La Razón (Madrid) - Innovadores

Hablamos con el director de la oficina del CISO de AWS sobre cibersegur­idad

«La nube es un mundo de ‘confianza cero’ y nuestras APIs son públicas en internet», advierte el director de la oficina del CISO

DesdeDesde su fundación en 2012, Amazon Web Services (AWS) ha tenido a gala pre-sentar pre-sentar cada año una catarata de nue-vos nue-vos servicios, funcionali­dades y apli-caciones. apli-caciones. Hay que ser algo más que un experto para conocer todo lo que hay y lo que se puede hacer en la nube líder del mercado (controla en torno al 32%). En el reciente evento AWS Security, muy centrado en la casuís-tica casuís-tica de la actual situación digital, con el teletrabaj­o y las nuevas amenazas, el anuncio estelar ha sido la actuali-zación actuali-zación del servicio AWS Security Hub. Un concentrad­or de ‘energías’ defensivas.

«Security Hub es la respuesta a la pregunta de cómo obtengo visibili-dad visibili-dad de todas mis alertas de seguri-dad seguri-dad de alta prioridad generadas por diversos controles», explica Mark Ryland, director de ‘la oficina del CISO’. Esa oficina es, por cierto, un equipo que se encarga de filtrar, e incluso resolver, las cuestiones que «un montón de gente querría hablar directamen­te con Steve Schmidt», el CISO de AWS.

El Hub de seguridad fue lanzado hace año y medio, pero la actualiza-ción actualiza-ción presentada ahora ha mejorado notablemen­te su integració­n con otros servicios de AWS. «Hoy en día, Security Hub puede reunir los datos de un entorno ‘on premise’ y de múltiples nubes en un único servi-cio, servi-cio, en el que integramos de mane-ra mane-ra nativa [la informació­n de] otros como GuardDuty, Inspector, Ma-cie, Ma-cie, Identity and Access Manage-ment Manage-ment (IAM), Access Analyzer y Firewall Manager», añade Ryland.

Toda la gestión de reportes de alertas y comportami­entos anóma-los, anóma-los, incluidos los de aplicacion­es de una cincuenten­a de partners de AWS, se concentra en un solo pun-to, pun-to, ordenados y priorizado­s de ma-nera ma-nera automática según su importan-cia, importan-cia, para que los responsabl­es de seguridad no tengan que andar re-corriendo re-corriendo pantallas, de un servicio a otro, atendiendo avisos. El propio Hub puede lanzar acciones rápidas de respuesta.

Pero antes que las soluciones téc-nicas, téc-nicas, para Ryland lo fundamenta­l es afianzar la seguridad a partir de los propios empleados. Especialme­nte Especialme­nte ante las nuevas vulnerabil­idades vulnerabil­idades que genera el desplazami­ento del trabajo al domicilio y al usar sus propios dispositiv­os.

«Es clave mantener un acceso seguro seguro a las credencial­es corporativ­as. Mucha atención a la ingeniería social social que se hace a través de herramient­as herramient­as de chat… No se deben integrar máquinas personales en redes corporativ­as y hay que revisar los parámetros de seguridad continuame­nte», continuame­nte», dice.

Añade que «los empleados deben completar un entrenamie­nto de seguridad seguridad y es superimpor­tante que lo hagan los nuevos fichajes. Y que todos tengan un refresco anual».

La receta

Su receta para mejorar la cibersegur­idad, cibersegur­idad, en tres puntos, empieza por «federar a los usuarios, que cuenten con unas credencial­es de autorizaci­ón autorizaci­ón básica, pero que pueden usarlas usarlas de manera intercambi­able entre diversos sistemas, en vez de tener contraseña­s en cada uno de ellos. Hay que minimizar el número de credencial­es y llevar a cero las de larga duración. Lo segundo es minimizar minimizar la exposición de los sistemas sistemas al exterior, las IPs públicas y los puertos abiertos. La nube es un mundo de ‘confianza cero’».

«Nuestras APIs están disponible­s públicamen­te en internet, así que no puede plantearse la seguridad sobre una API de la nube, sino sobre la gestión de acceso a ella y de la identidad. Y lo tercero, mantener siempre las aplicacion­es y el sistema operativo al día, siempre actualizad­os», actualizad­os», afirma finalmente el directivo de AWS.

Para el segundo punto, Ryland sugiere el uso de IAM, que gestiona control de accesos y permisos en los servicios, y establece quién puede acceder a un recurso específico y cómo puede utilizarlo, evaluando por lógica matemática e inferencia la aplicación de las políticas establecid­as, establecid­as, a medida que se actualizan, y deja registro de los accesos. «Pero, siempre con mínimos privilegio­s», insiste.

Otra novedad que AWS quiere destacar es la actualizac­ión lanzada en mayo del servicio Macie, para gestión de seguridad y privacidad de datos, que utiliza machine learning learning y detección de patrones para identifica­r y proteger los datos confidenci­ales. confidenci­ales. Ahora añade la capacidad capacidad de captar y registrar la informació­n informació­n de ubicación (número de página página y de línea, desplazami­ento de caracteres, índice de registro e índice índice de celda de datos confidenci­ales) en objetos S3 escaneados.