Compartir a través de

Equipos de seguridad, roles y funciones

En este artículo se describen los roles de seguridad y las funciones necesarias para la infraestructura y las plataformas en la nube. Use estos roles para integrar la seguridad en cada fase del ciclo de vida de la nube, desde el desarrollo hasta las operaciones y la mejora continua.

Diagrama que muestra las metodologías implicadas en la adopción de la nube. El diagrama tiene cuadros para cada fase: equipos y roles, estrategia, plan, listo, adopción, gobernanza y administración. El cuadro de este artículo está resaltado.

El tamaño de la organización determina cómo se asignan estos roles. Las grandes empresas suelen tener equipos especializados para cada rol. Las organizaciones más pequeñas suelen consolidar varias funciones en menos roles. Las plataformas técnicas y los servicios también influyen en responsabilidades de seguridad específicas.

Los equipos de tecnología y nube realizan algunas tareas de seguridad directamente. Los equipos de seguridad especializados realizan otras tareas en colaboración con los equipos tecnológicos. Independientemente de la estructura de la organización, las partes interesadas deben comprender el trabajo de seguridad necesario. Todos los equipos deben comprender los requisitos empresariales y la tolerancia al riesgo para tomar decisiones fundamentadas sobre los servicios en la nube. Use esta guía para comprender las funciones de equipos y roles específicos y cómo interactúan para proporcionar una cobertura completa de seguridad en la nube.

Transformación de roles de seguridad

Los roles de arquitectura, ingeniería y operaciones de seguridad están experimentando un cambio sustancial a medida que las organizaciones adoptan plataformas en la nube y prácticas de desarrollo modernas. Esta transformación afecta a cómo se realiza el trabajo de seguridad, cómo colaboran los equipos y cómo se distribuyen las responsabilidades entre funciones técnicas. Hay varios factores que impulsan este cambio:

  • Cambie a herramientas de seguridad nativas de nube y basadas en SaaS. La adopción de plataformas SaaS cambia el foco de los equipos de seguridad de la implementación a la gobernanza. Los equipos de seguridad proporcionan las directivas, los estándares y las líneas base de configuración. No configuran directamente los servicios SaaS. Los equipos que poseen la aplicación SaaS aplican esta guía a sus herramientas específicas. Esta separación garantiza que se cumplan los requisitos de seguridad al permitir que los equipos de aplicaciones administren la configuración operativa de sus servicios.

  • Seguridad como responsabilidad compartida entre equipos de ingeniería. Todos los equipos técnicos ahora son responsables directamente de aplicar controles de seguridad a las cargas de trabajo y los servicios que crean o operan. Los equipos de seguridad proporcionan patrones, instrucciones, automatización y barreras de protección que hacen que la implementación segura sea la predeterminada y reduzca la fricción en los procesos de entrega.

  • Requisitos de aptitudes más amplios y multiplataforma. Cada vez más, los equipos de seguridad necesitan comprender una amplia gama de tecnologías y cómo los atacantes se mueven entre sistemas. Dado que las plataformas en la nube integran las capas de identidad, red, proceso, aplicación y operaciones, los profesionales de seguridad deben evaluar las rutas de acceso de ataque de un extremo a otro en lugar de centrarse en dominios técnicos estrechos.

  • Cambio continuo en las plataformas en la nube y las funcionalidades de seguridad. Los servicios en la nube evolucionan rápidamente y las nuevas funcionalidades aparecen con frecuencia. Los procesos de seguridad deben adaptarse continuamente para seguir siendo eficaces, lo que requiere una mayor agilidad de los roles de arquitectura, ingeniería y operaciones.

  • Mayor dependencia de los principios de confianza cero. Los atacantes modernos omiten rutinariamente los controles perimetrales de red, haciendo que la identidad, el estado del dispositivo, el contexto de la aplicación y la telemetría sean fundamentales para las decisiones de seguridad. Los roles de ingeniería, operaciones y seguridad deben incorporar el pensamiento de Confianza cero en las actividades de diseño, configuración y supervisión.

  • Integración de la seguridad en DevOps y procedimientos de ingeniería de plataforma. Los ciclos de lanzamiento acelerados requieren actividades de seguridad que se adelanten en el ciclo de vida y funcionen a través de la automatización. Los roles de seguridad colaboran cada vez más con los equipos de ingeniería y plataforma para insertar comprobaciones de seguridad, aplicación de directivas y validación en flujos de trabajo de CI/CD y procesos operativos.

Estos cambios vuelven a dar forma a cómo funcionan juntos los roles existentes en lugar de crear nuevos roles. El objetivo es garantizar que la seguridad se convierta en una parte integrada y continua de cómo se diseñan, compilan, implementan y operan los servicios en la nube.

Información general sobre roles y equipos

En las secciones siguientes se describen los equipos y roles que normalmente realizan funciones clave de seguridad en la nube. Use estas descripciones para asignar la estructura organizativa actual a las funciones estándar de seguridad en la nube. Identifique las brechas en la cobertura y determine dónde invertir recursos. Asegúrese de que todas las partes interesadas comprendan sus responsabilidades de seguridad y cómo colaborar con otros equipos. Documente los procesos de seguridad entre equipos y un modelo de responsabilidad compartida para los equipos técnicos. Un modelo de responsabilidad compartida funciona como una matriz Responsable, A cargo, Consultada, Informada (RACI). Define los requisitos de autoridad y colaboración de la toma de decisiones para resultados específicos. Esta documentación evita las brechas de cobertura y los esfuerzos superpuestos. También evita antipatrones comunes, como la selección de soluciones de autenticación débil o criptografía. Si es una organización más pequeña y quiere empezar a trabajar con un equipo de seguridad mínimo viable, consulte Equipo de seguridad mínimo viable para pequeñas organizaciones. Entre los roles de seguridad clave se incluyen:

Proveedor de servicios de nube

Los proveedores de servicios en la nube son miembros del equipo virtual que proporcionan funciones y funcionalidades de seguridad para la plataforma en la nube subyacente. Algunos proveedores de nube también proporcionan características y funcionalidades de seguridad que los equipos pueden usar para administrar la posición de seguridad y los incidentes. Para obtener más información sobre lo que realizan los proveedores de servicios en la nube, consulte el modelo de responsabilidad compartida en la nube.

Muchos proveedores de servicios en la nube proporcionan información sobre sus prácticas y controles de seguridad bajo petición o a través de un portal como el portal de confianza de servicios de Microsoft.

Equipos de infraestructura y plataforma (arquitectura, ingeniería y operaciones)

Los equipos de infraestructura/plataforma, ingeniería y operaciones implementan e integran controles de seguridad, privacidad y cumplimiento en la nube en los entornos de infraestructura y plataforma en la nube (entre servidores, contenedores, redes, identidades y otros componentes técnicos).

Los roles de ingeniería y operaciones pueden centrarse principalmente en sistemas de nube o en integración continua y despliegue continuo (CI/CD), o bien pueden trabajar en una gama completa de nube, CI/CD, locales y otras infraestructuras y plataformas.

Estos equipos son responsables de satisfacer toda la disponibilidad, escalabilidad, seguridad, privacidad y otros requisitos de los servicios en la nube de la organización que hospedan cargas de trabajo empresariales. Trabajan en colaboración con expertos en seguridad, riesgo, cumplimiento y privacidad para impulsar los resultados que combinan y equilibran todos estos requisitos.

Arquitectura de seguridad, ingeniería y equipos de administración de posturas

Los equipos de seguridad trabajan con roles de infraestructura y plataforma (y otros) para ayudar a traducir la estrategia de seguridad, la directiva y los estándares en arquitecturas, soluciones y patrones de diseño accionables. Estos equipos se centran en habilitar el éxito de seguridad de los equipos en la nube. Evalúan e influyen en la seguridad de la infraestructura y los procesos y herramientas que se usan para administrarla. A continuación se muestran algunas de las tareas comunes realizadas por los equipos de seguridad para la infraestructura:

  • Los arquitectos e ingenieros de seguridad adaptan las directivas de seguridad, los estándares y las directrices para que los entornos en la nube diseñen e implementen controles en asociación con sus homólogos de infraestructura y plataforma. Los arquitectos e ingenieros de seguridad ayudan con una amplia gama de elementos, entre los que se incluyen:

    • Inquilinos o suscripciones.Los arquitectos e ingenieros de seguridad colaboran con arquitectos de infraestructura e ingenieros y arquitectos de acceso (identidad, redes, aplicaciones y otros) para ayudar a establecer configuraciones de seguridad para inquilinos, suscripciones y cuentas en la nube en proveedores de nube (supervisados por los equipos de administración de la posición de seguridad).

    • Administración de identidades y acceso (IAM).Los arquitectos de acceso (identidad, redes, aplicaciones y otros) colaboran con ingenieros de identidad y equipos de infraestructura y plataforma para diseñar, implementar y operar soluciones de administración de acceso. Estas soluciones protegen contra el uso no autorizado de los recursos empresariales de la organización, al tiempo que permiten a los usuarios autorizados seguir los procesos empresariales para acceder fácilmente y de forma segura a los recursos de la organización. Estos equipos trabajan en soluciones como directorios de identidad y soluciones de inicio de sesión único (SSO), sin contraseña y autenticación multifactor (MFA), soluciones de acceso condicional basadas en riesgos, identidades de carga de trabajo, administración de identidades y acceso con privilegios (PIM/PAM), infraestructura en la nube y administración de derechos (CIEM), etc. Estos equipos también colaboran con ingenieros de red y operaciones para diseñar, implementar y operar soluciones perimetrales de servicio de seguridad (SSE). Los equipos de cargas de trabajo pueden aprovechar estas funcionalidades para proporcionar acceso sin problemas y más seguro a componentes individuales de la carga de trabajo y de la aplicación.

    • Seguridad de los datos.Los arquitectos e ingenieros de seguridad colaboran con arquitectos e ingenieros de inteligencia artificial y datos para ayudar a los equipos de infraestructura o plataforma a establecer funcionalidades de seguridad de datos fundamentales para todos los datos y funcionalidades avanzadas que se pueden usar para clasificar y proteger los datos en cargas de trabajo individuales. Para obtener más información sobre la seguridad de los datos fundamentales, consulte la prueba comparativa de protección de datos de seguridad de Microsoft. Para obtener más información sobre cómo proteger los datos en cargas de trabajo individuales, consulte la guía del marco bien diseñado.

    • Seguridad de red.Los arquitectos e ingenieros de seguridad colaboran con arquitectos de red e ingenieros para ayudar a los equipos de infraestructura o plataforma a establecer funcionalidades de seguridad de red fundamentales, como la conectividad a la nube (líneas privadas o alquiladas), las estrategias y soluciones de acceso remoto, los firewalls de entrada y salida, los firewalls de aplicaciones web (WAF) y la segmentación de red. Estos equipos también colaboran con arquitectos de identidades, ingenieros y operaciones para diseñar, implementar y operar soluciones SSE. Los equipos de carga de trabajo pueden aprovechar estas funcionalidades para proporcionar protección discreta o aislamiento de componentes individuales de la carga de trabajo y de la aplicación.

    • Servidores y seguridad de contenedor.Los arquitectos e ingenieros de seguridad colaboran con arquitectos e ingenieros de infraestructura para ayudar a los equipos de infraestructura/plataforma a establecer funcionalidades de seguridad fundamentales para servidores, máquinas virtuales, contenedores, orquestación y administración, CI/CD y sistemas relacionados. Estos equipos establecen procesos de detección e inventario, configuraciones de línea de base/punto de referencia de seguridad, procesos de mantenimiento y parcheo, listas de inclusión para archivos binarios ejecutables, imágenes de plantilla, procesos de administración, etc. Los equipos de carga de trabajo también pueden aprovechar estas funcionalidades fundamentales de infraestructura para proporcionar seguridad para servidores y contenedores para componentes individuales de la carga de trabajo y de la aplicación.

    • Fundamentos de seguridad de software (para la seguridad de aplicaciones y DevSecOps).Los arquitectos e ingenieros de seguridad colaboran con ingenieros de seguridad de software para ayudar a los equipos de infraestructura o plataforma a establecer funcionalidades de seguridad de aplicaciones que pueden usar cargas de trabajo individuales, análisis de código, herramientas de facturación de software (SBOM), WAF y análisis de aplicaciones. Consulte Controles de DevSecOps para obtener más información sobre cómo establecer un ciclo de vida de desarrollo de seguridad (SDL). Para obtener más información sobre cómo los equipos de carga de trabajo usan estas funcionalidades, consulte la guía del ciclo de vida de desarrollo de seguridad en el marco bien diseñado.

  • Los ingenieros de seguridad de software evalúan el código, los scripts y otra lógica automatizada que se usa para administrar la infraestructura, incluida la infraestructura como código (IaC), los flujos de trabajo de CI/CD y cualquier otra aplicación o herramientas personalizadas. Estos ingenieros deben estar comprometidos para proteger el código formal en aplicaciones compiladas, scripts, configuraciones de plataformas de automatización. Revisan cualquier otra forma de código ejecutable o script que pudiera permitir a los atacantes manipular el funcionamiento del sistema. Esta evaluación puede implicar simplemente realizar un análisis del modelo de amenazas de un sistema, o podría implicar herramientas de revisión de código y análisis de seguridad. Consulte la guía de procedimientos de SDL para obtener más información sobre cómo establecer un SDL.

  • La administración de posturas (administración de vulnerabilidades/administración de superficie expuesta a ataques) es el equipo de seguridad operativo que se centra en la habilitación de seguridad para los equipos de operaciones técnicas. La administración de posturas ayuda a estos equipos a priorizar e implementar controles para bloquear o mitigar las técnicas de ataque. Los equipos de administración de posturas trabajan en todos los equipos de operaciones técnicas (incluidos los equipos en la nube) y a menudo sirven como medio principal para comprender los requisitos de seguridad, los requisitos de cumplimiento y los procesos de gobernanza.

    La administración de posturas suele servir como centro de excelencia (CoE) para los equipos de infraestructura de seguridad, de forma similar a la forma en que los ingenieros de software suelen servir como CoE de seguridad para los equipos de desarrollo de aplicaciones. Entre las tareas típicas de estos equipos se incluyen las siguientes.

    • Supervise la posición de seguridad. Supervise todos los sistemas técnicos mediante herramientas de administración de posturas como Administración de exposición de seguridad de Microsoft, Administración de permisos de Entra de Microsoft, vulnerabilidades que no son de Microsoft y Administración de superficie expuesta a ataques externos (EASM) y herramientas de CIEM, y herramientas y paneles de posición de seguridad personalizados. Además, la gestión de postura realiza análisis para proporcionar información detallada mediante:

      • Anticipando rutas de ataque muy probables y perjudiciales. Los atacantes "piensan en gráficos" y buscan rutas de acceso a sistemas críticos para la empresa mediante el encadenamiento de varios recursos y vulnerabilidades en distintos sistemas. Por ejemplo, poner en peligro los puntos de conexión de usuario y, a continuación, usar el hash o el vale para capturar una credencial de administrador y acceder a los datos críticos para la empresa. Los equipos de administración de posturas trabajan con arquitectos e ingenieros de seguridad para detectar y mitigar estos riesgos ocultos, que no siempre aparecen en listas técnicas e informes.

      • Realizar evaluaciones de seguridad para revisar las configuraciones del sistema y los procesos operativos para comprender y obtener información más detallada más allá de los datos técnicos de las herramientas de posición de seguridad. Estas evaluaciones pueden adoptar la forma de conversaciones de detección informales o ejercicios formales de modelado de amenazas.

    • Ayudar con la priorización. Ayude a los equipos técnicos a supervisar de forma proactiva sus recursos y priorizar el trabajo de seguridad. La administración de la posición ayuda a poner el trabajo de mitigación de riesgos en contexto teniendo en cuenta el impacto en el riesgo de seguridad (informado por experiencia, informes de incidentes de operaciones de seguridad y otras inteligencias sobre amenazas, inteligencia empresarial y otros orígenes) además de los requisitos de cumplimiento de seguridad.

    • Entrenador, mentor y experto. Aumente los conocimientos de seguridad y las aptitudes de los equipos de ingeniería técnica mediante formación, mentoría de personas y transferencia de conocimientos informales. Los roles de administración de la postura también podrían trabajar con la preparación de la organización / formación y educación de seguridad y roles de compromiso en la formación formal de seguridad y la creación de seguridad dentro de los equipos técnicos que fomentan y educan a sus compañeros en materia de seguridad.

    • Identificar brechas y defender las correcciones. Identifique las tendencias generales, las brechas de procesos, las lagunas de herramientas y otras conclusiones sobre los riesgos y mitigaciones. Los roles de administración de posturas colaboran y se comunican con arquitectos e ingenieros de seguridad para desarrollar soluciones, crear un caso para las soluciones de financiación y ayudar a implementar correcciones.

    • Coordinar con las operaciones de seguridad (SecOps). Ayude a los equipos técnicos a trabajar con roles de SecOps, como la ingeniería de detección y los equipos de búsqueda de amenazas. Esta continuidad en todos los roles operativos ayuda a garantizar que las detecciones están implementadas e implementadas correctamente, los datos de seguridad están disponibles para la investigación de incidentes y la búsqueda de amenazas, los procesos están en vigor para la colaboración y mucho más.

    • Proporcione informes. Proporcione informes oportunos y precisos sobre incidentes de seguridad, tendencias y métricas de rendimiento a la administración y las partes interesadas sénior para actualizar los procesos de riesgo de la organización.

    Los equipos de administración de posturas suelen evolucionar a partir de los roles de administración de vulnerabilidades de software existentes para abordar el conjunto completo de tipos de vulnerabilidades funcionales, de configuración y operativos descritos en el modelo de referencia de confianza cero de grupo abierto. Cada tipo de vulnerabilidad puede permitir que los usuarios no autorizados (incluidos los atacantes) tomen el control del software o los sistemas, lo que les permite causar daños en los recursos empresariales.

    • Las vulnerabilidades funcionales se producen en el diseño o la implementación de software. Pueden permitir el control no autorizado del software afectado. Estas vulnerabilidades pueden ser defectos en el software que sus propios equipos desarrollaron o errores en el software comercial o código abierto (normalmente se realiza un seguimiento por un identificador de vulnerabilidades y exposiciones comunes).

    • Las vulnerabilidades de configuración son configuraciones incorrectas de los sistemas que permiten el acceso no autorizado a la funcionalidad del sistema. Estas vulnerabilidades se pueden introducir durante las operaciones en curso, también conocidas como desfase de configuración. También se pueden introducir durante la implementación inicial y la configuración de software y sistemas, o bien mediante valores predeterminados de seguridad débiles de un proveedor. Algunos ejemplos habituales son:

      • Objetos huérfanos que permiten el acceso no autorizado a elementos como registros DNS y pertenencia a grupos.

      • Roles o permisos administrativos excesivos sobre los recursos.

      • Uso de un protocolo de autenticación más débil o algoritmo criptográfico que tiene problemas de seguridad conocidos.

      • Configuraciones predeterminadas débiles o contraseñas predeterminadas.

    • Las vulnerabilidades operativas son debilidades en los procesos operativos estándar y las prácticas que permiten el acceso o el control no autorizados de los sistemas. Algunos ejemplos son:

      • Los administradores que usan cuentas compartidas en lugar de sus propias cuentas individuales para realizar tareas con privilegios.

      • Uso de configuraciones de "navegación hacia arriba" que crean rutas de elevación de privilegios que los atacantes pueden explotar. Esta vulnerabilidad se produce cuando las cuentas administrativas con privilegios elevados inician sesión en estaciones de trabajo y dispositivos de usuario de confianza inferior (como estaciones de trabajo de usuario estándar y dispositivos propiedad del usuario), a veces a través de servidores de salto que no mitigan estos riesgos de forma eficaz. Para obtener más información, consulte Protección del acceso con privilegios y dispositivos de acceso con privilegios.

Operaciones de seguridad (SecOps o SOC)

El equipo de SecOps se conoce a veces como Security Operations Center (SOC). El equipo de SecOps se centra en buscar y quitar rápidamente el acceso de adversario a los recursos de la organización. Trabajan en estrecha colaboración con equipos de ingeniería y operaciones tecnológicas. Los roles de SecOps pueden funcionar en todas las tecnologías de la organización, como TI tradicional, tecnología operativa (OT) e Internet de las cosas (IoT). A continuación se muestran los roles de SecOps que suelen interactuar con los equipos en la nube:

  • Analistas de triaje (primer nivel). Responde a las detecciones de incidentes para técnicas de ataque conocidas y sigue los procedimientos documentados para resolverlos rápidamente (o escalarlos a analistas de investigación según corresponda). Según el ámbito y el nivel de madurez de SecOps, esto puede incluir detecciones y alertas de correo electrónico, soluciones antimalware de puntos de conexión, servicios en la nube, detecciones de red u otros sistemas técnicos.

  • Analistas de investigación (nivel 2). Responde a investigaciones de incidentes de mayor complejidad y mayor gravedad que requieren más experiencia y experiencia (más allá de procedimientos de resolución bien documentados). Normalmente, este equipo investiga los ataques realizados por adversarios humanos activos y ataques que afectan a varios sistemas. Trabaja en estrecha colaboración con los equipos de operaciones tecnológicas e ingeniería para investigar incidentes y resolverlos.

  • Búsqueda de amenazas. Busca proactivamente amenazas ocultas dentro del patrimonio técnico que han evadido los mecanismos de detección estándar. Este rol usa análisis avanzados e investigaciones controladas por hipótesis.

  • Inteligencia sobre amenazas. Recopila y divulga información sobre atacantes y amenazas a todas las partes interesadas, incluidas las empresas, la tecnología y la seguridad. Los equipos de inteligencia sobre amenazas realizan investigaciones, comparten sus hallazgos (formalmente o informalmente) y los divulgan a varias partes interesadas, incluido el equipo de seguridad en la nube. Este contexto de seguridad ayuda a estos equipos a hacer que los servicios en la nube sean más resistentes a los ataques, ya que usan información de ataques del mundo real en el diseño, la implementación, las pruebas y la operación, y mejoran continuamente.

  • Ingeniería de detección. Crea detecciones de ataques personalizadas y personaliza las detecciones de ataques proporcionadas por proveedores y la comunidad más amplia. Estas detecciones de ataques personalizadas complementan las detecciones proporcionadas por el proveedor para ataques comunes que se encuentran normalmente en herramientas de detección y respuesta extendidas (XDR) y algunas herramientas de administración de eventos e información de seguridad (SIEM). Los ingenieros de detección trabajan con equipos de seguridad en la nube para identificar oportunidades para diseñar e implementar detecciones, los datos necesarios para admitirlos y los procedimientos de respuesta y recuperación para las detecciones.

Gobernanza, riesgo y cumplimiento de seguridad

La gobernanza de la seguridad, el riesgo y el cumplimiento (GRC) es un conjunto de disciplinas interrelacionadas que integran el trabajo técnico de los equipos de seguridad con objetivos y expectativas de la organización. Estos roles y equipos pueden ser híbridos de dos o más disciplinas o pueden ser roles discretos. Los equipos en la nube interactúan con cada una de estas materias durante el ciclo de vida de la tecnología en la nube:

  • La disciplina de gobernanza es una capacidad fundamental. Los equipos de gobernanza se centran en garantizar que la organización implemente de forma coherente todos los aspectos de la seguridad. Establecen derechos de decisión (quién toma las decisiones) y marcos de proceso que conectan y guían a los equipos. Sin una gobernanza eficaz, una organización con todos los controles, directivas y tecnología adecuados puede seguir siendo víctima de los atacantes que aprovechan áreas en las que las defensas deseadas no se implementan bien, completamente o en absoluto.

  • La materia de administración de riesgos se centra en evaluar, comprender y mitigar el riesgo de la organización. Los equipos de administración de riesgos trabajan en toda la organización para crear una representación clara del riesgo actual y mantenerlo actualizado. Los equipos de nube y riesgo deben colaborar para evaluar y administrar el riesgo de los servicios empresariales críticos hospedados en plataformas y infraestructuras en la nube. La seguridad de la cadena de suministro aborda los riesgos de los proveedores externos, los componentes de código abierto y los asociados.

  • La materia de cumplimiento garantiza que los sistemas y los procesos sean compatibles con los requisitos normativos y las directivas internas. Sin esta materia, la organización podría exponerse al riesgo relacionado con el incumplimiento de obligaciones externas (multas, responsabilidad, pérdida de ingresos de incapacidad para operar en algunos mercados, etc.). Los requisitos de cumplimiento normalmente no pueden mantenerse al día con la evolución de los atacantes; sin embargo, son una fuente importante de requisitos.

Las tres disciplinas operan en todas las tecnologías y sistemas para impulsar los resultados de la organización en todos los equipos. Los tres también dependen del contexto que obtienen entre sí y se benefician significativamente de los datos actuales de alta fidelidad sobre amenazas, negocios y el entorno tecnológico. Estas materias también se basan en la arquitectura para expresar una visión accionable que se puede implementar y la educación y la directiva de seguridad para establecer reglas y guiar a los equipos a través de las muchas decisiones diarias.

Los equipos de ingeniería y operación en la nube pueden trabajar con gestión de posturas, equipos de cumplimiento y auditoría, arquitectura de seguridad e ingeniería, o roles de director de seguridad de la información (CISO) en temas de GRC.

Educación, concienciación y directiva de seguridad

Las organizaciones deben asegurarse de que todos los roles tengan el conocimiento, la guía y la confianza para aplicar la seguridad de forma eficaz en su trabajo diario. La educación y la conciencia suelen ser los vínculos más débiles en la posición de seguridad de una organización, por lo que deben ser continuos, compatibles con roles e incrustarse en operaciones normales en lugar de tratarse como eventos de entrenamiento únicos.

Un programa sólido incluye educación estructurada, mentoría informal y campeones de seguridad designados dentro de los equipos técnicos. El entrenamiento debe cubrir el reconocimiento de suplantación de identidad, la higiene de identidades, las prácticas de configuración seguras y una mentalidad de desarrollo segura para los roles de ingeniería. Estos esfuerzos refuerzan una cultura de seguridad en primer lugar, donde las personas comprenden claramente por qué es importante la seguridad, qué acciones se esperan de ellas y cómo realizar esas acciones correctamente.

La educación y la directiva de seguridad deben ayudar a comprender cada rol:

  • Por qué. Por qué la seguridad es importante en el contexto de sus responsabilidades y objetivos. Sin esta comprensión, las personas desprioritizan la seguridad y se centran en otras tareas.
  • Qué. Qué tareas y expectativas de seguridad específicas se aplican a ellas, que se describen en el lenguaje alineado con su rol. Sin claridad, las personas asumen que la seguridad no es relevante para ellos.
  • Cómo. Cómo realizar correctamente las tareas de seguridad necesarias, como aplicar revisiones a sistemas, revisar código de forma segura, completar un modelo de amenazas o identificar intentos de suplantación de identidad. Sin instrucciones prácticas, las personas fallan incluso cuando están dispuestos.

Equipo de seguridad mínimo viable para pequeñas organizaciones

Las pequeñas organizaciones a menudo carecen de recursos para dedicar usuarios a funciones de seguridad específicas. En estos entornos, cubra las responsabilidades esenciales con el menor número de roles posible. Combine las responsabilidades de ingeniería y seguridad de la plataforma en la nube en una sola función que administre la configuración segura, la higiene de la identidad, la supervisión y la respuesta básica a incidentes. Externalice las tareas que requieren experiencia especializada o cobertura continua, como la optimización de detección de amenazas, las pruebas de penetración o las revisiones de cumplimiento, a proveedores de seguridad administrados. Use herramientas nativas de nube como la administración de posturas, la protección de identidades, las líneas de base de configuración y la aplicación automatizada de directivas para mantener un nivel de seguridad coherente sin equipos grandes y reducir la sobrecarga operativa.

Escenario de ejemplo: Interoperabilidad típica entre equipos

Cuando una organización implementa y operacionaliza un firewall de aplicaciones web, varios equipos de seguridad deben colaborar para garantizar su implementación, administración e integración eficaces en la infraestructura de seguridad existente. Esta es la forma en que la interoperabilidad entre los equipos podría verse en una organización de seguridad empresarial:

  1. Planificación y diseño
    1. El equipo de gobernanza identifica la necesidad de mejorar la seguridad de las aplicaciones web y asigna presupuesto para un WAF.
    2. El arquitecto de seguridad de red diseña la estrategia de implementación de WAF, lo que garantiza que se integra sin problemas con los controles de seguridad existentes y se alinea con la arquitectura de seguridad de la organización.
  2. Implementación
    1. El ingeniero de seguridad de red implementa el WAF según el diseño del arquitecto, lo configura para proteger las aplicaciones web específicas y permite la supervisión.
    2. El ingeniero de IAM configura controles de acceso, lo que garantiza que solo el personal autorizado pueda administrar el WAF.
  3. Supervisión y administración
    1. El equipo de administración de posturas proporciona instrucciones para que el SOC configure la supervisión y las alertas para el WAF y para configurar paneles para realizar un seguimiento de la actividad de WAF.
    2. Los equipos de ingeniería de inteligencia y detección de amenazas ayudan a desarrollar planes de respuesta para incidentes que implican el WAF y realizar simulaciones para probar estos planes.
  4. Cumplimiento y administración de riesgos
    1. El responsable de cumplimiento y administración de riesgos revisa la implementación de WAF para asegurarse de que cumple los requisitos normativos y realiza auditorías periódicas.
    2. El ingeniero de seguridad de datos garantiza que las medidas de protección de datos y registro de WAF cumplan las normativas de privacidad de los datos.
  5. Mejora continua y formación
    1. El ingeniero de DevSecOps integra la administración de WAF en la canalización de CI/CD, lo que garantiza que las actualizaciones y las configuraciones estén automatizadas y coherentes.
    2. El especialista en educación y participación en seguridad desarrolla y ofrece programas de formación para garantizar que todo el personal relevante comprenda cómo usar y administrar el WAF de forma eficaz.
    3. El miembro del equipo de gobernanza de la nube revisa los procesos de implementación y administración de WAF para asegurarse de que se alinean con las directivas y estándares de la organización.

Estos roles garantizan que el firewall de aplicaciones web se implementa correctamente y también supervisan, administran y mejoran continuamente para proteger las aplicaciones web de la organización frente a amenazas en constante evolución.

Paso siguiente

Integración de la seguridad en la estrategia de adopción de la nube

  • Last updated on