Por qué las atestaciones son solo una parte de su programa de seguridad en la nube

Esteban Murray

5 jul 2017

Correo electrónico

1 min read

Por qué las atestaciones son solo una parte de su programa de seguridad en la nube

Puntos clave

    • Attestations alone don’t guarantee security. Confirman que se cumplen ciertos estándares, pero no que los controles funcionen o sean monitoreados adecuadamente.

    • Operational readiness matters more than certification. Una empresa puede pasar una auditoría mientras sus herramientas de seguridad, como los sistemas IDS/IPS, no están funcionando.

    • Auditors often verify existence, not performance. Muchas certificaciones evalúan si los sistemas existen, no si están configurados correctamente o si se mantienen activamente.

    • A strong cloud security program blends compliance with continuous monitoring. Las certificaciones proporcionan una base de cumplimiento, pero las pruebas y evaluaciones continuas aseguran una verdadera protección.

    • Third-party penetration tests reveal real vulnerabilities. Ofrecen ideas más profundas que las encuestas o listas de verificación, validando que las medidas de seguridad funcionan bajo condiciones reales.

    • Vendor evaluations should consider data access and risk exposure. Los socios que manejan información sensible merecen un escrutinio más estricto y una revisión regular.

    • Effective security requires transparency. Las organizaciones maduras comparten voluntariamente políticas, marcos de respuesta a incidentes y procedimientos de gestión de vulnerabilidades.

Destacados de Q&A

  • ¿Por qué no son las declaraciones una medida fiable de la madurez de seguridad?

    Porque solo prueban que los controles requeridos existen, no que funcionan. La verdadera madurez en seguridad implica una validación continua, monitoreo y capacidad de respuesta a las amenazas.

  • ¿Cuál es un fallo común al depender únicamente de los controles de cumplimiento?

    Las organizaciones pueden desplegar herramientas solo para “marcar la casilla.” Por ejemplo, se puede instalar un IDS pero no configurarlo realmente para detectar o alertar sobre amenazas.

  • ¿Qué deberías revisar más allá de las declaraciones cuando evalúas a un proveedor?

    Sigue siempre el informe completo de hallazgos (no solo el resumen), pregunta sobre las pruebas de penetración anuales y solicita acceso a la documentación principal de seguridad.

  • ¿Cómo puede mejorar un programa de seguridad el testing de terceros?

    Las pruebas de penetración simulan ataques del mundo real, revelando debilidades que las auditorías de cumplimiento pasan por alto, asegurando que las defensas funcionen como se pretendía.

  • ¿Qué define un programa de seguridad en la nube maduro?

    Un enfoque equilibrado que combina las declaraciones, el monitoreo continuo, las estrategias de protección de datos, la preparación para la respuesta a incidentes y la gestión proactiva de vulnerabilidades.

  • ¿Cómo deberías evaluar las posturas de seguridad de los vendors?

    Evalúe según la sensibilidad de los datos a los que acceden: los proveedores que manejan datos de clientes deben cumplir con estándares de seguridad más altos y someterse a revisiones regulares.

La gente a menudo me pregunta qué hace un buen programa de seguridad. Por mucho que me gustaría señalar un aspecto de mi perímetro de seguridad como ejemplo, hay múltiples elementos para destacar.

Las Attestations no siempre miden tu postura defensiva

Una atestación, por definición, es una indicación que hace evidente algo. En el caso de la seguridad, específicamente los programas de seguridad, significa certificar oficialmente.

La gente a menudo me pregunta qué hace que un programa de seguridad sea bueno. Por mucho que me gustaría señalar un aspecto de mi perímetro de seguridad como ejemplo, hay múltiples elementos que destacar. La industria se basa en atestaciones y certificaciones para medir tus defensas de seguridad. Los ingenieros y operadores te dirán que tu verdadero perímetro de seguridad y las capacidades de evaluación de amenazas definen tu programa de seguridad. Yo te diré que tanto las atestaciones de cumplimiento como medida, como las capacidades operativas de tu equipo de seguridad definen tu programa. Sin embargo, las atestaciones por sí solas no son un estándar preciso para medir un programa.

Las atestaciones son una necesidad de la industria para asegurar el cumplimiento de los estatutos federales, locales y estatales, así como de las mejores prácticas de la industria. Los estándares ISO, NIST o DoD forman la base de la mayoría de las atestaciones. NIST, por ejemplo, publica un conjunto de estándares y guías técnicas para ayudar a las organizaciones a construir defensas perimetrales que sean “aceptables” para el gobierno. Sin embargo, como explicaré, el hecho de que se establezcan estándares no significa que la implementación siempre sea excepcional.

Una atestación, por definición, es una indicación que hace evidente algo. En el caso de la seguridad, específicamente los programas de seguridad, significa certificar oficialmente.

La gente a menudo me pregunta qué hace que un programa de seguridad sea bueno. Por mucho que me gustaría señalar un aspecto de mi perímetro de seguridad como ejemplo, hay múltiples elementos que destacar. La industria se basa en atestaciones y certificaciones para medir tus defensas de seguridad. Los ingenieros y operadores te dirán que tu verdadero perímetro de seguridad y las capacidades de evaluación de amenazas definen tu programa de seguridad. Yo te diré que tanto las atestaciones de cumplimiento como medida, como las capacidades operativas de tu equipo de seguridad definen tu programa. Sin embargo, las atestaciones por sí solas no son un estándar preciso para medir un programa.

Las atestaciones son una necesidad de la industria para asegurar el cumplimiento de los estatutos federales, locales y estatales, así como de las mejores prácticas de la industria. Los estándares ISO, NIST o DoD forman la base de la mayoría de las atestaciones. NIST, por ejemplo, publica un conjunto de estándares y guías técnicas para ayudar a las organizaciones a construir defensas perimetrales que sean “aceptables” para el gobierno. Sin embargo, como explicaré, el hecho de que se establezcan estándares no significa que la implementación siempre sea excepcional.

Una atestación, por definición, es una indicación que hace evidente algo. En el caso de la seguridad, específicamente los programas de seguridad, significa certificar oficialmente.

La gente a menudo me pregunta qué hace que un programa de seguridad sea bueno. Por mucho que me gustaría señalar un aspecto de mi perímetro de seguridad como ejemplo, hay múltiples elementos que destacar. La industria se basa en atestaciones y certificaciones para medir tus defensas de seguridad. Los ingenieros y operadores te dirán que tu verdadero perímetro de seguridad y las capacidades de evaluación de amenazas definen tu programa de seguridad. Yo te diré que tanto las atestaciones de cumplimiento como medida, como las capacidades operativas de tu equipo de seguridad definen tu programa. Sin embargo, las atestaciones por sí solas no son un estándar preciso para medir un programa.

Las atestaciones son una necesidad de la industria para asegurar el cumplimiento de los estatutos federales, locales y estatales, así como de las mejores prácticas de la industria. Los estándares ISO, NIST o DoD forman la base de la mayoría de las atestaciones. NIST, por ejemplo, publica un conjunto de estándares y guías técnicas para ayudar a las organizaciones a construir defensas perimetrales que sean “aceptables” para el gobierno. Sin embargo, como explicaré, el hecho de que se establezcan estándares no significa que la implementación siempre sea excepcional.

El Despliegue de una Herramienta No Significa que Está Proporcionando Valor

Los controles permiten flexibilidad en la implementación y el crecimiento operativo e innovación con el tiempo. Desafortunadamente, algunas organizaciones usan la flexibilidad para marcar la casilla, pero no tienen defensas reales en su lugar.

Un ejemplo principal de este problema es los sistemas de detección/protección de intrusiones (IDS o IPS). Al igual que los escáneres de virus, la mayoría de las organizaciones invierten en IDS/IPS como una práctica estándar de seguridad para protegerse contra el tráfico malicioso y la exfiltración de datos. La industria está llena de proveedores que ofrecen varias formas de sistemas IDS/IPS. Sin embargo, algunas organizaciones crean sistemas en lugar de comprarlos.

Recientemente dejé una organización que "construyó" su propio sistema de detección de intrusiones a partir de herramientas de código abierto. Se les dijo a los auditores que el sistema era una "herramienta fantástica" e incluso se les dieron ejemplos de tráfico. Cuando profundicé en la telemetría que la herramienta estaba proporcionando, me di cuenta de que el tráfico no estaba siendo analizado en absoluto. Más bien, pasaba a través del sensor ya que no estaba configurado para capturar ningún tráfico o alertar en absoluto. Además, las credenciales utilizadas para administrar la herramienta fueron configuradas por un empleado anterior y nunca se actualizaron después de su salida. Así que esencialmente, la herramienta estuvo inactiva durante meses sin ninguna intervención humana. No solo esto pone en riesgo a la empresa, sino que también compromete el perímetro.

Un auditor astuto no habría detectado el problema porque las declaraciones no buscan información "operativa" en todos los sistemas: el estándar es literalmente una capa de preguntas y respuestas. De hecho, la mayoría de las declaraciones miden simplemente si la herramienta existe, no su viabilidad operativa. Además, la mayoría de los auditores no son lo suficientemente técnicos para discernir un IDS/IPS funcional de uno no funcional. La esencia de la auditoría recae en que la empresa muestre su mejor cara en lugar de responder preguntas difíciles. Los auditores también tienen que cubrir una amplia gama de controles durante una auditoría, por lo que el tiempo es un gran factor en la calidad de su análisis.

Una declaración por sí sola te dirá que una empresa tiene un programa de seguridad maduro con controles. Requerir que un socio potencial complete un cuestionario de proveedor tampoco te proporcionará confianza. Las encuestas simplemente delinean la misma información en un formato diferente. Entonces, ¿cómo evalúas un programa de seguridad maduro?

Los controles permiten flexibilidad en la implementación y el crecimiento operativo e innovación con el tiempo. Desafortunadamente, algunas organizaciones usan la flexibilidad para marcar la casilla, pero no tienen defensas reales en su lugar.

Un ejemplo principal de este problema es los sistemas de detección/protección de intrusiones (IDS o IPS). Al igual que los escáneres de virus, la mayoría de las organizaciones invierten en IDS/IPS como una práctica estándar de seguridad para protegerse contra el tráfico malicioso y la exfiltración de datos. La industria está llena de proveedores que ofrecen varias formas de sistemas IDS/IPS. Sin embargo, algunas organizaciones crean sistemas en lugar de comprarlos.

Recientemente dejé una organización que "construyó" su propio sistema de detección de intrusiones a partir de herramientas de código abierto. Se les dijo a los auditores que el sistema era una "herramienta fantástica" e incluso se les dieron ejemplos de tráfico. Cuando profundicé en la telemetría que la herramienta estaba proporcionando, me di cuenta de que el tráfico no estaba siendo analizado en absoluto. Más bien, pasaba a través del sensor ya que no estaba configurado para capturar ningún tráfico o alertar en absoluto. Además, las credenciales utilizadas para administrar la herramienta fueron configuradas por un empleado anterior y nunca se actualizaron después de su salida. Así que esencialmente, la herramienta estuvo inactiva durante meses sin ninguna intervención humana. No solo esto pone en riesgo a la empresa, sino que también compromete el perímetro.

Un auditor astuto no habría detectado el problema porque las declaraciones no buscan información "operativa" en todos los sistemas: el estándar es literalmente una capa de preguntas y respuestas. De hecho, la mayoría de las declaraciones miden simplemente si la herramienta existe, no su viabilidad operativa. Además, la mayoría de los auditores no son lo suficientemente técnicos para discernir un IDS/IPS funcional de uno no funcional. La esencia de la auditoría recae en que la empresa muestre su mejor cara en lugar de responder preguntas difíciles. Los auditores también tienen que cubrir una amplia gama de controles durante una auditoría, por lo que el tiempo es un gran factor en la calidad de su análisis.

Una declaración por sí sola te dirá que una empresa tiene un programa de seguridad maduro con controles. Requerir que un socio potencial complete un cuestionario de proveedor tampoco te proporcionará confianza. Las encuestas simplemente delinean la misma información en un formato diferente. Entonces, ¿cómo evalúas un programa de seguridad maduro?

Los controles permiten flexibilidad en la implementación y el crecimiento operativo e innovación con el tiempo. Desafortunadamente, algunas organizaciones usan la flexibilidad para marcar la casilla, pero no tienen defensas reales en su lugar.

Un ejemplo principal de este problema es los sistemas de detección/protección de intrusiones (IDS o IPS). Al igual que los escáneres de virus, la mayoría de las organizaciones invierten en IDS/IPS como una práctica estándar de seguridad para protegerse contra el tráfico malicioso y la exfiltración de datos. La industria está llena de proveedores que ofrecen varias formas de sistemas IDS/IPS. Sin embargo, algunas organizaciones crean sistemas en lugar de comprarlos.

Recientemente dejé una organización que "construyó" su propio sistema de detección de intrusiones a partir de herramientas de código abierto. Se les dijo a los auditores que el sistema era una "herramienta fantástica" e incluso se les dieron ejemplos de tráfico. Cuando profundicé en la telemetría que la herramienta estaba proporcionando, me di cuenta de que el tráfico no estaba siendo analizado en absoluto. Más bien, pasaba a través del sensor ya que no estaba configurado para capturar ningún tráfico o alertar en absoluto. Además, las credenciales utilizadas para administrar la herramienta fueron configuradas por un empleado anterior y nunca se actualizaron después de su salida. Así que esencialmente, la herramienta estuvo inactiva durante meses sin ninguna intervención humana. No solo esto pone en riesgo a la empresa, sino que también compromete el perímetro.

Un auditor astuto no habría detectado el problema porque las declaraciones no buscan información "operativa" en todos los sistemas: el estándar es literalmente una capa de preguntas y respuestas. De hecho, la mayoría de las declaraciones miden simplemente si la herramienta existe, no su viabilidad operativa. Además, la mayoría de los auditores no son lo suficientemente técnicos para discernir un IDS/IPS funcional de uno no funcional. La esencia de la auditoría recae en que la empresa muestre su mejor cara en lugar de responder preguntas difíciles. Los auditores también tienen que cubrir una amplia gama de controles durante una auditoría, por lo que el tiempo es un gran factor en la calidad de su análisis.

Una declaración por sí sola te dirá que una empresa tiene un programa de seguridad maduro con controles. Requerir que un socio potencial complete un cuestionario de proveedor tampoco te proporcionará confianza. Las encuestas simplemente delinean la misma información en un formato diferente. Entonces, ¿cómo evalúas un programa de seguridad maduro?

Evalúa el Entire Cloud Security Program

Primero, debes revisar como mínimo las declaraciones juradas y el informe de hallazgos, no el resumen ejecutivo. Esto te proporcionará una visión general del programa revisado por un tercero. Además, los programas de seguridad completos deben incluir estrategias de protección de datos robustas como procedimientos de respaldo y recuperación de bases de datos para asegurar la continuidad del negocio y la integridad de los datos durante incidentes de seguridad. Segundo, definitivamente debes revisar si la empresa se somete a una prueba de penetración de terceros o un programa de recompensas por errores. Personalmente, no soy fan de las recompensas por errores, pero sí lo soy de las pruebas de penetración de terceros anualmente. Pentesting te proporciona una prueba estructurada de tus defensas y retroalimentación real sobre vulnerabilidades. Finalmente, revisa los documentos de seguridad (generalmente índice de contenidos) que la empresa utiliza como base para la implementación. Esto incluye (pero ciertamente no se limita a) una política de seguridad, respuesta a incidentes y gestión de vulnerabilidades. Un equipo de seguridad experimentado ofrecerá compartir esos documentos y artefactos como parte del negocio normal.

Para mí, es una práctica habitual evaluar a cada proveedor y socio desde la perspectiva del acceso a los datos de la empresa. Esto significa que si el socio o proveedor gestiona los datos de la empresa, están sujetos a más escrutinio que un proveedor que no lo hace. Ten en cuenta el propósito del negocio al evaluar un programa de seguridad. Reviso el propósito del negocio y el tipo de información involucrada, luego evalúo desde esa perspectiva, en lugar de tratar a todos los socios y proveedores por igual. En caso de duda, siempre pide más información.

Primero, debes revisar como mínimo las declaraciones juradas y el informe de hallazgos, no el resumen ejecutivo. Esto te proporcionará una visión general del programa revisado por un tercero. Además, los programas de seguridad completos deben incluir estrategias de protección de datos robustas como procedimientos de respaldo y recuperación de bases de datos para asegurar la continuidad del negocio y la integridad de los datos durante incidentes de seguridad. Segundo, definitivamente debes revisar si la empresa se somete a una prueba de penetración de terceros o un programa de recompensas por errores. Personalmente, no soy fan de las recompensas por errores, pero sí lo soy de las pruebas de penetración de terceros anualmente. Pentesting te proporciona una prueba estructurada de tus defensas y retroalimentación real sobre vulnerabilidades. Finalmente, revisa los documentos de seguridad (generalmente índice de contenidos) que la empresa utiliza como base para la implementación. Esto incluye (pero ciertamente no se limita a) una política de seguridad, respuesta a incidentes y gestión de vulnerabilidades. Un equipo de seguridad experimentado ofrecerá compartir esos documentos y artefactos como parte del negocio normal.

Para mí, es una práctica habitual evaluar a cada proveedor y socio desde la perspectiva del acceso a los datos de la empresa. Esto significa que si el socio o proveedor gestiona los datos de la empresa, están sujetos a más escrutinio que un proveedor que no lo hace. Ten en cuenta el propósito del negocio al evaluar un programa de seguridad. Reviso el propósito del negocio y el tipo de información involucrada, luego evalúo desde esa perspectiva, en lugar de tratar a todos los socios y proveedores por igual. En caso de duda, siempre pide más información.

Primero, debes revisar como mínimo las declaraciones juradas y el informe de hallazgos, no el resumen ejecutivo. Esto te proporcionará una visión general del programa revisado por un tercero. Además, los programas de seguridad completos deben incluir estrategias de protección de datos robustas como procedimientos de respaldo y recuperación de bases de datos para asegurar la continuidad del negocio y la integridad de los datos durante incidentes de seguridad. Segundo, definitivamente debes revisar si la empresa se somete a una prueba de penetración de terceros o un programa de recompensas por errores. Personalmente, no soy fan de las recompensas por errores, pero sí lo soy de las pruebas de penetración de terceros anualmente. Pentesting te proporciona una prueba estructurada de tus defensas y retroalimentación real sobre vulnerabilidades. Finalmente, revisa los documentos de seguridad (generalmente índice de contenidos) que la empresa utiliza como base para la implementación. Esto incluye (pero ciertamente no se limita a) una política de seguridad, respuesta a incidentes y gestión de vulnerabilidades. Un equipo de seguridad experimentado ofrecerá compartir esos documentos y artefactos como parte del negocio normal.

Para mí, es una práctica habitual evaluar a cada proveedor y socio desde la perspectiva del acceso a los datos de la empresa. Esto significa que si el socio o proveedor gestiona los datos de la empresa, están sujetos a más escrutinio que un proveedor que no lo hace. Ten en cuenta el propósito del negocio al evaluar un programa de seguridad. Reviso el propósito del negocio y el tipo de información involucrada, luego evalúo desde esa perspectiva, en lugar de tratar a todos los socios y proveedores por igual. En caso de duda, siempre pide más información.

Otras noticias

Leer más de esta categoría

A person is standing at a desk while typing on a laptop.

La plataforma completa AI-native que escala con tu negocio.

Contactar con ventas

Empieza gratis

© 2025 Bird

Contactar Soporte

A person is standing at a desk while typing on a laptop.

La plataforma completa AI-native que escala con tu negocio.

Contactar con ventas

Empieza gratis

© 2025 Bird

Contactar Soporte

A person is standing at a desk while typing on a laptop.

La plataforma completa AI-native que escala con tu negocio.

Contactar con ventas

Empieza gratis

© 2025 Bird

Contactar Soporte