De acuerdo con la encuesta KPMG 2021 U.S. CEO Outlook, 81 % de las directoras y directores generales (CEO) confía en las perspectivas de crecimiento de su empresa y, al mismo tiempo, prevé el riesgo de ciberseguridad como una de las tres principales amenazas para el crecimiento de sus organizaciones. Como resultado, en comparación con hace un año, en 2021, los CEO afirmaron que planean invertir más en tecnologías de seguridad de datos. Es un hecho bien establecido que la ciberseguridad es una de las principales preocupaciones que podrían estar ralentizando la transformación digital.

Las empresas están experimentando una rápida transformación digital y su dependencia del software ha aumentado. De acuerdo con la encuesta Harvey Nash / KPMG CIO Survey 2021, casi la mitad de los encuestados dijo que la pandemia ha acelerado permanentemente la transformación digital.

Las empresas no solo se están moviendo hacia tecnologías modernas en la nube, sino que también están adoptando técnicas modernas de entrega de software. En esencia, las organizaciones se están transformando rápidamente en muchos frentes distintos. La tecnología es el habilitador clave; sin embargo, también introduce una superficie de ataque mucho mayor. Por lo tanto, no sorprende que la seguridad y la privacidad sean una inversión importante en la nueva realidad. La automatización inteligente, en general, es una de las cinco principales áreas de inversión, y prevemos que esto implica también automatización en el espacio de seguridad. Una de esas áreas es la infraestructura como código (IaC, por sus siglas en inglés) que ayudan a construir una infraestructura en la nube, no solo de recursos informáticos, sino también con recursos de almacenamiento, redes y seguridad. IaC también brinda una oportunidad única para la coherencia en la automatización de la seguridad, ya que es un área en la que históricamente las organizaciones no han tenido suficiente seguridad o han contado con demasiadas ventanas para observar y demasiadas alertas por analizar, lo que lleva a la fatiga de alertas.

En reconocimiento de posibles problemas de configuración con el entorno de la nube y los recursos subyacentes, las herramientas de gestión de la postura de seguridad en la nube (CSPM, por sus siglas en inglés) se están volviendo comunes. Sin embargo, CSPM es una medida reactiva y uno de los mecanismos de control de detección. La mejor opción es evitar que los problemas de seguridad se filtren en IaC, realizando un análisis en busca de posibles configuraciones incorrectas y luego superponiéndolo en CSPM como un mecanismo de monitoreo para problemas en el tiempo de ejecución.

La pregunta sigue siendo: si bien hay muchas herramientas de seguridad y repositorios de código abierto, ¿cómo podemos proporcionar un punto de partida para que los profesionales de Desarrollo y Operaciones creen y mantengan aplicaciones seguras? La respuesta está en una política de seguridad como solución de código (SPaC) de KPMG. Consta de los siguientes aceleradores:

1. Estrategia de transformación de la organización de seguridad que incluye modelos de interacción con modelos de centro de excelencia en la nube (Cloud Center of Excellence, CCOE) y gráficos RACI para implementar rápidamente SPaC.

2. Marco de gestión de políticas que incluye la traducción de su seguridad y requisitos reglamentarios complicados, en políticas como código. También cuenta con una biblioteca de políticas normalizadas para ayudarle a demostrar el cumplimiento de múltiples marcos, como NIST 800-53 e ISO 27001.

3. Planos de seguridad que codifican la infraestructura y las políticas de seguridad simultáneamente.

4. Estudio comparativo técnico detallado de herramientas de seguridad de terceros que pueden ayudarle a seleccionar rápidamente una o más herramientas de seguridad de código abierto o de terceros para ayudarle con la seguridad de múltiples nubes que van mucho más allá de las capacidades nativas de CSP.

5. Desarrollo, securidad y operaciones (DevSecOps), gestión automatizada de alertas y ajuste de alertas falsas y estrategia de respuesta a incidentes que aprovecha nuestra amplia experiencia en este espacio

Una advertencia importante: si bien es fundamental tener una política como solución de código, los controles de detección también siguen desempeñando un papel importante en la seguridad de la nube, ya que es posible que los desarrolladores no tengan una visibilidad perfecta durante la creación de soluciones en la nube.

El objetivo de poner en producción sus pocos casos de uso iniciales de SPaC debe ser aprender su proceso de implementación. Incluso puede incluir la creación de tales casos de uso como parte del programa de campeones de seguridad de su organización, o hackatones. A medida que se implementan más casos de uso de SPaC, aumenta la confianza en que su canal de compilación, su desarrollo de software y su entorno de tiempo de ejecución sean confiables; disminuye la probabilidad de eventos de seguridad graves, y usted puede concentrarse en brindar valor a sus clientes. Una vez que se realiza la codificación de SPaC, los clientes pueden aprovechar las herramientas nativas de CSP o de terceros para monitorear la desviación de la política. Dependiendo de su madurez en esta área, los clientes también pueden desarrollar capacidades de remediación automática para corregir las exposiciones de seguridad sin intervención humana.

KPMG ha estado a la vanguardia de la seguridad en la nube y contamos con una amplia experiencia en ciberseguridad que reúne estas disciplinas para ayudar a los clientes a mitigar los riesgos de la nube y, cuando sea necesario, ayudarles a responder y recuperarse rápidamente cuando ocurren incidentes.

Comuníquese con nosotros para obtener más información y analizar cómo podemos ayudarle en temas de seguridad en la nube

La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias de ningún individuo o entidad en particular. Aunque procuramos proveer información correcta y oportuna, no puede haber garantía de que dicha información sea correcta en la fecha en que se reciba o que continuará siendo correcta en el futuro. Nadie debe tomar medidas con base en dicha información sin la debida asesoría profesional después de un estudio detallado de la situación en particular.

© 2022 Ostos Velázquez & Asociados, una sociedad venezolana y firma miembro de la organización global de KPMG de firmas miembro independientes de KPMG afiliadas a KPMG International Ltd, una entidad privada Inglesa limitada por garantía. Todos los derechos reservados. RIF: J-00256910-7.Para más detalles sobre la estructura de la organización global de KPMG, por favor visite https://home.kpmg/governance.