¿Qué es una Evaluación de Seguridad y Riesgos de la Nube y Porqué Quisieras Una?
Como escribimos en un blog reciente, ningún negocio es immune a las amenazas cibernéticas. Los riesgos de seguridad cibernéticos ahora son más frecuentes de lo que eran antes y más bajos de lo que serán a futuro.
Pero no puedes protegerte de los riesgos sin saber cuáles son. No puedes resolver problemas que no sabes que existen. Como una gotera en tu techo una amenaza de seguridad cibernética podría causar problemas de los que no te das cuenta por meses y hasta años…hasta que terminan causando daños caros y desgastantes.
Afortunadamente hay muchas formas de reducir tus riesgos y una de las mejores formas es con una evaluación de riesgos y seguridad de la nube. Cubriremos lo que es y responderemos muchas preguntas esenciales tales como quién lo necesita y cuánto tiempo toma.
¿Cuál es el Propósito de la Evaluación de Seguridad y Riesgos de la Nube?
Las evaluaciones integrales de seguridad cibernética te ayudan a tomar los pasos necesarios para adelantarte a cualquier amenaza prevalente. Las evaluaciones toman en consideración las metas, los requisitos y la torelancia a los riesgos de tu negocio para establecer la posición de seguridad que se alínea con tus necesidades específicas.
Las organizaciones que utilizan la infraestructura de la nube conservan la responsabilidad de proteger los datos que colocan enlanube en el conocido «modelo de responsabilidad compartida». Los impactos sobre tus responsabilidades son sustanciales considerando que según Gartner, hasta el 2025 el 99% de las fallas de la nube serán culpa de los clientes. Las evaluaciones de seguridad cibernética ayudan a las organizaciones para comprender de mejor manera sus responsabilidades frente a las del proveedor de servicios en la nube. Esta información te ayuda a reducir el riesgo de sufrir una violación de datos y convirtiéndose en un titular.
¿Quién Necesita una Evaluación de Seguridad y Riesgos de la Nube?
En pocas palabras, si tienes datos electrónicos, podrías beneficiarte de una evaluación. Sí, hasta una empresa de paisajismo: consulta nuestra anécdota a continuación. Pero las siguientes son algunas razones específicas que podrían impulsarte a seguir adelante.
- Nuevas Necesidades y Oportunidades de Negocio: Las nuevas oportunidades a menudo pueden hacer que tu organización esté sujeta a nuevas regulaciones. Si expandes tu negocio en California debes cumplir con CCPA. Wursta consultó con una empresa de contabilidad que empezó a trabajar para oficinas médicas y por ende necesitaban cumplir con HIPAA.
- Desplazamiento de Ajustes: al pasar el tiempo, en especial para las organizaciones en crecimiento, los ajustes se alejan de las mejores prácticas. El Desplazamiento puede suceder debido a administradores descuidados o simplemente por error al no entender las consecuencias de las actualizaciones. Sea cual fuera la causa, la evaluación puede descubrir los nuevos riesgos para mantener la mejor posición de seguridad.
- Cambios de Regulaciones: en todo el mundo, hay aumentos tanto en la supervisión como en la especificidad de las regulaciones de seguridaz cibernética. Por ejemplo las compañías públicas que están sujetas a los requisitos de información de la Ley de Bolsa de Valores de 1934 pueden enfrentar nuevos requisitos adicionales. La SEC propone reglas para aumentar y estandarizar las divulgaciones relacionadas con la gestión de riesgos de seguridad cibernéticos, la estrategia, la gobernanza y la notificación de incidentes de seguridad cibernética. Otras regulaciones nuevas incluyen la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas de 2022 (CIRCIA) y la Ley de Resiliencia Cibernética de la UE de 2022.
- Nueva Tecnología: por supuesto una nueva solución, tal como una aplicación SaaS requiere configuración. Sin embargo con integraciones y capacidades para compartir, una nueva aplicación puede tener un amplio impacto. Por ejemplo, una vez que una nueva herramienta de automatización de marketing tenga acceso a los datos de tus clientes podría convertirse en un nuevo vector de ataque crítico.
- Evita las Acciones Legales y la Mala Prensa: Las organizaciones están sujetas a varias regulaciones que les exigen proteger los datos de los clientes tales como las Prácticas Comerciales Justas de la FTC para la privacidad y la seguridad.
- Preparaciones para la Auditorías: Las auditorías pueden ser estresantes e impredecibles. Una evaluación puede ayudarte a preparar anticipadamente para una auditoría externa oficial. Aunque Wursta no es una empresa certificada de auditorías, igual podemos ayudar con las preparaciones.
- Fusióny Adquisición (M&A): Previa a una adquisición las compañías quieren evaluar los riesgos para confirmar que los datos de la empresa adquirida están protegidos correctamente. En caso de una desinversión, las evaluaciones pueden ayudar a identificar la información apropiada para desinvertir y aislar.
Muchas de estas razones serían las causas para que una organización repita la evaluación. Las evaluaciones no son tareas tipo «uno y listo».
Así es, Hasta el Paisajista Necesita Higiene Cibernético
La Certificación del Modelo de Madurez de la Seguridad Cibernética (CMMC) es un conjunto de estándares desarrollado por el Departamente de Defensa (DOD) para hacer negogios con el departamento. Todos los contratos DOD requieren un nivel especificado de CMMC.
Así es, todos los contratos.
Katie Arrington, Oficial de Seguridad la Información Virtual de la Subsecretaría de Defensa para Adquisiciones y Mantenimiento A&S, compartió una anécdota interesante en la que describía como una empresa paisajista que trabajaba en una base militar cuestionaba la necesidad de la seguridad cibernética. Aquella necesidad fue comprobada rápidamente con una sola pregunta: «¿Cómo se ofrece el trabajo?» Se envió a la empresa un plano de AutoCAD del cerco y los metros cuadrados de la base. Claramente la posesión de esta información requiere una higiene básica de seguridad cibernética.
¿Qué Ocurre Durante Una Evaluación de Seguridad y Riesgos de la Nube?
Las evaluaciones deben basarse en un marco de seguridad cibernética, por ejemplo el NIST CSF (Marco de seguridad Cibernética del Instituto Nacional de Estándares y Tecnología). «El marco se basa en los estándares existentes, las pautas y las prácticas para que las organizaciones puedan manejar mejor y reducir los riesgos cibernéticos». NIST CSF fue diseñado para implementarse voluntariamente, pero muchas regulaciones, como CMMCe HIPAA, se basan en el Marco.
El Wursta S&CRA evalúa su configuración de seguridad esencial y los controles generals revisa tus procesos y políticas cibernéticas y los comparara con las mejores prácticas de la industria. Eso Involucra la revisión de:
- Acceso Privilegiado
- Configuraciones de seguridad y alertas
- Gestiónde Terminales
- Auditoría y uso compartido de Google Drive
Visita nuestra página de Seguridad y Evaluaciones de Riesgos de la Nube para la lista completa.
La evaluación también debe identificar cualquier requisito de gobierno relevante y evaluar tu conciencia de seguridad y comportamientos de los usuarios a través de entrevistas. Las entrevistas pueden incluír a miembros de tus equipos de contabilidad, TI y RH.
¿Cuanto tiempo toma una Evaluación de Seguridad y Riesgos de la Nube?
Uncronograma típico es de aproximadamente cuatro a seis semanas.
¿Qué ocurre después de una Evaluación de Seguridad y Riesgos de la Nube?
- Hoja de Ruta para la Posición Ideal: Una ES&RN te informa de cualquier deficiencia y proporciona una hoja de ruta para que consigas tu posición de seguridad ideal. Las evaluaciones clarifican el posible impacto de los riesgos y exponen aquellos riesgos que quizás no has notado.
- Recomendaciones Priorizadas: Para cualquier desviación de las mejores prácticas tu proveedor debe recomendar un curso de acción detallado para mitigar el riesgo y cumplir con las regulaciones pertinentes. Wursta también prioriza la severidad de los problemas para ayudar a tu equipo a decidir qué afrontar primero, todo mientras aprovecha las numerosas y poderosas herramientas de seguridad que ofrece Google y otras herramientas según sea necesario.
- Decisiones Informadas: Wursta se toma el tiempo para explicar claramente cada opción que tienes para poder tomar decisiones informadas. Las sugerencias incluyen implementar y modificar los controles técnicos relevantes como controles de acceso, gestión de identidad y monitoreo de seguridad.
Mantente atento a lo que no es una Evaluación de Seguridad y Riesgos de la Nube
Una nota breve sobre lo que no es una ES&RN: Las auditorías regulatorias a menudo pasarán por una lista de verificación como la terminación oportuna de las cuentas de usuario, pero no examinarán áreas cruciales como la configuración de uso compartido. Si bien una auditoría de este tipo puede confirmar que marcaste todas las casillas para cumplir con las regulaciones ignoran los problemas clave que podrían presentar un riesgo significativo. Esto suele sel el caso de las auditorías realizadas por grandes empresas auditoras como Big Four.
Adicionalmente una evaluación es un proceso de detección pero no incluye las eliminaciones de riesgos que son descubiertos. Quizás recibas las mejores calificaciones y tu ES&RN revele tu puesto de seguridad ejemplar y, por lo tanto, no se necesitarán mitigaciones. Sea cual fuera el resultado, Wursta está encantado de ayudar a nuestros clientes a descargar una parte o todas las medidas recomendadas de mitigación pero es un proyecto separado con costos separados.
¿Cómo Eliges un Proveedor de Evaluaciones de Riesgos de Seguridad y de la Nube?
Bueno, ya estás en la página web de Wursta, así que ¡no tienes que seguir buscando! Sólo cliquea «Contáctanos«. Wursta asiste a empresas de todos los tamaños con un conjunto completo de servicios de cumplimiento y seguridad cibernética que pueden ser personalizados para que cumplan con tus requisitos.
Pero hablando en serio, algunas de las razones por las cuales encajaríamos bien incluyen el hecho de que Wursta es un socio Premier de Google. Tenemos la experiencia para resolver cualquier problema de Google Workspace y Google Cloud.
Adicionalmente los miembros de nuestro equipo tienen una muy variada experiencia y certificaciones, que incluyen CMMC y hackers éticos certificados. A pesar de que quizás no todas las regulaciones apliquen a tu negocio, nuestra experiencia nos habilita para proporcionar conocimientos profundos para cada evaluación.