![\"\"](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/The-Big-Cloud-5-es-500x318.png\")
<\/span><\/div><\/p>\nFigura\u00a01: Estrategia de seguridad \u00abThe 5 Big Cloud\u00bb<\/p>\n
Un conocimiento de la situaci\u00f3n insuficiente o inadecuado es uno de los factores principales en accidentes atribuidos al error humano.<\/em> \u2013 <\/em>Nullmeyer, Stella, Montijo y Harden (2005).<\/p>\n El primer paso para facilitar la seguridad y el cumplimiento normativo en la nube consiste en comprender c\u00f3mo utilizan la nube hoy<\/em> sus desarrolladores y equipos. Para ello, empiece por identificar los usos de la nube de los que el equipo de TI no tiene constancia, pero no se quede ah\u00ed. Seguir la regla del 80\/20 permitir\u00e1 a su equipo saber en qu\u00e9 plataforma de nube centrarse primero. Sin embargo, los equipos de seguridad no solo deben entender qu\u00e9 plataformas de nube se est\u00e1n usando, sino tambi\u00e9n qu\u00e9 es lo que se ejecuta dentro de ellas. Aqu\u00ed es donde entran en acci\u00f3n las API de los proveedores de nube.<\/p>\n Las API son una de las tecnolog\u00edas clave que diferencian a la nube de la mayor\u00eda de entornos locales. Se trata de saber en todo momento qu\u00e9 est\u00e1 pasando en sus entornos de nube. EL objetivo no solo es entender qu\u00e9 aplicaciones de nube se est\u00e1n usando en su organizaci\u00f3n; tambi\u00e9n debe utilizar las API de su proveedor de nube para tener constancia de los cambios que se producen en la capa de los metadatos en todo momento.<\/p>\n Preg\u00fantese qu\u00e9 configuraciones (ya sea porque sean err\u00f3neas o porque contengan antipatrones) no deber\u00edan existir nunca en su entorno, como por ejemplo una base de datos que reciba tr\u00e1fico directo de Internet. Pese a ser una pr\u00e1ctica desaconsejada, el equipo de investigaci\u00f3n de amenazas Unit 42 ha demostrado que esto sucede en el 28\u00a0% de los entornos de nube. Escriba una lista inicial y vaya complet\u00e1ndola conforme vaya madurando su programa de seguridad en la nube. Dos advertencias importantes: siempre que se automatiza un mecanismo de protecci\u00f3n, se recomienda encarecidamente empezar con experimentos peque\u00f1os para minimizar las consecuencias no deseadas (por ejemplo, una denegaci\u00f3n de servicio autoinfligida). Colabore codo con codo con sus equipos de desarrollo y renuncie a instalar mecanismos de protecci\u00f3n automatizados sin ganarse previamente su compromiso y apoyo. Debe trabajar con ellos desde el primer d\u00eda. Empiece poco a poco, sin prisa pero sin pausa.<\/p>\n Muchos equipos hablan de la automatizaci\u00f3n sin tener ning\u00fan est\u00e1ndar de seguridad en vigor. Un objetivo razonable es alcanzar una automatizaci\u00f3n del 80\u00a0%. Una vez que el programa est\u00e9 asentado sobre una base de est\u00e1ndares, la automatizaci\u00f3n vendr\u00e1 pr\u00e1cticamente sola. En lo que a la automatizaci\u00f3n se refiere, no aspire a pasar de cero a cien en 90 d\u00edas, a menos que sea una empresa peque\u00f1a que acaba de empezar. La mayor\u00eda de las organizaciones tarda en completar este proceso como m\u00ednimo unos nueve meses.<\/p>\n A diferencia de la mayor\u00eda de los centros de datos tradicionales, los entornos de nube p\u00fablica est\u00e1n basados en API. Una gesti\u00f3n adecuada del riesgo en la nube pasa por que los equipos de seguridad sepan utilizar las API.<\/p>\n En funci\u00f3n del tama\u00f1o de su organizaci\u00f3n, empiece por evaluar las competencias que ya tiene. \u00bfHay alg\u00fan miembro del equipo que ya sepa programar en lenguajes como Python o Ruby? Si es as\u00ed, invierta muchos recursos en estos miembros del equipo y trate de alinear sus objetivos con el calendario de la automatizaci\u00f3n. \u00bfA\u00fan no tiene a nadie? Hay varias opciones. Busque en su plantilla a aquellas personas que quieran aprender e identifique a los miembros de su equipo de desarrollo que hayan mostrado inter\u00e9s por la seguridad. Se les puede formar (en seguridad a los desarrolladores y en programaci\u00f3n a los ingenieros de seguridad), siempre y cuando los objetivos de formaci\u00f3n est\u00e9n bien formulados y dotados de recursos.<\/p>\n Si la programaci\u00f3n no es uno de los puntos fuertes de su organizaci\u00f3n, este proyecto puede ser un buen candidato para asign\u00e1rselo a un consultor externo temporal que lo haya hecho ya para muchas otras organizaciones en el pasado. No le servir\u00e1 de mucho quedarse con scripts que sus equipos no sepan modificar ni usar. Cuando ya tenga este proceso encarrilado, tendr\u00e1 todo lo necesario para integrar la seguridad en su proyecto de desarrollo.<\/p>\n Este elemento trata de responder al qui\u00e9n, qu\u00e9, cu\u00e1ndo y d\u00f3nde de c\u00f3mo env\u00eda el c\u00f3digo a la nube su organizaci\u00f3n. Hecho esto, su objetivo deber\u00eda ser localizar los puntos de inserci\u00f3n menos disruptivos para los procesos y las herramientas de seguridad. Cuanto antes consiga el apoyo y el compromiso de sus equipos de desarrollo, mejor.<\/p>\n Conclusi\u00f3n<\/strong><\/p>\n Dise\u00f1ar una estrategia de seguridad en la nube que gire en torno a \u00abThe 5 Big Cloud\u00bb permite a las organizaciones de seguridad de cualquier tama\u00f1o cosechar los frutos de la nube p\u00fablica; frutos que antes solo estaban al alcance de unos pocos equipos de desarrollo. Y recuerde: empiece poco a poco. Sin prisa, pero sin pausa.<\/p>\n","protected":false},"excerpt":{"rendered":" Bas\u00e1ndonos en nuestro trabajo con cientos de clientes, desarrollamos la estrategia de seguridad \u00abThe 5 Big Cloud\u00bb. Sin pretensiones de ser exhaustiva, con los recursos adecuados, su equipo podr\u00e1 formular una estrategia …<\/p>\n","protected":false},"author":623,"featured_media":96989,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[5040],"tags":[],"coauthors":[6679],"class_list":["post-99820","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categorizar"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/02\/corp-blog-cloud-600x300.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99820","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/623"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=99820"}],"version-history":[{"count":1,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99820\/revisions"}],"predecessor-version":[{"id":99834,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99820\/revisions\/99834"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/96989"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=99820"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=99820"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=99820"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=99820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
\n
\n
\n