marcos y estándares

La propia seguridad es a la vez una materia organizativa independiente y un atributo o cualidad que se integra o se superpone sobre otras materias, lo que dificulta definir y establecer la correspondencia con precisión. El sector de la seguridad usa muchas marcos diferentes para capturar riesgos, planear controles y operar. Este es un rápido resumen de la forma en que las materias de la metodología de seguridad de CAF se relacionan con otros conceptos e instrucciones de seguridad:

  • Confianza cero: Microsoft cree que todas las materias de seguridad deben seguir los principios de confianza cero, es decir: asunción de que hay brechas, comprobación explícita y uso del acceso con menos privilegios. Estos principios respaldan cualquier estrategia de seguridad sólida y deben también estar equilibrados con los objetivos de habilitación empresarial. La primera parte de la confianza cero, y la más visible, está en el control de acceso, por lo que se resalta en la descripción de la materia de seguridad del control de acceso.

  • The Open Group: estas materias de seguridad se corresponden estrechamente con los componentes de confianza cero de las notas del producto con los principios básicos publicadas por The Open Group, en el que Microsoft participa activamente. La única excepción importante es que Microsoft elevó la materia de seguridad de la innovación para que DevSecOps sea un elemento de nivel superior debido a lo novedosa, importante y transformadora que es esta materia para muchas organizaciones.

  • Marco de ciberseguridad de NIST: en el caso de las organizaciones que usan el marco de ciberseguridad de NIST, hemos resaltado con negrita el texto de lo que se corresponde más estrechamente con el marco. El control de acceso moderno y DevSecOps se corresponden genéricamente con todo el espectro del marco, por lo que esos elementos no se anotan individualmente.

Correspondencia con roles y responsabilidades

Aunque la seguridad es una materia altamente técnica, es ante todo una materia humana que refleja el largo historial de conflictos humanos (pero actualizada para equipos e Internet). En el diagrama siguiente se resumen los roles y las responsabilidades de un programa de seguridad.

View of the responsibilities/functions of an enterprise security team

Para más información, consulte Funciones de seguridad en la nube.

Transformación de seguridad

A medida que las organizaciones adoptan la nube, se dan cuenta rápidamente de que los procesos de seguridad estáticos no pueden seguir el ritmo de cambio de las plataformas en la nube, el entorno de amenazas y la evolución de las tecnologías relacionadas con la seguridad. La seguridad debe cambiar a un enfoque en constante evolución para adaptarse a estos cambios que transformarán la cultura de la organización y los procesos diarios de toda la organización.

Para guiar esta transformación, esta metodología proporciona instrucciones sobre la integración de la seguridad con los procesos empresariales (fila superior) y las materias técnicas de seguridad (fila inferior). De forma colectiva, permiten un progreso significativo y sostenible en el recorrido de seguridad para reducir el riesgo para la organización. Pocas organizaciones pueden dominar todo esto a la vez, pero todas las organizaciones deben hacer evolucionar continuamente cada proceso y cada materia.

Impulsores del cambio

Las organizaciones de seguridad experimentan dos tipos de transformaciones importantes al mismo tiempo.

  • Seguridad como riesgo empresarial: la seguridad ha pasado de ser una materia puramente orientada a la calidad técnica a convertirse en el dominio de la administración de riesgos empresariales. Esto se debe a las siguientes fuerzas:
    • Transformación digital: el incremento de la superficie digital supone un aumento continuo de la superficie de ataque potencial de la organización.
    • Panorama de amenazas: el incremento del volumen de ataques y de la sofisticación promovidos por una economía de ataques industrializada con aptitudes especializadas y la mercantilización continua de herramientas y técnicas de ataque.
  • Cambio de plataforma: la seguridad también se enfrenta a un cambio técnico de plataforma en la nube. Este cambio es parecido al de las fábricas que han pasado de funcionar con sus propios generadores eléctricos a conectarse a una red eléctrica. Aunque los equipos de seguridad suelen tener las aptitudes básicas correctas, se ven abrumados por los cambios en casi todos los procesos y tecnologías que usan a diario.
  • Cambio en las expectativas: en la última década, la innovación digital ha redefinido sectores completos. La agilidad empresarial, especialmente la agilidad relacionada con la transformación digital, puede desbancar rápidamente a una organización como líder del mercado. Del mismo modo, la pérdida de confianza del consumidor puede tener un impacto similar en la empresa. Aunque antes era aceptable que la seguridad empezara con un "no" para bloquear un proyecto y proteger la organización, la urgencia de adoptar la transformación digital debe cambiar el modelo de compromiso a "vamos a hablar sobre cómo mantener la seguridad mientras se hace lo necesario para seguir siendo importantes".

Guía sobre transformación duradera

Transformar la manera en que los equipos empresariales y tecnológicos ven la seguridad requiere alinear la seguridad estrechamente con las prioridades, procesos y el marco de riesgos. Las áreas clave que impulsan el éxito son:

  • Cultura: la cultura de seguridad debe centrarse en cumplir de forma segura la misión de la empresa, no en impedírsela. Al mismo tiempo, la seguridad debe convertirse en una parte normalizada de la cultura de la organización, ya que la red de Internet en la que opera la empresa está abierta, lo que permite a los adversarios intentar ataques en cualquier momento. Este cambio cultural requiere procesos mejorados, asociaciones y el apoyo continuo de la dirección en todos los niveles para comunicar los cambios, modelar el comportamiento y reforzar el cambio.
  • Propiedad del riesgo: la responsabilidad sobre los riesgos relacionados con la seguridad debe asignarse a los mismos roles que poseen todos los demás riesgos, lo cual libera al equipo de seguridad para que pueda ser un asesor de confianza y experto en la materia en lugar de un chivo expiatorio. El equipo de seguridad debe ser responsable de los consejos equilibrados y sólidos que transmiten esos directivos, pero no deben ser responsables de las decisiones que no poseen.
  • Talento en seguridad: El talento en seguridad muestra una escasez crónica y las organizaciones siempre deben planear cómo desarrollar y distribuir mejor los conocimientos y las aptitudes en materia de seguridad. Además de hacer crecer los equipos de seguridad directamente con conjuntos de aptitudes técnicas de seguridad, los equipos de seguridad maduros también diversifican su estrategia centrándose en
    • Conjuntos crecientes de aptitudes y conocimientos de seguridad dentro de los equipos existentes de TI y de la empresa. Esto es especialmente importante para los equipos de DevOps con un enfoque de DevSecOps y puede adoptar muchas formas (como un departamento de soporte técnico de seguridad, identificar y entrenar a expertos de la comunidad o programas de intercambio de trabajos).
    • Ampliación de los diversos conjuntos de aptitudes de los equipos de seguridad para aportar nuevas perspectivas y marcos a los problemas (como la perspectiva empresarial, la de psicología humana o la económica) y crear mejores relaciones dentro de la organización. Para un martillo, los problemas se parecen a los clavos.

Alineación empresarial

A causa de estos cambios, el programa de adopción de la nube debe centrarse en gran medida en la alineación empresarial en tres categorías.

  • Información sobre riesgos: permite alinear e integrar la información sobre seguridad y sobre señales u orígenes del riesgo con las iniciativas empresariales. Asegúrese de que los procesos repetibles sirvan para educar a todos los equipos en la aplicación de esa información y que los equipos sean responsables de las mejoras.
  • Integración de la seguridad: integre los conocimientos, aptitudes e información de seguridad más profundamente en las operaciones diarias del entorno empresarial y de TI mediante procesos repetibles y una asociación profunda en todos los niveles de la organización.
  • Resistencia operativa: céntrese en garantizar que la organización sea resistente para poder continuar las operaciones durante un ataque (incluso en un estado degradado) y que la organización vuelva a estar plenamente operativa con rapidez.

Disciplinas de seguridad

Esta transformación afectará a cada materia de seguridad de forma diferente. Aunque cada una de estas materias es extremadamente importante y requiere inversión, estas están ordenadas (aproximadamente) por las que tienen más posibilidades de generar ganancias rápidas a medida que adopta la nube:

  • Control de acceso: la aplicación de la red y la identidad crean límites de acceso y segmentación que reducen la frecuencia y el alcance de las brechas de seguridad.
  • Operaciones de seguridad: supervise las operaciones de TI para detectar, responder y recuperarse de una brecha de seguridad. Uso de datos para reducir continuamente el riesgo de una brecha
  • Protección de recursos: aumente al máximo la protección de todos los recursos (infraestructura, dispositivos, datos, aplicaciones, redes e identidades) para reducir al mínimo el riesgo para el entorno global.
  • Gobernanza de la seguridad: las decisiones delegadas aceleran la innovación pero generan nuevos riesgos. Supervise las decisiones, configuraciones y datos para controlar las decisiones tomadas en el entorno y en todas las cargas de trabajo de la cartera.
  • Seguridad de la innovación: a medida que una organización adopta modelos de DevOps para aumentar el ritmo de innovación, la seguridad debe convertirse en una parte integral de un proceso de DevSecOps e integrar la experiencia y los recursos de seguridad directamente en este ciclo de alta velocidad. Esto implica desplazar la toma de decisiones de los equipos centralizados para capacitar a aquellos equipos centrados en las cargas de trabajo.

Principios rectores

Todas las actividades de seguridad deben estar alineadas y conformadas mediante un enfoque dual en

  • Habilitación empresarial: estar en línea con el objetivo empresarial y el marco de riesgo de la organización.
  • Controles de seguridad: centrados en aplicar los principios de confianza cero de
    • Asunción de que hay brechas: al diseñar la seguridad de cualquier componente o sistema, reduzca el riesgo de que los atacantes expandan el acceso asumiendo que otros recursos de la organización están en peligro.
    • Comprobación explícita: valide explícitamente la confianza mediante todos los puntos de datos disponibles, en lugar de darla por supuesta. Por ejemplo, en el control de acceso, valide la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de los datos y las anomalías, en lugar de simplemente permitir el acceso desde una red interna de confianza implícita.
    • Acceso con menos privilegios: limite el riesgo de un usuario o recurso en peligro proporcionando acceso Just-In-Time y Just-Enough-Access (JIT/JEA), directivas adaptables basadas en riesgos y protección de datos para ayudar a proteger los datos y la productividad.

La metodología de seguridad es parte de un conjunto completo de orientaciones de seguridad que también incluye: