Herramienta Centralizada para la Gestión de la postura de Seguridad Multicloud

BENEFICIARIO

Empresa que brinda servicios BPO e ITO a entidades del gobierno Colombiano.

INTEGRANTES

Paola Marcela Hernández Sierra

Departamento de Ingeniería de Sistemas y Computación

Universidad de los Andes

Bogotá, Colombia

p.hernandezs@uniandes.edu.co

AÑO

2024

PALABRAS CLAVE

CSMP, Azure, AWS, Defender for Cloud, Security Hub, Framework CIS Control V8, NIST 800-53 y Estandar Iso 27001:2022, Inteligencia de Negocio BI, SIEM, Cuadro de Mando

CONTEXTO

La empresa objetivo del estudio es una entidad de servicios integrales de ITO (Outsourcing de Tecnologías de la Información) y BPO (Outsourcing de Procesos de Negocio), que atiende a clientes del sector Gobierno con una alta demanda en disponibilidad y seguridad de información, sobre todo en los sistemas de atención al ciudadano. Estos clientes cuentan con cargas de trabajo desplegadas en servicios cloud en AWS y Azure. Con la rápida migración de sus servicios a la nube, se han generado varios desafíos en la gestión de riesgos y en la oportuna respuesta y remediación de vulnerabilidades. Como ha crecido el número de clientes, con diferentes entornos cloud, se han incrementado los procesos y tareas de identificación, análisis, reporte, remediación y mejora de la postura de seguridad, lo que ha generado altas cargas de trabajo en la elaboración de matrices y planes de remediación, así como la ejecución de varias actividades manuales; el tener que ingresar a cada portal de cada cliente de forma individual implica el desarrollo de los procesos demorados y poco eficientes, para luego ser socializados con los equipos de TI y Desarrollo para realizar las remediaciones.

La empresa requiere de un proceso automatizado que facilite las funciones de identificación, protección, detección, respuesta y recuperación, que les permita cumplir con los requisitos de seguridad acordados con cada cliente y asegure el evidenciar el cumplimiento normativo o la adopción de las buenas prácticas de seguridad, de acuerdo con el entorno y las cargas de trabajo cloud.

Como parte fundamental del proceso se requiere de un framework unificado que permita la evaluación de la postura de seguridad de forma transversal y estandarizada para todos los clientes. Esto facilitará la generación de indicadores, métricas, ANS y la toma adecuada de decisiones.

PROPUESTA

Definir, diseñar y aplicar un proceso, soportado por una herramienta, para la gestión de la postura centralizada de seguridad multinube, para los clientes de la empresa BPO, que permita evaluar y mejorar continuamente el score de seguridad de la información de los recursos y la información gestionada por la empresa, independiente del proveedor cloud. Se busca consolidar la gestión de la información en un tablero de mando centralizado y dinámico, que facilite la buena toma de decisiones, la implementación de controles, la remediación de vulnerabilidades y mejorar la postura de seguridad a un nivel de confianza aceptable por cada cliente sobre un framework unificado.

RESULTADOS

Framework Unificado:

Para la evaluación se realizó el cruce de los 3 frameworks, NIST 800-53 con 20 familias de controles Moderado y Bajo, CIS control versión 8 con 18 controles e ISO 27001:2022 con 93 controles
Cis Control cuenta con 153 Salvaguardas agrupadas en 18 controles con un enfoque de protección primaria y línea base de ciberdefensa.
La Iso 2701:2022 cubre 93 controles de los cuales 49 son homologables con el framework base CIS y 44 controles organizativos asociados a políticas, procesos y procedimientos documentados. Mas enfocada en establecer, implementa, mantiene y mejora continuamente un SGSI.
Para los controles NIST 800-53 de las 20 agrupaciones, 18 son homologables con controles CIS, aplicando a 219 controles. proporciona un marco global para la gestión de los riesgos de seguridad y privacidad la información.

Implementación:

Para AWS, las vulnerabilidades pueden ser aplicables a varios controles CIS. Si una vulnerabilidad se aplica a tres o más salvaguardas dentro de un mismo control, se sumará en ese control específico para modelar el radar de brechas.
En Azure, Microsoft Defender for Cloud realiza una agrupación personalizada de controles, basada en las mejores prácticas de NIST. Esta agrupación es homologable con los controles CIS v8. Para cruzar esta agrupación con el marco personalizado propuesto, se establece una correspondencia entre la nomenclatura utilizada por Azure y la agrupación de salvaguardas coincidentes.
Para los hallazgos de Vulnerabilidades de Azure, los ítems de cis control 3 (34.2%), 4 (12.6%) ,5 (13.5%) y 6(26.6%) son los de mayor peso.
Para los hallazgos de Vulnerabilidades de AWS, los ítems de cis control 3 (46.60%),4 (22.10%),11(13.40) y 7(6.70) son los de mayor peso.