Definición de las responsabilidades organizativas de seguridad en la nube
Más allá del Modelo de responsabilidad compartida, es importante definir las responsabilidades individuales en materia de seguridad en la nube dentro de su organización y asegurarse de que todo el mundo sabe lo que se requiere. No basta -e incluso es un poco tópico- decir simplemente: "La seguridad es responsabilidad de todos"."
Los equipos de liderazgo ejecutivo deben patrocinar los esfuerzos de seguridad en la nube. En el panorama normativo actual, el patrocinio ejecutivo es prácticamente obligatorio. El impacto financiero potencial para una empresa del incumplimiento normativo puede ser tan devastador (o peor) que una violación de datos en sí. Más allá de las sanciones financieras, muchas normativas conllevan sanciones penales para los ejecutivos y otros fiduciarios de una empresa.
Los ejecutivos deben predicar con el ejemplo. Si la política de la empresa exige que los datos corporativos en los dispositivos móviles estén cifrados y el acceso a las aplicaciones SaaS requiere una autenticación multifactor (MFA), no se deben hacer excepciones "puntuales" para los ejecutivos. Más allá de predicar con el ejemplo, los ejecutivos deben asegurarse de que las iniciativas de seguridad y cumplimiento cuenten con el apoyo y los recursos adecuados, y de que siempre se tenga en cuenta el impacto de las decisiones empresariales estratégicas en la postura general de seguridad y cumplimiento de la organización.
Los equipos de seguridad y cumplimiento deben definir y aplicar políticas apropiadas que habiliten el negocio de forma segura. Para ser eficaces, los equipos de seguridad y cumplimiento deben comprender y alinearse con las metas y objetivos empresariales, y no deben ser un cuello de botella para la productividad y la eficacia.
Los responsables de la línea de negocio tienen la responsabilidad de garantizar que la gobernanza de la seguridad y el cumplimiento de la nube de la organización se comprenda y se cumpla en sus respectivas áreas de negocio. A medida que evolucionan las necesidades empresariales, los responsables de la línea de negocio deben asociarse con los equipos de seguridad para evaluar el riesgo frente al rendimiento de la adopción de nuevas herramientas. Eludir una política de seguridad, como el requisito de utilizar únicamente aplicaciones SaaS autorizadas, para lograr un objetivo empresarial a corto plazo o una meta de productividad nunca debería ser aceptable. En su lugar, las herramientas de seguridad deben adaptarse a la necesidad empresarial e impulsar el comportamiento deseado del usuario.
Trabajar con equipos de seguridad y cumplimiento también ayuda a garantizar que las líneas de negocio individuales puedan aprovechar cualquier relación actual que la organización pueda tener con vendedores o proveedores de la nube para adquirir servicios de forma más económica y obtener asistencia rápidamente cuando sea necesario, en lugar de operar en un vacío con tecnologías y productos de la nube aislados.
Los equipos de DevOps están sometidos a una presión constante para entregar proyectos y actualizaciones de software con rapidez y reducir el tiempo de comercialización. Para satisfacer estos requisitos, los requisitos de seguridad deben definirse y comprenderse al principio de cualquier proyecto e, idealmente, integrarse en el flujo de trabajo de entrega de la aplicación. De este modo, los equipos de desarrollo pueden seguir avanzando sin tener que detenerse y reajustarse con frecuencia para abordar las vulnerabilidades de seguridad y las infracciones de cumplimiento.
Los usuarios finales individuales tienen la responsabilidad de seguir la gobernanza corporativa con respecto a la seguridad y el cumplimiento de la nube. Deben comprender los riesgos inherentes a la nube y salvaguardar los datos que se les han confiado como si fueran sus propios datos personales.
