Directrices de la nube pública de MAS: una inmersión profunda en su impacto en la seguridad de la nube – Fintech Singapore

En medio de un mundo en rápida digitalización, acelerado aún más por la pandemia de COVID-19, la tecnología en la nube se ha convertido en una piedra angular fundamental para las empresas de todo el mundo. Recientemente, la Autoridad Monetaria de Singapur (MAS) presentó una circular con directrices sobre la nube pública sobre los riesgos cibernéticos asociados con su adopción, que afectan tanto a los sectores financieros como a los tecnológicos. 

La evolución de la tecnología de la nube ha remodelado la forma en que operan las empresas que antes no tenían salida al mar. La necesidad de mejorar la seguridad en la nube, especialmente dentro de la industria fintech, estrictamente regulada y que podría tener implicaciones de gran alcance, nunca ha sido mayor. 

El reciente seminario web titulado 'Cómo le impactan las nuevas directrices de nube pública de MAS', moderado por el director ejecutivo del especialista en ciberseguridad Horangi, Paul Hadjy, reunió a expertos de la industria para arrojar luz sobre las directrices actualizadas establecidas por la Autoridad Monetaria de Singapur (MAS). 

Entre los panelistas se encontraban Anand Nirgudkar, director de tecnología de la fintech de pagos CardUp e Ivy Young, jefa de seguridad de AWS Professional Services, ASEAN.

Este debate fundamental, en el que participan algunos de los principales expertos de la industria, ofrece una visión holística del panorama de la nube pública en relación con la directrices marcadas por el MAS, profundiza en sus implicaciones y lo que significan para las organizaciones.

Aprovechando el poder de la nube

La omnipresencia de la nube en los últimos años no ha pasado desapercibida para los panelistas. Desde garantizar un tiempo de actividad 24 horas al día, 7 días a la semana hasta proporcionar acceso a datos de mercado, la infraestructura de la nube es la columna vertebral de sus operaciones.

Mientras tanto, Anand, hablando sobre la experiencia de CardUp, destacó el espíritu de la empresa de dar prioridad a la nube, señalando el cumplimiento de PCI DSS, las mejores prácticas arquitectónicas y el crecimiento regional como motivadores clave para su dependencia de la nube.

El desafío de la seguridad en la nube

A pesar de los enormes beneficios que ofrece la tecnología de la nube, son dignos de mención los desafíos inherentes que plantea, particularmente en el ámbito de la seguridad. Uno de esos desafíos es la mala configuración. Anand destaca el dinamismo de la seguridad en la nube y cita el notorio incidente de Capital One como un claro recordatorio de cómo simples configuraciones erróneas pueden provocar infracciones importantes.

Sin embargo, no se trata sólo de una mala configuración. Como se señala en las directrices de MAS, la gestión de identidad y acceso sigue siendo primordial. Paul enfatizó la importancia de contar con controles sólidos, particularmente con las prácticas de incorporación y baja.

Reflexionando sobre el violaciones recientes de los protocolos DeFi Harbour y Exactamente en ataques separados, el panel recordó los motivos que impulsan a los atacantes. Cuando hay más que ganar, invariablemente se llama la atención de los atacantes. Como tal, si bien la infraestructura en la nube ofrece ventajas incomparables, lo que está en juego nunca ha sido tan grande.

El modelo de responsabilidad compartida

Un tema central de discusión se centró en el “modelo de responsabilidad compartida”. Ivy Young comentó: "Algo fundamental aquí, cuando consideramos la seguridad, es un modelo de responsabilidad compartida". 

Este modelo enfatiza la división de responsabilidad entre los proveedores de la nube y sus clientes. Si bien los proveedores de la nube garantizan la seguridad de la nube, los clientes deben proteger lo que colocan en la nube, ya sean datos o aplicaciones.

Ivy señaló además que comprender el modelo de responsabilidad compartida es esencial. Sin embargo, el desafío surge cuando esta comprensión no se traduce en operaciones y procesos diarios. En consecuencia, podrían surgir configuraciones erróneas o brechas de gobernanza.

Visibilidad en la infraestructura de la nube

Anand destacó la importancia de la visibilidad en la infraestructura de la nube. "El aspecto fundamental de si desea proteger los datos o evitar algo es el aspecto de la visibilidad", comentó. 

Tener una supervisión integral garantiza una prevención, detección y gestión de incidentes efectiva y adaptada a la nube. Herramientas como Incident Manager de AWS, Azure Sentinel y otras desempeñan un papel fundamental a la hora de ofrecer esta visibilidad, ayudando a las organizaciones a detectar configuraciones erróneas de manera temprana e implementar modelos de gobernanza sólidos.

Decodificando jergas de seguridad en la nube

La rápida evolución de la tecnología de la nube a menudo introduce nuevas terminologías y acrónimos. Los panelistas llevaron a los asistentes a un recorrido vertiginoso por estos, comenzando con CWPP (Plataforma de protección de carga de trabajo en la nube) hasta CSPP (Gestión de la postura de seguridad en la nube) y finalmente CNAPP (Plataforma de protección de aplicaciones nativas en la nube). El tema general entre cada uno fue garantizar la seguridad y el cumplimiento en el entorno de nube en rápida evolución.

“Comprenda los casos de uso principales”, enfatizó el panel, y agregó que, independientemente del acrónimo, la atención siempre debe centrarse en salvaguardar los datos, los planos de control y garantizar una seguridad sólida en la nube.

El desafío de la fatiga de alerta

Si bien contar con herramientas es esencial, Anand señaló el verdadero desafío: “La fatiga por alerta es real”. 

Los sistemas de seguridad pueden inundar a los equipos con alertas, lo que lleva a una pérdida de enfoque en amenazas genuinas en medio de un mar de falsos positivos. Por lo tanto, es crucial no sólo implementar herramientas, sino también garantizar que estén diseñadas para proporcionar información procesable sin abrumar al personal de seguridad.

Profundizando en la Circular MAS sobre Adopción de la Nube

La nueva circular de la Autoridad Monetaria de Singapur sobre la adopción de la nube para las organizaciones de Singapur fue el principal punto focal del seminario web. La circular enfatiza la rápida migración de la industria de servicios financieros en Singapur a plataformas en la nube. 

Como observó Paul Hadjy, si bien es posible que la circular de la MAS no detalle cada acrónimo, subraya la importancia de contar con soluciones, procesos y estrategias de mitigación eficaces. El objetivo de la circular se alinea con garantizar que las entidades reguladas mantengan los más altos estándares de seguridad en la nube.

Cómo afectan las directrices de nube pública de MAS a las empresas

Paul destacó la importancia de comprender las configuraciones erróneas dentro del desarrollo de la nube y destacó el valor de la Directrices de nube pública MAS. Dijo: "Los desarrolladores, al saber de dónde provienen muchas de las configuraciones erróneas, pueden ser muy influyentes e importantes". Las directrices, según Paul, son una lectura esencial para cualquier persona en la industria, especialmente aquellos involucrados en los aspectos técnicos de la nube.

Los panelistas arrojaron luz sobre las implicaciones más amplias de las directrices. Señaló la importancia de que no sólo los actores actuales de la industria, sino también los empresarios en ciernes del sector fintech se familiaricen con estas directrices. 

Hablando sobre el floreciente crecimiento de la industria fintech, el panel dijo: "La dinámica hacia dónde se dirigen los negocios es definitivamente hacia la nube". Creen que la inversión debería dirigirse a los procedimientos de seguridad en la nube, enfatizando la importancia del trabajo basado en la nube, ya sea que implique manejo de información, flujo de trabajo o reclamos.

Ivy, jefa de seguridad de los servicios profesionales de AWS en la ASEAN, habló sobre cómo mejorar la postura de seguridad. Según ella, las exigencias reglamentarias deberían considerarse sólo el comienzo. 

Las empresas deberían intentar construir una cultura de seguridad desde el principio, ya que esto las beneficiaría a largo plazo. Mencionó que muchas empresas ahora ven la seguridad como un facilitador de ventas, una perspectiva que se está volviendo cada vez más frecuente en Asia.

Ivy enumeró tres pasos iniciales para que las entidades financieras reguladas pongan en marcha su programa de seguridad en la nube. Una es alinear los objetivos comerciales con los niveles de madurez de seguridad de la nube.

El segundo es aprovechar los amplios recursos que ofrecen los proveedores de servicios en la nube. Y en tercer lugar, establecer visibilidad desde el principio es crucial para detectar y abordar los riesgos a tiempo.

Anand Nirgudkar, CTO de CardUp, ofreció una visión holística, comparando la experiencia de la migración a la nube con subirse a una montaña rusa por primera vez. Reiteró la importancia de un proceso de descubrimiento exhaustivo y de aprovechar la ayuda brindada por los proveedores de servicios en la nube. 

Además, Anand subrayó la necesidad de modelar las amenazas y los beneficios de crear “barandillas” en lugar de “puertas”.

También alentó a la comunidad a explorar el Marco de Adopción de la Nube de AWS de 2016, que proporciona una guía integral que puede ser beneficiosa, independientemente del proveedor de servicios de nube específico que se esté utilizando.

Comprender los pilares de la seguridad en la nube

El panel comenzó identificando tres pilares fundamentales para un programa de seguridad en la nube eficaz. En primer lugar, la seguridad de los terminales tiene una importancia primordial, especialmente en industrias susceptibles a ataques frecuentes, como el sector de las criptomonedas. 

En segundo lugar, destacaron la prevención de pérdida de datos (DLP). A medida que la fuerza laboral se expande y opera de forma remota, la fuga de datos se ha convertido en una preocupación importante. Es vital garantizar el acceso a información crucial sin comprometer la seguridad a través de mecanismos como el inicio de sesión único o la autenticación de dos factores.

El último pilar giró en torno a la ciberhigiene. A medida que las organizaciones crecen, inculcar una cultura de buenas prácticas de ciberseguridad se vuelve indispensable. Garantizar que los empleados, tanto antiguos como nuevos, estén estar bien informado sobre las amenazas potenciales es crucial.

Transición a la nube: ¿por dónde empezar?

Al considerar la transición a la nube, tanto Anand Nirgudkar como Ivy Young abordaron la pregunta de "por dónde empezar". Anand destacó la importancia de comprender y clasificar los activos antes de tomar cualquier decisión migratoria. Abogó por una evaluación basada en el riesgo y el impacto empresarial asociado a la posible migración de cada activo. 

Haciéndose eco de sentimientos similares, Ivy destacó la importancia de los objetivos comerciales. Se recomendó comenzar con la migración de activos menos críticos para generar experiencia y luego realizar una transición gradual de cargas de trabajo más críticas, fomentando así la confianza y cultivando un entorno de aprendizaje práctico.

Directrices de la nube pública de MAS: conclusiones clave

Una de las preguntas más apremiantes estaba relacionada con los cambios provocados por las directrices de nube pública de MAS. Anand proporcionó un resumen articulado de los elementos esenciales de las directrices. 

Elogió a MAS por su circular integral, que profundiza en aspectos que van desde la introducción de varios modelos de servicio, responsabilidades compartidas, gestión de identidades y accesos, enfoques de seguridad de la carga de trabajo y principios de seguridad de confianza cero. 

Las directrices también abogan por pruebas continuas, seguridad de datos, gestión de claves y más. El énfasis en un enfoque de seguridad basado en riesgos constituye la columna vertebral de toda la circular, lo que subraya la importancia de un enfoque equilibrado y pragmático de la seguridad en la nube.

La nube como imperativo empresarial

Si bien no se pudieron abordar todas las preguntas debido a limitaciones de tiempo, las ideas compartidas por los panelistas ofrecen un aprendizaje invaluable. El Seminario web 'Cómo le impactan las nuevas directrices de nube pública de MAS' subrayó cómo la adopción y la seguridad de la nube no son meras decisiones de TI, sino imperativos comerciales críticos en la era digital actual. 

Si bien las nuevas directrices de la MAS introducen una capa adicional de complejidad, también marcan el comienzo de una era de mayor seguridad, transparencia y confianza. A medida que las organizaciones navegan por estas directrices, no sólo se recomienda, sino que es esencial, adoptar un enfoque integral, estratégico y proactivo para la adopción y la seguridad de la nube.

Vea el seminario web a pedido en este enlace para obtener conocimientos.

Horangi participará en el próximo Festival Fintech de Singapur que tendrá lugar del 15 al 17 de noviembre. Obtenga más información sobre la participación en su stand esta página.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/