La seguridad en la nube necesita un maestro de orquesta
El Capítulo Español de Cloud Security Alliance, iniciativa de ISMS Forum, organizó su XII Spanish Cloud Security Alliance Summit en Madrid el pasado jueves 22 de septiembre en formato presencial. En la edición, se abordaron a nivel de gobierno las tendencias actuales, pero también los nuevos retos que enfrenta el sector, como son la integración y adaptación al modelo Zero Trust, la estrategia de seguridad en múltiples nubes, o la implementación de marcos de control y compliance sobre requisitos de seguridad y protección de datos.
El evento contó con presencia institucional para analizar cuestiones como la soberanía digital y el gobierno del dato, y de invitados especiales en representación de Cloud Security Alliance, que presentaron las últimas iniciativas desarrolladas para el sector.
Uno de los aspectos más relevantes del foro fue la presentación de las actividades desarrolladas por su Comité Técnico Operativo durante el año. En esta ocasión, los grupos de trabajo han desarrollado una guía práctica para la gestión y respuesta a incidentes en la nube, la adaptación de la Cloud Control Matrix a la tercera versión del Esquema Nacional de Seguridad, el planteamiento de ciberseguridad sostenible como eje de acción Green Cloud, y la novena edición del Estudio sobre el Estado de la Seguridad en la Nube en colaboración con terceras entidades en España y Latinoamérica.
Una de las primeras ponencias del Track 1 corrió a cargo Cyril Voisin, EMEA Leader, Chief Security Advisors, Microsoft, donde habló sobre Cloud Security Governance. Cyril destacó que “Lo que debemos hacer en seguridad es pasar a una postura de movimiento, evaluación y mejora continua para tener activos y ser valorados. En primer lugar, debemos controlar la gestión de acceso y el control de acceso. Hay una nueva filosofía para hacer este control de acceso de la manera correcta, se llama Zero Trust. Básicamente, no confías en nada implícitamente, tratas de confiar en las cosas explícitamente, por lo que verificarás la ubicación, la identidad y el contexto. En segundo lugar, tiene la seguridad de la innovación y, a continuación, las operaciones de seguridad, en las que desea asegurarse una visibilidad completa. Es un ciclo de mejora continua.”
Cyril Voisin durante su ponencia en el XII Encuentro CSA.
‘Cloud Trustworthiness: New Challenges’ fue el título de una de las mesas redondas del Track 1 formada por Javier Galindo, Information Security Architect, Cepsa; José María Vigueras, Public Cloud Specialist Systems Engineer, Fortinet; Daniel Howe, Senior Presales, Fastly y como moderador, Gonzalo Asensio, CISO, Bankinter, en la que se afirmó que, por tiempo de despliegue e iniciativa, no se puede esperar a tener un producto 6 meses, cuando la competencia lo está desarrollando en un mes. No se puede esperar a que haya un equipo de infraestructura que despliegue unas máquinas virtuales que aporten seguridad y protocolo. Se pueden observar despliegues a diario, lo podemos ver en nuestros teléfonos, cada poco tiempo tenemos que actualizar nuestras aplicaciones, es constante, entonces el hecho de adaptarse rápidamente a esto, si no es con Saas, es complicado.
Mesa redonda ‘Cloud Trustworthiness: New Challenges.
Por otra parte, en el Track 2, Paul Simmonds, Director, CSA UK, habló sobre “Nuevo Zero Trust Advancement Center de Cloud Security Alliance”. “Los dos van de la mano, Zero Trust y Cloud son grandes compañeros. Zero Trust es necesario para obtener los beneficios reales de la nube. Cloud te ahorrará dinero, pero si combinas la arquitectura y la filosofía de Zero Trust con la nube, obtendrás importantes beneficios” destacó Paul Simmonds
Paul Simmonds durante su ponencia.
En la mesa redonda ‘Cloud Governance’ se contó con Fanny Pérez, CISO, Codere; Iván Sánchez, CISO, Sanitas; Jesús Mérida, CISO, Iberia; Juan Cobo, CISO, Ferrovial; Jesús Sánchez, Head of Global Cybersecurity, Naturgy; Elena García, CISO, Indra; y como moderador: Carles Solé; CISO, Santander España. “La adopción y el viaje a la nube para quedarse es algo que ya empezó hace tiempo y que seguimos aprovechando cada vez con mayor madurez y con mayor valentía. La gestión de los servicios de seguridad apoyado en nube nos está abriendo muchas puertas. Todos los equipos de seguridad han sido y lo van a seguir siendo, grandes consumidores, porque, al fin y al cabo, la revolución que supuso la nube en su momento ya partía de un nivel de madurez en seguridad, por lo tanto, su gestión se puede realizar de una manera más natural, automática, eficiente y por defecto en un entorno en el que realmente la seguridad viene del by design”, asegura Elena García.
Mesa redonda ‘Cloud Governance’.
En el marco de este XII Encuentro Cloud Security Alliance, se presentaron diferentes estudios y proyectos mencionados anteriormente. Por un lado, en el Track 1, se presentó Estado del Arte 2022 con Ana Belén Galán, Discipline Senior Manager Security Engineer, BBVA-CIB y Mariano J. Benito, responsable de Seguridad, GMV; Coordinador del Comité Técnico Operativo del Capítulo Español de Cloud Security Alliance. También se presentó Guideline Incident Response in Cloud por Olga Forné, CISO Global, Abertis y Toni Garcia, CISO, CIO y CDO, LetiPharma. La última presentación del Track 1 fue el Proyecto CRI por Alberto Francoso, jefe de Análisis del Servicio de Ciberseguridad, OCC.
En el Track 2 se presentó el estudio Cloud Control Matrix V.4 + Esquema Nacional de Seguridad V.3 de la mano de Diana Molero y Jorge Laredo, ambos miembros del Capítulo Español de Cloud Security Alliance donde se explicó que el objetivo principal de la traducción de la última versión de la Cloud Control Matrix (CCM v4) es impulsar la adopción de servicios de Cloud en España, permitiendo tanto el cumplimiento normativo como la seguridad efectiva de los datos. Al añadir el mapeo de CCM con el ENS se facilita su uso por parte del sector público y sus proveedores, ayudando a utilizar los servicios Cloud de modo seguro. Dado su interés se ha añadido el mapeo inverso en el mismo fichero de forma que para cada medida de seguridad del Anexo II del ENS se identifican los controles de CCM que están relacionados. CCM y ENS tienen propósitos y enfoques diferentes, pero cabe destacar que el grado de cobertura de CCM por parte de ENS es del 85% siendo esto debido principalmente a lo especifico de algunos de los 197 controles de CCM en comparación con las 80 medidas de seguridad del ENS. Su uso conjunto permite alcanzar un elevado grado de seguridad en las organizaciones y en su uso de los servicios Cloud.
Presentación de CCMv4 + ENSv3.
Por último, se presentó el estudio de Green Cloud – ES, de la mano de Josep Bardallo, CISO y DPO, Grupo Recoletas y Sergio Padilla, RSI y Responsable de la Unidad de Riesgos y Seguridad de la Información, Banco de España donde exponen un primer diagnóstico externo para analizar las actuaciones, los riesgos y las oportunidades que se presentan en las compañías en esta materia, en aras de alcanzar los compromisos con la sociedad, la sostenibilidad y el medio ambiente; la gestión ética y el buen gobierno desde un sector en pleno auge. Con esta iniciativa se trata de plantear un compromiso empresarial para reforzar el concepto de sostenibilidad en el entorno Cloud, y poner en valor la competitividad de un mercado que tiene en sus manos la posibilidad de reducir en gran medida la huella de carbono. Un compromiso en forma de código ético o código de responsabilidad, que requerirá del apoyo de todos los actores implicados en el ámbito digital, desde los consumidores de servicios digitales o las empresas proveedoras de los mismos, como de las autoridades de control y organismos nacionales e internacionales. Por tanto, el objetivo de Green Cloud - ES es crear consciencia sobre las responsabilidades empresariales que suponen un compromiso necesario, aunque no obligatorio.