Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

Por qué las atestaciones son solo una parte de su programa de seguridad en la nube

Correo electrónico

1 min read

Por qué las atestaciones son solo una parte de su programa de seguridad en la nube

Correo electrónico

1 min read

Por qué las atestaciones son solo una parte de su programa de seguridad en la nube

La gente a menudo me pregunta qué hace un buen programa de seguridad. Por mucho que me gustaría señalar un aspecto de mi perímetro de seguridad como ejemplo, hay múltiples elementos para destacar.

Las Attestations no siempre miden tu postura defensiva

Un atestación, por definición, es una indicación que hace evidente algo. En el caso de la seguridad, específicamente los programas de seguridad, significa certificar en una capacidad oficial.




La gente a menudo me pregunta qué hace un buen programa de seguridad. Por mucho que me gustaría señalar un aspecto de mi perímetro de seguridad como ejemplo, hay múltiples elementos para destacar. La industria confía en atestaciones y certificaciones para medir tus defensas de seguridad. Los ingenieros y operadores te dirán que tu perímetro de seguridad real y las capacidades de evaluación de amenazas definen tu programa de seguridad. Yo te diré que son tanto las atestaciones de cumplimiento como medida, como las capacidades operativas de tu equipo de seguridad las que definen tu programa. Aunque las atestaciones por sí solas no son un punto de referencia exacto para medir un programa.




Las atestaciones son una necesidad de la industria para asegurar el cumplimiento con los estatutos federales, locales y estatales, así como con las mejores prácticas de la industria. Los estándares de ISO, NIST o DoD forman la base de la mayoría de las atestaciones. NIST, por ejemplo, publica un conjunto de estándares y guías técnicas para ayudar a las organizaciones a construir defensas perimetrales que sean “aceptables” para el gobierno. Sin embargo, como detallaré, el simple hecho de que se establezcan los estándares no significa que la implementación siempre sea excelente.

El Despliegue de una Herramienta No Significa que Está Proporcionando Valor

Los controles permiten flexibilidad en la implementación y el crecimiento operativo e innovación con el tiempo. Desafortunadamente, algunas organizaciones usan la flexibilidad para marcar la casilla, pero no tienen defensas reales en su lugar.




Un ejemplo claro de este problema son los sistemas de detección/protección de intrusiones (IDS o IPS). Al igual que los escáneres de virus, la mayoría de las organizaciones invierten en IDS/IPS como una práctica estándar de seguridad para protegerse contra el tráfico malicioso y la exfiltración de datos. La industria está llena de proveedores que crean varias formas de sistemas IDS/IPS. Sin embargo, algunas organizaciones optan por construir sistemas en lugar de comprar.




Recientemente dejé una de esas organizaciones que “construyó” su propio sistema de detección de intrusiones a partir de herramientas de código abierto. A los auditores se les dijo que el sistema era una “herramienta fantástica”, e incluso se les dieron ejemplos de tráfico. Cuando profundicé en la telemetría que la herramienta estaba proporcionando, me di cuenta de que el tráfico no se estaba analizando en absoluto. En cambio, pasaba a través del sensor ya que no estaba configurado para capturar ningún tráfico o alertar en absoluto. Además, las credenciales utilizadas para administrar la herramienta fueron configuradas por un empleado anterior y nunca se actualizaron después de su partida. Así que, esencialmente, la herramienta estuvo inactiva durante meses sin ninguna intervención humana. Esto no solo pone a la empresa en riesgo, sino que también compromete el perímetro.




Un auditor sagaz no habría detectado el problema porque las atestaciones no buscan información “operativa” en todos los sistemas; el estándar es literalmente una capa de preguntas y respuestas. De hecho, la mayoría de las atestaciones miden simplemente si la herramienta existe, no la viabilidad operativa. Además, la mayoría de los auditores no son lo suficientemente técnicos como para discernir un IDS/IPS funcional de uno no funcional. El núcleo de la auditoría depende de que la empresa muestre su mejor cara en lugar de responder a preguntas difíciles. Los auditores también deben cubrir una amplia gama de controles durante una auditoría, por lo que el tiempo es un factor importante en la calidad de su análisis.




Una atestación por sí sola le dirá que una empresa tiene un programa de seguridad maduro con controles. Requerir que un posible socio complete una encuesta de proveedores tampoco le proporcionará confianza. Las encuestas simplemente describen la misma información en un formato diferente. Entonces, ¿cómo evalúa un programa de seguridad maduro?

Los controles permiten flexibilidad en la implementación y el crecimiento operativo e innovación con el tiempo. Desafortunadamente, algunas organizaciones usan la flexibilidad para marcar la casilla, pero no tienen defensas reales en su lugar.




Un ejemplo claro de este problema son los sistemas de detección/protección de intrusiones (IDS o IPS). Al igual que los escáneres de virus, la mayoría de las organizaciones invierten en IDS/IPS como una práctica estándar de seguridad para protegerse contra el tráfico malicioso y la exfiltración de datos. La industria está llena de proveedores que crean varias formas de sistemas IDS/IPS. Sin embargo, algunas organizaciones optan por construir sistemas en lugar de comprar.




Recientemente dejé una de esas organizaciones que “construyó” su propio sistema de detección de intrusiones a partir de herramientas de código abierto. A los auditores se les dijo que el sistema era una “herramienta fantástica”, e incluso se les dieron ejemplos de tráfico. Cuando profundicé en la telemetría que la herramienta estaba proporcionando, me di cuenta de que el tráfico no se estaba analizando en absoluto. En cambio, pasaba a través del sensor ya que no estaba configurado para capturar ningún tráfico o alertar en absoluto. Además, las credenciales utilizadas para administrar la herramienta fueron configuradas por un empleado anterior y nunca se actualizaron después de su partida. Así que, esencialmente, la herramienta estuvo inactiva durante meses sin ninguna intervención humana. Esto no solo pone a la empresa en riesgo, sino que también compromete el perímetro.




Un auditor sagaz no habría detectado el problema porque las atestaciones no buscan información “operativa” en todos los sistemas; el estándar es literalmente una capa de preguntas y respuestas. De hecho, la mayoría de las atestaciones miden simplemente si la herramienta existe, no la viabilidad operativa. Además, la mayoría de los auditores no son lo suficientemente técnicos como para discernir un IDS/IPS funcional de uno no funcional. El núcleo de la auditoría depende de que la empresa muestre su mejor cara en lugar de responder a preguntas difíciles. Los auditores también deben cubrir una amplia gama de controles durante una auditoría, por lo que el tiempo es un factor importante en la calidad de su análisis.




Una atestación por sí sola le dirá que una empresa tiene un programa de seguridad maduro con controles. Requerir que un posible socio complete una encuesta de proveedores tampoco le proporcionará confianza. Las encuestas simplemente describen la misma información en un formato diferente. Entonces, ¿cómo evalúa un programa de seguridad maduro?

Los controles permiten flexibilidad en la implementación y el crecimiento operativo e innovación con el tiempo. Desafortunadamente, algunas organizaciones usan la flexibilidad para marcar la casilla, pero no tienen defensas reales en su lugar.




Un ejemplo claro de este problema son los sistemas de detección/protección de intrusiones (IDS o IPS). Al igual que los escáneres de virus, la mayoría de las organizaciones invierten en IDS/IPS como una práctica estándar de seguridad para protegerse contra el tráfico malicioso y la exfiltración de datos. La industria está llena de proveedores que crean varias formas de sistemas IDS/IPS. Sin embargo, algunas organizaciones optan por construir sistemas en lugar de comprar.




Recientemente dejé una de esas organizaciones que “construyó” su propio sistema de detección de intrusiones a partir de herramientas de código abierto. A los auditores se les dijo que el sistema era una “herramienta fantástica”, e incluso se les dieron ejemplos de tráfico. Cuando profundicé en la telemetría que la herramienta estaba proporcionando, me di cuenta de que el tráfico no se estaba analizando en absoluto. En cambio, pasaba a través del sensor ya que no estaba configurado para capturar ningún tráfico o alertar en absoluto. Además, las credenciales utilizadas para administrar la herramienta fueron configuradas por un empleado anterior y nunca se actualizaron después de su partida. Así que, esencialmente, la herramienta estuvo inactiva durante meses sin ninguna intervención humana. Esto no solo pone a la empresa en riesgo, sino que también compromete el perímetro.




Un auditor sagaz no habría detectado el problema porque las atestaciones no buscan información “operativa” en todos los sistemas; el estándar es literalmente una capa de preguntas y respuestas. De hecho, la mayoría de las atestaciones miden simplemente si la herramienta existe, no la viabilidad operativa. Además, la mayoría de los auditores no son lo suficientemente técnicos como para discernir un IDS/IPS funcional de uno no funcional. El núcleo de la auditoría depende de que la empresa muestre su mejor cara en lugar de responder a preguntas difíciles. Los auditores también deben cubrir una amplia gama de controles durante una auditoría, por lo que el tiempo es un factor importante en la calidad de su análisis.




Una atestación por sí sola le dirá que una empresa tiene un programa de seguridad maduro con controles. Requerir que un posible socio complete una encuesta de proveedores tampoco le proporcionará confianza. Las encuestas simplemente describen la misma información en un formato diferente. Entonces, ¿cómo evalúa un programa de seguridad maduro?

Evalúa el Entire Cloud Security Program

Primero, debes revisar como mínimo las declaraciones y el informe de hallazgos, no el resumen ejecutivo. Eso te proporcionará una visión general del programa revisado por un tercero. Segundo, definitivamente deberías revisar si la empresa se somete a una prueba de penetración por terceros o un programa de recompensas por errores. Personalmente, no soy fan de las recompensas por errores, pero sí de las pruebas de penetración por terceros de forma anual. La prueba de penetración te proporciona una prueba estructurada de tus defensas y retroalimentación real sobre vulnerabilidades. Finalmente, revisa los documentos de seguridad (generalmente el índice) que la empresa utiliza como base para la implementación. Esto incluye (pero ciertamente no se limita a) una política de seguridad, respuesta a incidentes y gestión de vulnerabilidades. Un equipo de seguridad experimentado ofrecerá compartir esos documentos y artefactos como parte del negocio normal.




Me aseguro de evaluar a cada proveedor y socio desde la perspectiva del acceso a los datos de la empresa. Esto significa que si el socio o proveedor gestiona datos de la empresa, están sujetos a más escrutinio que un proveedor que no lo hace. Ten en cuenta el propósito del negocio al evaluar un programa de seguridad. Evalúo el propósito del negocio y el tipo de información involucrada, luego evalúo desde esa perspectiva, en lugar de tratar a todos los socios y proveedores de la misma manera. En caso de duda, siempre pide más información.

Conectémosle con un experto de Bird.
Vea el poder completo del Bird en 30 minutos.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

Company

Newsletter

Mantente al día con Bird a través de actualizaciones semanales en tu buzón.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

Conectémosle con un experto de Bird.
Vea el poder completo del Bird en 30 minutos.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

Company

Newsletter

Mantente al día con Bird a través de actualizaciones semanales en tu buzón.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

Conectémosle con un experto de Bird.
Vea el poder completo del Bird en 30 minutos.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

R

Reach

G

Grow

M

Manage

A

Automate

Company

Newsletter

Mantente al día con Bird a través de actualizaciones semanales en tu buzón.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.