Resumen de la charla de Bill Murray en el AWS Summit 2016 (Madrid)
Los ejes principales de la seguridad son:
- visibilidad: lo que no se ve o no se conoce, no existe. Está fuera de control. De ahí la importancia de disponer de una imagen fidedigna y actualizada (idealmente, en tiempo real) del entorno de ejecución. Bien a nivel físico (¿para qué sirve el servidor X del armario Y?) como en la nube (¿cuántas “instancias” están en uso para la aplicación Z?)
- “auditabilidad”
- “controlabilidad”
- agilidad
El departamento de seguridad debe usar una pedagogía positiva. En lugar de frustrar a los usuarios con un “no, eso no está permitido”, mostrarles la forma más segura de llevar a cabo sus propósitos con un “sí, hazlo así”.
La seguridad también se puede automatizar y registrar con plantillas (“seguridad por diseño”). Definir unos valores sensatos por defecto: quién puede acceder a qué, y cuándo.
Es importante separar las responsabilidades y capacidades. Aunque el CIO sea el responsable y “dueño” de la infraestructura, no debería tener acceso físico a los centros de datos. Limitar el número de cuentas privilegiadas y, periódicamente, revisar a la baja los roles de cada identidad.
Hoy en día el cifrado puede ser fácil y asequible. Con lo cual, no hay motivo para que no sea ubicuo.
Una vez más, los registros resultan de gran utilidad.