Después de Cloud Wars Expo (CWE), quería reflexionar sobre el evento a través de la lente de la ciberseguridad. La exposición contó con oradores y asistentes de algunos de los nombres más importantes de la industria, incluidos SAP , IBM y Microsoft . El evento también incluyó a muchas personas ansiosas por aprender sobre el futuro de la tecnología, la computación en la nube y la ciberseguridad. Intentar resumir todas las excelentes conversaciones y diálogos que tuvieron lugar en un solo artículo sería un desafío, pero reflexionaré sobre algunos de los temas centrales de seguridad cibernética discutidos y las conclusiones clave.
Confianza cero
Si hay algo que fue evidente con respecto a la seguridad cibernética y la comunidad en el evento, es que Zero Trust es lo más importante para casi todas las organizaciones e individuos. Eso está muy lejos de los orígenes del concepto y el término de los primeros pioneros como Jericho Forum, John Kindervaag y Forrester.
Los participantes asistieron a una charla sobre los fundamentos de Zero Trust. Esto incluyó una línea de tiempo desde sus orígenes hasta donde estamos hoy, con una estrategia federal de confianza cero completamente publicada y un ecosistema sólido de soluciones de proveedores para ayudar a las organizaciones en su viaje de confianza cero.
Las conversaciones sobre lo que es Zero Trust aprovecharon algunas de los manuales y guías esenciales de la industria, como la Guía Zero Trust Architecture de NIST 800-207, el Zero Trust Maturity Model de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y otras fuentes clave como Google, Forrester, y otros. Luego, los participantes escucharon a un panel de expertos hablar sobre los resultados comerciales de Zero Trust y el papel que desempeña Zero Trust en la habilitación segura de la fuerza de trabajo remota y distribuida de la economía digital moderna.
Gestión de acceso e identidad (IAM) de varias nubes
Otro pilar clave de la conversación fue que el futuro es multinube. Las organizaciones confían cada vez más en la nube para los procesos comerciales críticos, albergan sus cargas de trabajo más sensibles y potencian su innovación en el ecosistema y el mercado. Dicho esto, administrar IAM en una construcción de múltiples nubes puede ser desafiante, complejo y francamente abrumador para algunos.
Los participantes de CWE pudieron escuchar algunas de las prácticas emergentes de IAM de múltiples nubes, como los de líderes de la industria HashiCorp , NIST y otros, así como algunos de los desafíos siempre presentes de administrar IAM en proveedores de múltiples nubes. Conceptos clave como SSO, federación y control de acceso menos permisivo fueron centrales en la conversación.
Innovación en la nube y cumplimiento
A medida que las organizaciones continúan su carrera hacia la nube y maduran sus prácticas y políticas organizacionales, un problema evidente es que el enfoque de cumplimiento basado en el legado no ha seguido el ritmo y está desarticulado por la naturaleza dinámica de la nube.
Los asistentes a Cloud Wars Expo escucharon y discutieron las innovaciones de cumplimiento que ofrece la nube, incluidas las evaluaciones de cumplimiento casi en tiempo real, la herencia de controles de seguridad a través del modelo de responsabilidad compartida, la infraestructura como código (IaC) y el cumplimiento como un Código (CaC). También se hizo hincapié en los malentendidos frecuentes del modelo de responsabilidad compartida y la necesidad de que los consumidores de la nube entiendan dónde termina la responsabilidad del proveedor de la nube y comienza la de los consumidores, así como qué responsabilidades se comparten.
Por último, quedó claro que si bien las responsabilidades pueden compartirse, la rendición de cuentas no lo es. Los consumidores deben comprender que son dueños del riesgo desde una perspectiva regulatoria y de reputación. Esta realidad requiere debida diligencia al seleccionar un CSP (política de seguridad de contenido) y trabajar en estrecha colaboración para evitar dificultades y desafíos comunes.
Autenticación sin contraseña
Sobre la conversación de habilitar la fuerza de trabajo remota, minimizar la fricción de seguridad y mejorar las actividades de Zero Trust, la audiencia de Cloud Wars Expo discutió la autenticación sin contraseña. Los asistentes escucharon estadísticas crudas sobre la cantidad de horas hombre desperdiciadas en actividades triviales, como el restablecimiento de contraseñas, que impiden la productividad y distraen la entrega de valor a los clientes y partes interesadas.
Se hizo hincapié en la cantidad de violaciones de datos y compromisos que están vinculados a credenciales comprometidas, en gran parte nombres de usuario y contraseñas, y por qué es un enfoque anticuado para la autenticación moderna. La audiencia escuchó sobre proveedores innovadores que operan en el espacio de autenticación sin contraseña, hacia dónde se dirige la industria y cómo pueden comenzar a adoptar soluciones sin contraseña para habilitar a su fuerza laboral.
Minimizar la fricción de seguridad
Un tema de discusión siempre presente en la industria es cómo minimizar las causas de fricción en el negocio y los clientes, tanto interna como externamente. Este tema estuvo al frente y al centro en Cloud Wars Expo, ya que nos sumergimos en el tema de hacer precisamente eso.
La discusión giró en torno a minimizar la fricción de seguridad para los equipos de desarrollo internos mediante la implementación de guardarailes para el desarrollo seguro sobre las puertas, empoderando a los desarrolladores con herramientas de seguridad modernas, como Snyk, y utilizando prácticas de DevSecOps para integrar la seguridad en lugar de reforzarla. Esto garantiza que las vulnerabilidades se detecten antes en el ciclo de vida de desarrollo del sistema (SDLC). También garantiza que la seguridad no se vea como un inhibidor que aparece al final del desarrollo y las pruebas solo para bloquear las implementaciones.
Cambiando al enfoque del cliente externo, discutimos el uso de la autenticación moderna , como sin contraseña, para optimizar la experiencia del cliente y habilitar SSO para evitar dolores de cabeza de autenticación. Las discusiones sobre la minimización de la recopilación de datos para los clientes fueron primordiales, con énfasis en la evolución de las regulaciones de privacidad, como GDPR y CCPA, y pronto otras a seguir, a medida que los clientes se vuelven cada vez más conscientes de la privacidad.
