Niall Browne, director de seguridad de la información
La Cloud Security Alliance (CSA) organizó su congreso anual en Florida la semana pasada, del 16 al 17 de noviembre. Una pregunta que estuvo en gran parte ausente de la reunión de este año fue la repetitiva "¿Se trasladarán las empresas a la nube?" lo que requería mucha angustia y retorcimiento de manos. En cambio, esto se reemplazó con la comprensión de que la adopción de la nube se estaba convirtiendo rápidamente en una realidad de la industria, y las empresas deben tomar medidas para mantenerse al día o quedarse atrás.
De hecho, el consejo del presidente de Symantec, John W. Thompson, desde el podio fue "¡No luche contra la Madre Naturaleza!" que fue bien recibido por los asistentes.
“Confiar pero verificar” siempre ha sido una de las filosofías clave de las empresas al evaluar la seguridad de sus proveedores, y los proveedores de la nube no son una excepción. Sin embargo, una de las preocupaciones clave con respecto a la nube es que, a medida que introduce nuevas tecnologías y modelos de operaciones, se deben crear nuevos controles en la nube para mantenerse al día con los cambios, y surge la pregunta: "¿Dónde están estos controles de verificación de seguridad en la nube?"
Afortunadamente, hubo numerosos líderes de la nube y organismos de la industria de la seguridad presentes en la conferencia para comenzar a responder la pregunta de "verificación" de la nube, incluidos CSA, ISACA, BITS y CAMM, entre otros. Incluso el Gobierno Federal estuvo disponible con el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP), que se estableció para proporcionar un enfoque estándar para evaluar los servicios en la nube. Uno de sus principales beneficios es que los resultados de seguridad del proveedor de la nube se pueden aprovechar en todo el gobierno federal. Se puede encontrar más información esta página.
El mes pasado, se publicaron las evaluaciones compartidas de BITS “Evaluación del riesgo de la nube para la empresa”, una guía de cincuenta páginas sobre los pasos necesarios para proteger la nube. Esto involucró la participación de muchos líderes de la industria, incluidos Goldman Sachs, US Bank, AT&T, Gartner, KPMG, ISACA y CSA. En la conferencia, presenté los nuevos controles de la nube "Delta" que se necesitan para evaluar la seguridad de los proveedores de la nube y los pasos que las empresas pueden tomar para incorporar la seguridad de la nube en sus programas existentes de administración de riesgos y proveedores. Esta guía, presidida por LiveOps, se puede encontrar esta página.
Todos aceptaron que el proceso de ayudar a proteger la nube y crear los pasos de verificación necesarios implica un viaje progresivo e iterativo. Esta conferencia anunció el primer compromiso generalizado de la industria para ayudar a lograr este objetivo, con numerosas organizaciones y empresas anunciando programas de seguridad innovadores para la nube, y con el liderazgo clave de Cloud Security Alliance (CSA). Puede encontrar más información sobre el Congreso esta página.
¿Está interesado en conocer LiveOps y nuestra opinión sobre la computación en la nube y la seguridad? Echa un vistazo al artículo reciente que escribí en Contact Center Security y la verdadera nube.
