La seguridad es el trabajo número cero

Resumen de la charla de Bill Murray en el AWS Summit 2016 (Madrid)

Los ejes principales de la seguridad son:

  • visibilidad: lo que no se ve o no se conoce, no existe. Está fuera de control. De ahí la importancia de disponer de una imagen fidedigna y actualizada (idealmente, en tiempo real) del entorno de ejecución. Bien a nivel físico (¿para qué sirve el servidor X del armario Y?) como en la nube (¿cuántas “instancias” están en uso para la aplicación Z?)
  • “auditabilidad”
  • “controlabilidad”
  • agilidad

El departamento de seguridad debe usar una pedagogía positiva. En lugar de frustrar a los usuarios con un “no, eso no está permitido”, mostrarles la forma más segura de llevar a cabo sus propósitos con un “sí, hazlo así”.

La seguridad también se puede automatizar y registrar con plantillas (“seguridad por diseño”). Definir unos valores sensatos por defecto: quién puede acceder a qué, y cuándo.

Es importante separar las responsabilidades y capacidades. Aunque el CIO sea el responsable y “dueño” de la infraestructura, no debería tener acceso físico a los centros de datos. Limitar el número de cuentas privilegiadas y, periódicamente, revisar a la baja los roles de cada identidad.

Hoy en día el cifrado puede ser fácil y asequible. Con lo cual, no hay motivo para que no sea ubicuo.

Una vez más, los registros resultan de gran utilidad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *