Cíber segurança

Como a nuvem está mudando as prioridades do CISO

Carimbo de data/hora: 3 de fevereiro de 2023 10:00 da manhã
Nó de origem: 2387253

Republicado por Platão

Os desafios enfrentados pelos diretores de segurança da informação (CISOs) evoluíram drasticamente na última década. Hoje, eles devem alinhar seus esforços de segurança — e orçamentos — com as metas de negócios de sua organização, que podem variar desde manter a confiança do cliente de que seus dados estão seguros até proteger a propriedade intelectual contra roubo.

Como um membro importante da equipe de gerenciamento executivo, os CISOs geralmente têm responsabilidades de relatórios em nível de diretoria. Eles devem gerenciar um novo e assustador nível de complexidade técnica introduzido pela nuvem, onde as identidades são praticamente a primeira e a última linha de defesa. E o trabalho não termina aí. Para ter sucesso, eles também devem se esforçar substancialmente para formar uma equipe com habilidades em várias disciplinas e escolher as tecnologias defensivas certas.

O desafio técnico

A transição para modelos de trabalho remotos ou híbridos combinados com a adoção acelerada da nuvem expandiu muito a superfície de ataque Os CISOs devem proteger. Além disso, muitas vezes eles precisam lidar com mais de uma nuvem. Os principais provedores – Amazon Web Services, Azure e Google Cloud Platform – têm estruturas, procedimentos, requisitos e assim por diante ligeiramente diferentes, o que aumenta ainda mais a complexidade do gerenciamento desses arquiteturas extensas.

As empresas voltadas para data centers que fizeram a transição para a nuvem obviamente enfrentam um novo conjunto de preocupações de segurança com as quais os firewalls convencionais nunca foram projetados para lidar. Portanto, oO refrão agora comumente ouvido “A identidade é o novo perímetro”. Isso é certamente verdade. Embora os firewalls e outros controles baseados em rede não devam ser abandonados, os CISOs precisam se concentrar nas questões de identidade. O processo de três etapas a seguir pode fornecer resultados nessa área de maneira rápida e eficiente.

Controle o excesso de privilégios. Durante um migração para a nuvem, os privilégios globais geralmente são concedidos a todos na equipe de transição. É melhor evitar isso, mas se acontecer, os privilégios devem ser revistos e limitados após a transição. Uma boa maneira de fazer isso é monitorar quais recursos estão sendo acessados por quais indivíduos. Se um indivíduo não estiver acessando um determinado recurso, o direito de fazê-lo deve ser revogado.
Correlacionar privilégios em excesso e configurações incorretas. As configurações incorretas da nuvem são outro risco sério. Mas quando uma identidade privilegiada tem acesso a um recurso de nuvem mal configurado, os resultados podem ser desastrosos. Felizmente, ferramentas automatizadas agora estão disponíveis para ajudar a detectar configurações incorretas, bem como privilégios excessivos, e corrigi-los para eliminar ameaças.
Priorizar. Nunca há tempo ou equipe suficiente para corrigir todas as configurações incorretas, por isso é importante focar naquelas que são a maior fonte de risco de segurança. Por exemplo, corrigir ameaças de acesso baseadas em identidade a depósitos de armazenamento em nuvem é fundamental para evitar violações de dados. O monitoramento de erros de configuração que expõem dados por meio de permissões excessivas, padrão, etc., deve ser uma prioridade.

O Desafio Humano

Proteger a infraestrutura de nuvem exige habilidades únicas, e encontrar pessoas qualificadas para fazer o trabalho é um dos maiores desafios dos CISOs. Existem três áreas principais de competência que toda equipe de segurança em nuvem deve possuir:

Competência arquitetônica. Para avaliar a postura de segurança de uma organização e criar um roteiro para amadurecê-la ao longo do tempo, as equipes de segurança precisam de um modelo de referência. O Estrutura CSA é um excelente recurso, e existem vários outros disponíveis. Sem uma compreensão clara dos conceitos arquitetônicos apresentados nas estruturas de segurança padrão do setor, como CSA, é difícil reduzir a superfície de ataque à nuvem e é fácil ignorar os pontos cegos.
Engenharia de nuvem. A equipe de segurança também precisa lidar com os requisitos diários de segurança na nuvem, que podem incluir gerenciamento, manutenção e muito mais. A engenharia de nuvem competente é essencial para “manter as luzes acesas” na esfera da segurança.
Capacidades reativas. Globalmente, os ataques cibernéticos ocorrem à taxa de 30,000 por dia. Toda empresa pode esperar que incidentes ocorram regularmente, e as equipes de segurança precisam de especialistas que possam reagir rapidamente para limitar — se não prevenir — sérias consequências.

A composição ideal de uma equipe de segurança em nuvem abrange especialistas em rede, nuvem e desenvolvimento que podem trabalhar de forma colaborativa. A tarefa de construir uma equipe com essas capacidades é complicada pelo fato de haver escassez de 3.4 milhões trabalhadores de segurança cibernética no momento.

Uma abordagem que funciona bem como complemento à contratação é o desenvolvimento interno por meio do treinamento. Isso pode ocorrer internamente ou por meio de programas de certificação de terceiros. Além disso, ao escolher fornecedores, as organizações devem favorecer aqueles cujas ofertas incluam um forte componente de treinamento. Se possível, os CISOs podem encontrar maneiras de fazer com que funcionários não relacionados à segurança trabalhem em algumas tarefas de segurança.

Uma vez montada, um dos problemas que qualquer equipe de segurança encontrará é lidar com arquiteturas multinuvem, que são se tornando a norma. Poucas pessoas estão familiarizadas com as ferramentas, nomenclatura e modelo de segurança das três principais plataformas de nuvem. Por esse motivo, muitas empresas estão recorrendo a tecnologias nativas da nuvem que entendem as nuances associadas à proteção de diferentes plataformas de nuvem e simplificam as tarefas de segurança para usuários que podem não ter treinamento especializado em AWS, Azure, GCP etc.

Resumindo, os desafios enfrentados pelos CISOs de hoje são amplamente impulsionados pela nuvem, que cria uma superfície de ataque bastante expandida que precisa ser protegida. Enquanto isso, dominar o modelo de gerenciamento e as ferramentas usadas por cada plataforma de nuvem requer conhecimentos de segurança extremamente escassos. Estão disponíveis soluções que fornecem a visibilidade e o conhecimento da plataforma necessários para ajudar as equipes de segurança a implementar as melhores práticas para proteger sua infraestrutura de nuvem, ajudando-as a aprimorar as habilidades dos analistas no processo.

Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
Fonte: https://www.darkreading.com/cloud/how-the-cloud-is-shifting-ciso-priorities

Tags: 000, 1, 9, a, Abandonado, acelerado, Acesso, acessadas, acessando, Adoção, depois de, alinhar, Todos os Produtos, tb, Amazon, Amazon Web Services, an, Analistas, e, outra, abordagem, arquitetônico, Arquiteturas, SOMOS, ÁREA, áreas, AS, montado, avaliar, associado, At, Ataque, Automatizado, disponível, evitar, AWS, Azul, base, BE, ser, MELHOR, melhores práticas, O maior, violações, orçamentos, Prédio, negócio, metas de negócios, BUT, by, CAN, capacidades, certamente, FDA, desafios, chefe, escolha, CISO, remover filtragem, Na nuvem, adoção de nuvem, infraestrutura de nuvem, Nativo da nuvem, Plataforma em nuvem, Cloud Security, armazenamento em nuvem, combinado, geralmente, Empresas, competência, competência, competente, complexidade, complicado, componente, conceitos, preocupações, confiança, Configuração, conseqüências, Pilha de conteúdo, controles, convencional, correta, crio, cria, crítico, CSA, cliente, ataques cibernéticos, Cíber segurança, dados,, Violações de dados, assustadora, Dia a dia, acordo, lidar, década, omissão, Defesa, defensiva, entregar, entregar resultados, demandas, projetado, descobrir, Desenvolvimento, diferente, difícil, desastroso, disciplinas, dramaticamente, dirigido, durante, cada, fácil, eficientemente, esforço, esforços, Eliminar, colaboradores, encontro, Engenharia , suficiente, Empreendimento, erros, essencial, ETC, Cada, todos, Evoluiu, exemplo, excelente, excesso, excessivo, executivo, gestão executiva, expandido, esperar, experiência, Expor, extremamente, Rosto, enfrentando, fato, familiar, favorecer, poucos, find, descoberta, firewalls, Primeiro nome, Foco, seguinte, Escolha, por exemplo, Felizmente, enquadramentos, da, mais distante, Além disso, Get, Global, de modo global, Objetivos, Bom estado, com sinais de uso, bom caminho, Google, Google nuvem, Google Cloud Platform, concedido, maior, grandemente, manipular, acontece, Ter, ouviu, Ajuda, ajuda, Conseqüentemente, Contratando, Como funciona o dobrador de carta de canal, HTTPS, humano, HÍBRIDO, trabalho híbrido, ideal, identidades, Dados de identificação:, executar, importante, in, In-House, Incidentes, incluir, Crescimento, Individual, indivíduos, indústria, INFORMAÇÕES, segurança da informação, Infraestrutura, intelectual, propriedade intelectual, para dentro, introduzido, Is, questões, IT, Trabalho, jpg, manutenção, Chave, Conhecimento, falta, largamente, Sobrenome, Nível, luzes, como, limitar, Limitado, Line, manutenção, manutenção, principal, maquiagem, gerencia, de grupos, e facilitação de projetos, gestão, muitos, mapa,, Dominar, Maio, Entretanto, Vogal, configuração incorreta, modelo, modelos, momento, Monitore, monitoração, mais, multi-nuvem, devo, nativo, você merece..., necessário, Cria, rede, nunca, novo, nomenclatura, Atual, nuances, obviamente, Ocorrer, of, Ofertas, Oficiais, frequentemente, on, ONE, organização., organizações, Outros, Outros, Sobre, ao longo do tempo, negligenciar, particular, passado, perímetro, permissões, plataforma, Plataformas, platão, Inteligência de Dados Platão, PlatãoData, possuir, possível, postura, práticas, apresentado, evitar, impedindo, prioridades, prioridade, privilegiado, privilégios, problemas, procedimentos, Extração, Programas, propriedade, proteger, protegido, Proteger, fornecer, prestadores, colocar, qualificado, rapidamente, alcance, taxas, Reagir, razão, reduzir, referência, regular, remoto, Relatórios, requerer, Requisitos, exige, recurso, Recursos, responsabilidades, Resultados , Comentários, Certo, Risco, estrada, Mapa de Estradas, s, seguro, assegurando, segurança, grave, Serviços, conjunto, vários, mudando, Baixo, escassez, rede de apoio social, não deveria, simplificar, Habilidades, levemente, ligeiramente diferente, So, Soluções, alguns, fonte, vãos, especialistas, especializado, esfera, pontos, para, padrão, armazenamento, mais forte,, estruturas, substancial, bem sucedido, SOMA, completar, supply, superfície, tarefa, tarefas, A Nossa Equipa, Teams, Dados Técnicos:, Tecnologias, Do que, que, A, roubo, deles, Seus dados, Eles, Lá, Este, De terceiros, ameaças, três, três etapas, Através da, tempo, para, Agora, ferramentas, topo, Training, transição, verdadeiro, volta, compreender, Compreensão, único, up, Usados, usuários, variedade, fornecedores, praticamente, visibilidade, maneira, maneiras, web, serviços web, BEM, Quando, onde, Qual?, enquanto, QUEM, precisarão, com, dentro, sem, Atividades:, trabalhadores, trabalho, funciona bem, zefirnet

Xlera8Name

Como a nuvem está mudando as prioridades do CISO

Republicado por Platão

O desafio técnico

O Desafio Humano

Como acertar na cultura: um exercício de intencionalidade | Startups da UE

Compreendendo interceptações de regressão linear em linguagem simples – DATAVERSITY

O radiologista que levou Tesla do penhasco com a família dentro sofreu um surto psicótico

Astronautas da NASA chegam ao Centro Espacial Kennedy antes do teste de voo da tripulação do Boeing Starliner

Fale Conosco