Contacto
Volver

Resumen de Cloud Expo Europe, DevOps Live y Cloud & Cyber Security Expo

Imagen del slider

6 de diciembre de 2023

Matthieu GAILLARD-MIDOL, responsable del área de seguridad en la nube, y Florian COULON, experto en GRC, nos ofrecen su resumen de las conferencias y talleres que más les han gustado de la Cloud Expo Europe 2023, celebrada en París.

Matthieu GAILLARD-MIDOL, responsable del área de seguridad en la nube, y Florian COULON, experto en GRC, nos ofrecen su resumen de las conferencias y talleres que más les han gustado de la Cloud Expo Europe 2023, en París.
Un pequeño recorrido de 360° por los temas tratados durante esta magnífica edición dedicada a los profesionales del cloud.

Las oportunidades y los límites de la IA democratizada para las empresas

Comenzamos este RETEX con la mesa redonda celebrada el miércoles 15 de noviembre, en la que participaron:

Un debate y unos intercambios realmente interesantes que permitieron poner de relieve las ventajas y los riesgos que la IA conlleva para las empresas.

Ventajas de la IA:

  • Mejora operativa: La IA ofrece oportunidades para mejorar las operaciones y aumentar el rendimiento de los operadores.
  • Aprovechamiento de los datos: Los chatbots y los modelos lingüísticos como GPT-3 se consideran herramientas para sacar partido a los datos no estructurados.
  • Optimización de procesos: El uso de la IA, especialmente en sectores como el de la distribución (CHANEL), permite optimizar los cálculos y los procesos.

Riesgos asociados a la IA:

  • La moda pasajera y el empobrecimiento de los modelos: Los participantes advirtieron sobre la moda pasajera de la IA y destacaron el riesgo de que los modelos se empobrezcan con la gestión automatizada de los datos.
  • Retos medioambientales: Se han señalado las repercusiones medioambientales de la IA como un riesgo potencial que hay que tener en cuenta.
  • Seguridad de los datos: Se ha destacado la necesidad de evaluar los modelos, especialmente en el contexto dela IA generativa, para garantizar la seguridad de los datos.
  • Riesgo de alucinaciones y desinformación masiva: La propagación descontrolada de información errónea a gran escala se ha identificado como uno de los principales riesgos asociados a la IA.

La protección de datos y la Ley Cloud: contradicciones y soluciones europeas

Esta segunda mesa redonda reunió a expertos de renombre en el ámbito de la seguridad de los datos, especialmente en relación con la Ley Cloud. Entre ellos: 

  • Didier Simba, presidente y fundador del CESIA (Club de Expertos en Seguridad de la Información en África)
  • Sélim-Alexandre Arrad, delegado de protección de datos ( DPO) y miembro del Instituto de la Digitalización Responsable (INR)
  • Adila Sakhraji, delegada de protección de datos (DPO) y responsable de cumplimiento normativo – Secours Catholique – Cáritas Francia

Tras un breve repaso histórico (SCA, origen del Cloud Act…), nos centraremos en la coexistencia entre el RGPD y el Cloud Act. El Cloud Act solo afecta al proveedor de servicios en la nube (CSP), no al cliente. Como empresa francesa, usted no está sujeto a él; es su CSP (AWS/GCP/Azure) el que está sujeto a él. Tras la invalidación de Schrems 2, se está preparando Schrems 3; cabe señalar que seguramente también supondrá un reto.

Contradicciones entre la Ley Cloud y el RGPD:

  • La prohibición general de las transferencias de datos a países que no ofrecen un nivel adecuado de protección: La cuestión de la transferencia de datos fuera de Europa, en particular a países que no ofrecen un nivel adecuado de protección, supone un gran reto. Las sentencias del caso Schrems y el cuestionamiento del Escudo de Privacidad ponen de relieve estas problemáticas e incitan a las empresas a buscar soluciones alternativas.
  • La cuestión concreta del acceso a los datos confiados a los proveedores de servicios en la nube estadounidenses:la Cloud Act autoriza a las autoridades estadounidenses a recabar metadatos sin necesidad de recurrir a un juez ni de contar con una orden judicial, y sin notificarlo a los clientes ni a las personas afectadas, lo que genera una contradicción fundamental. Esta posibilidad es totalmente contraria al RGPD y, en particular, a su artículo 48, que limita las transferencias para responder a una solicitud de asistencia judicial.

Soluciones europeas:

  • Uso de software libre y soluciones europeas: Las empresas se enfrentan al reto de reducir los riesgos asociados a la Ley Cloud. El uso de software libre o de soluciones europeas se perfila como una estrategia para eludir las implicaciones de la Ley Cloud, respetando al mismo tiempo el marco normativo europeo.
  • Gestión de claves de cifrado por parte de terceros: Una estrategia consiste en confiar la gestión de las claves de cifrado a terceros, lo que crea una barrera técnica para los proveedores de servicios en la nube. Esto impide el acceso no autorizado a los datos y ofrece una protección adicional frente a las disposiciones de la Ley de la Nube.
  • Minimización de datos y diversificación de proveedores: Se plantea la cuestión de confiar todos los datos a un único proveedor de servicios en la nube. Se recomienda minimizar los datos y diversificar los proveedores para garantizar la confidencialidad de los datos y cumplir al mismo tiempo con la legislación.

Estrategias y recomendaciones:

  • Mantener los recursos internamente en función de la sensibilidad de los datos: Una estrategia consiste en mantener los datos sensibles internamente o en una nube mejor controlada, en función de la naturaleza y la sensibilidad de los datos.
  • Cumplimiento de las recomendaciones de la ANSSI: Se recomienda ajustarse a las recomendaciones de la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI), especialmente en lo que respecta a las tecnologías de cifrado exigidas. Ni siquiera los proveedores de servicios en la nube estadounidenses disponen necesariamente de soluciones alternativas eficaces.
  • Firmar cláusulas contractuales tipo:La única medida técnica propuesta es el cifrado adicional. A esto podemos añadir la dispersión de los datos entre varios proveedores de servicios en la nube (un método complejo, pero muy eficaz). ¡El RGPD se presenta también como el «Schengen de los datos», con oportunidades de negocio que deberían surgir en el seno de Europa! ¡El deseo del gigante europeo del cloud vuelve a quedar patente!

Ciberseguridad en las pymes y microempresas: riesgos y soluciones

Este intercambio permitió analizar los retos específicos en materia de ciberseguridad a los que se enfrentan las pymes y las microempresas. Dado que el 99,9 % de las empresas de Francia pertenecen a esta categoría y generan una facturación de 1000 millones de euros, la necesidad de comprender y prevenir los ciberataques se ha convertido en algo imprescindible.

Los ponentes: 

Riesgos específicos para las pymes y las microempresas:

  • Objetivos preferentes como proveedores: Las pymes y las microempresas se han convertido en objetivos preferentes para llegar a las grandes empresas clientes, que cuentan con una protección mucho mayor. Las estructuras pequeñas están, de hecho, más expuestas.
  • Costes de un ciberataque:
    • Los costes habituales de restablecimiento del servicio, notificación al cliente y comunicación varían
    • Costes ocultos: un ataque tiene un impacto psicológico en los equipos, lo que provoca una alta rotación de personal y, por lo tanto, una pérdida de talento. Un ciberataque tiene un coste psicológico. Esto suele ir acompañado de una pérdida de cuota de mercado debido a la pérdida de confianza de las partes interesadas, lo que beneficia a la competencia.

Pistas y soluciones:

  • Contexto normativo - DORA: El Reglamento DORA (Due Diligence on Remote Access) armoniza los requisitos vigentes en materia de gestión de riesgos relacionados con los terceros proveedores de servicios de TIC. Las entidades financieras deben definir una estrategia para gestionar los riesgos relacionados con dichos terceros.
  • Concienciación de la Dirección General: Las estrategias de protección adecuadas deben partir necesariamente de arriba.
  • Acompañamiento y sensibilización:
    • Comprender los retos a los que se enfrentan las pymes y las microempresas mediante un mapeo de sus recursos.
    • Fortalecimiento de los sistemas: Implementación de medidas de impacto inmediato, como el endurecimiento de las configuraciones, para reforzar la seguridad.
  • Resistencia ante los ataques:
    • Plan de continuidad de la actividad: Las pymes y las microempresas deben aprender a mantener su actividad en situaciones adversas.
    • Alerta inmediata y presentación de una denuncia: en caso de ataque, las pymes y las microempresas deben estar preparadas para reaccionar con rapidez, notificando el incidente y presentando una denuncia.

Amenazas cibernéticas relacionadas con la nube: seguridad y soluciones

Exploremos el modelo Zero Trust, la seguridad en la nube y las formas de identificar y prevenir los ataques en un contexto en el que las amenazas evolucionan con la proliferación de la nube. Moderado por Addy Sharma, fundador y arquitecto de seguridad en la nube de SecuriGeek, el debate puso de relieve las tendencias en seguridad en la nube, los ataques recientes y las estrategias para reforzar la seguridad de los entornos en la nube.

1. Riesgos relacionados con la nube:

  • Distribución de responsabilidades: Independientemente del nivel de servicio en la nube (IaaS, PaaS o SaaS), la responsabilidad de la seguridad de los datos de las aplicaciones recae en el cliente.
  • Las brechas más comunes:
    • Errores de configuración en los parámetros de seguridad.
    • Ataques relacionados con la ingeniería social y la suplantación de identidad.

2. Soluciones y estrategias:

  • Medidas de protección de efecto inmediato:
    • Implantación del inicio de sesión único (SSO).
    • Las soluciones nativas, proporcionadas por el proveedor de servicios en la nube, permiten identificar las configuraciones incorrectas.
    • La gestión de privilegios y accesos de los usuarios mediante la integración de Cloud Infrastructure Entitlement Management (CIEM).
  • Funciones de DevSecOps:
    • Integración de la seguridad desde la fase de diseño (Security by Design).
    • Protección de las claves API a las que se puede acceder desde fuentes conocidas.
    • Uso de herramientas de auditoría de configuraciones para identificar vulnerabilidades.
  • Uso y configuración de las soluciones de alertas nativas:
    • Aprovechamiento de las alertas nativas para obtener una primera visión de las amenazas.
    • Configuración detallada de las alertas para una respuesta rápida y eficaz.

El debate puso de manifiesto la necesidadde adoptar estrategias específicas en función del modelo de servicio en la nube, haciendo hincapié en la seguridad preventiva, la protección de los datos sensibles y la integración de la seguridad desde las primeras fases del desarrollo.

Las nuevas técnicas de detección de amenazas futuras: ¿cómo protegerse?

Ponentes:

  • Yasmine Douadi, RiskIntel
  • Ayoub Louhab, experto en seguridad y cumplimiento normativo - American Express Global Business Travel
  • Arnaud Rochais, director de seguridad de la información (CISO) - European Camping Group
  • Maran Madiajagane, director de seguridad de la información del Grupo RAJA

CTI y la contribución de la IA:

Las técnicas predictivas de DNS, impulsadas por el big data y la IA, ofrecen la capacidad de procesar enormes volúmenes de datos, lo que reduce los falsos positivos. La IA, al proporcionar pistas relevantes, se posiciona como una herramienta crucial para la prevención de ataques y el aprendizaje de las tácticas del adversario. Medir la eficacia de estas técnicas sigue siendo un reto, lo que plantea la cuestión de si la IA actúa como un freno o como un motor en la lucha contra las ciberamenazas.

Soluciones para organizaciones con un presupuesto limitado:

  • Formación en IA: Poner en marcha programas de formación para aprovechar al máximo el uso de la IA, incluyendo buenas prácticas para interactuar con modelos como ChatGPT.
  • Abandonar la nube pública: explorar alternativas fuera de la nube pública para reforzar la seguridad, teniendo en cuenta los costes asociados.
  • IA para la defensa cibernética: Aunque la IA lleva años integrándose en las soluciones técnicas, su rápida adopción exige una evaluación constante de las nuevas ofertas del mercado.
  • Coste de la CTI: La tarifa de la Cyber Threat Intelligence (CTI) depende del alcance del servicio, que incluye la protección de los DNS, la vigilancia de marcas y la superficie de ataque. Servicios como el «takedown» de sitios web maliciosos se determinan en función de estos criterios.
  • Estrategia de preparación ante ciberataques: realizar simulacros de crisis con la dirección, centrar los esfuerzos en la comunicación y utilizar herramientas como EDR ( detección y respuesta en endpoints), MDR ( detección y respuesta gestionadas) y SIEM ( gestión de información y eventos de seguridad) para automatizar las respuestas y aislar los equipos afectados.
  • Organizaciones pequeñas y resiliencia: Para las organizaciones con presupuestos limitados, la preparación para la resiliencia es fundamental. Esto implica mejorar la visibilidad, cruzar la información y desarrollar las competencias necesarias para reaccionar con rapidez en caso de ataque.

Sensibilización cibernética: ¿cómo definir mejor las necesidades? 

El reto consiste en desarrollar una cultura cibernética y cambiar los comportamientos dentro de la empresa, definiendo claramente las necesidades en materia de sensibilización sobre la ciberseguridad.

Diseño pedagógico:

  • Catálogo temático
  • Recorridos temáticos
  • Construcción según el perfil del usuario
  • Contenido para el usuario frente a contenido profesional
  • Posibilidad de importar contenido específico de la empresa

Duración: 

  • Posible suspensión por parte de la formación
  • Definición de la duración por módulo
  • Duración total

Integración técnica:

  • Solución SaaS frente a solución local
  • Dispositivos compatibles (PC, smartphone, tableta)
  • SSO posible
  • Integración en un LMS (sistema de gestión del aprendizaje)
  • Restricción / Rango de direcciones IP

Seguridad:

  • SLA, asistencia en caso de incidencias
  • RGPD (cláusulas contractuales)
  • Reversibilidades (modalidad)

Gestión de perfiles de alumnos

  • Posibilidad de cargar atributos para los alumnos (grupos)
  • Creación de grupos en la plataforma

Métricas y KPI:

  • Sobre la participación
  • Sobre la exhaustividad
  • Sobre los resultados (cuestionarios, pruebas)
  • Sobre el tiempo dedicado/módulos

Tipos de contenido:

  • Presentación (diapositivas)
  • Secuencias animadas
  • Vídeos por tema
  • Chat conversacional
  • Sesiones en directo programadas

Modelo de precios:

  • Al usuario (nombre/token)
  • Por módulo
  • Por dispositivo conectado

Idiomas:

  • Catálogo disponible / Contenido
  • Catálogo disponible / Interfaz
  • Se puede añadir un idioma
  • Por el cliente
  • Por parte del proveedor: según presupuesto / Estándar

Premios:

  • Sellos de éxito / Módulo
  • Certificado que puede publicarse en la plataforma
  • Organización de concursos

Antes de comprar:

  • ¿Es posible realizar una prueba de concepto?
  • Coste / plazos
  • Demostración

La evaluación de riesgos en la cadena de suministro

  • Bertrand Blond, director de sistemas de información de ciberdefensa – Ministerio de Defensa
  • Yasmine Douadi - RiskIntel
  • Clara Le Gros, subdirectora de Gestión de Riesgos Tecnológicos - Natixis Investment Managers
  • David Ofer, presidente de la Federación Francesa de Ciberseguridad

Introducción:

La cadena de suministro es un objetivo privilegiado para los atacantes, que a menudo aprovechan las vulnerabilidades de los subcontratistas para llegar a sus clientes. Esta mesa redonda aborda los riesgos inherentes a la cadena de suministro y analiza las nuevas dinámicas introducidas por la normativa, en particular la DORA en el sector bancario. Los participantes debatirán también sobre estrategias de evaluación de riesgos y buenas prácticas para reforzar la resiliencia de la cadena de suministro.

Enfoques convergentes en el ejército y el sector bancario:

  • Análisis de riesgos en el Ministerio de Defensa: Las operaciones militares en el ciberespacio requieren una profunda transición tecnológica, lo que aumenta la superficie de ataque. Atacar a los subcontratistas se convierte en una opción eficaz para los atacantes, ya que ofrece una desincronización rentable.
  • Nueva normativa y supervisión de los proveedores en el sector bancario: El sector bancario, fuertemente regulado, se adapta a las nuevas normativas, como la DORA, que implican una evaluación directa de los proveedores por parte de los reguladores europeos. Las calificaciones de los proveedores se están convirtiendo en indicadores fundamentales.

Estrategias de evaluación y madurez:

  • Certificaciones y evaluación de riesgos: Las certificaciones, como la ISO 27001, ofrecen un marco y una estructura, y proporcionan criterios de evaluación objetivos. Sin embargo, el debate pone de relieve el valor de estas certificaciones en la evaluación de los riesgos relacionados con la cadena de suministro.
  • Retos de la evaluación de proveedores: Identificar el eslabón débil de la cadena de suministro es fundamental. La política de seguridad informática del proveedor puede incluir una evaluación del riesgo cibernético, pero verificar su veracidad sigue siendo un reto.
  • Un enfoque contractual que resulta complicado en la práctica: imponer cláusulas cibernéticas en los contratos podría encarecer los servicios. Del mismo modo, la inclusión de cláusulas de auditoría en los contratos corre a cargo del cliente, pero le obliga a asumir esa responsabilidad.
  • Marco de madurez cibernética del Ministerio de Defensa: Una alternativa consiste en reforzar la madurez de la cadena de suministro, utilizando criterios comunes para identificar a los proveedores críticos. Un marco de madurez cibernética, con 21 preguntas distribuidas en los ámbitos de gobernanza, protección, gestión de incidentes y resiliencia, proporciona una calificación del proveedor, adaptando las respuestas en función de su importancia. Los planes de continuidad de la actividad (PCA) y de recuperación de la actividad (PRA) son prioritarios.

¿Cómo adaptar su estrategia de seguridad a un entorno multinube?

Ponentes:

Otra mesa redonda centrada en la adaptación de las estrategias de seguridad a los entornos multicloud. Los ponentes comparten sus puntos de vista para ayudar a las empresas a desarrollar estrategias eficaces en un entorno caracterizado por la complejidad y la diversidad de los servicios en la nube.

Problemática:

Distribuir los riesgos en un entorno multinube sin dejar de garantizar una seguridad eficaz supone un gran reto. La diversidad de los servicios en la nube y las normativas nacionales e internacionales (FR: LMP / HDS / SecNumCloud; UE: RGPD / NIS2 / EUCS / DORA; EE. UU.: Cloud Act / Data Privacy Framework) añaden una complejidad adicional.

Monocloud frente a multicloud: estrategia y retos 

  • La elección entre una infraestructura de nube única y una multicloud es crucial, sobre todo en sectores que sufren escasez de personal especializado en ciberseguridad. La diversidad de proveedores de servicios en la nube y de sus servicios complica la gestión de la seguridad.
  • Los conocimientos sobre la gestión de identidades y accesos (IAM) en una plataforma en la nube no se pueden transferir fácilmente a otra. La formación interna de los responsables de la nube se vuelve esencial.

Diversidad de los servicios en la nube: riesgos y soluciones 

  • La proliferación de las nubes amplía la superficie de ataque. Los hiperescaladores ofrecen sus propios componentes de seguridad.
  • Se necesita una solución unificada para entornos multinube, integrada con los sistemas locales, a fin de mantener una visión unificada, fundamental para una seguridad eficaz.
  • Las soluciones de seguridad de terceros cobran relevancia a la hora de lograr la unificación en un entorno multinube.

Consejos de los ponentes:

  • Christine Grassi: Recomienda adoptar primero un enfoque monocloud utilizando soluciones de seguridad nativas, más económicas y automatizadas. Esto permite evaluar el nivel de madurez y facilita la transición hacia un enfoque multicloud agnóstico.
  • Clémence Philippe: Sugiere que se incluya al responsable de la protección de datos (DPO) en las decisiones estratégicas, en particular en la elaboración del registro de tratamientos.
  • Anne Leslie: Insiste en la necesidad de alcanzar un compromiso entre las distintas soluciones.
  • Romain Marcoux: Destaca la importancia de integrar soluciones fundamentales como la gestión unificada de identidades (IAM), al tiempo que hace hincapié en el cifrado.

La ciberseguridad y la investigación policial

Franck Cormary, adjunto para asuntos cibernéticos de la Prefectura de Policía de París, Ministerio del Interior, comparte sus conocimientos sobre los elementos necesarios para comprender y resolver los incidentes relacionados con la ciberdelincuencia.

Llevar a cabo una investigación cibernética que implique un STAD (Sistema de Tratamiento Automatizado de Datos) requiere un enfoque integral, que combine aspectos humanos y técnicos.

Pruebas en la investigación:

  • Factor humano: peticiones de rescate, capturas de pantalla, correos electrónicos originales, listas de empleados, horarios, derechos de acceso informático, registros de acceso al edificio, videovigilancia, registros telefónicos, subcontratación detallada, trabajadores temporales, declaraciones de los responsables.
  • Elementos técnicos: registros de administración, registros del cortafuegos, detalles de Active Directory, muestra del cargador o de la carga útil en caso de infección por virus, copia del disco de un equipo infectado, registros de acceso a los servidores.

Cabe señalar que el juez puede solicitar a los proveedores de servicios de alojamiento que faciliten los datos de conexión e identificación de sus clientes.

Legislación y procedimientos:

  • La prescripción de un delito se produce al cabo de tres años.
  • En el caso de los delitos cometidos en flagrante delito, se autoriza inicialmente una investigación de ocho días, prorrogable con el consentimiento del fiscal.
  • Investigaciones preliminares: si duran más de ocho días, se limitan las facultades de la policía.
  • Comisión rogatoria: Se utiliza en casos relacionados con una banda organizada.

Competencia del juez francés:

En caso de demanda, el juez francés puede ser competente si se cumple uno de los tres criterios siguientes:

  • Lugar de comisión del delito: El lugar donde se cometió el delito puede ser un criterio determinante. Sin embargo, el alcance de esta consideración puede ampliarse en función de otros factores.
  • Domicilio del demandante: Si el demandante tiene un domicilio conocido en Francia, esto también puede determinar la competencia judicial francesa.
  • Nacionalidad de la víctima: La nacionalidad de la víctima puede atribuir competencia al juez francés, especialmente cuando la víctima es una persona jurídica o una empresa.

Es importante señalar que la competencia de los tribunales franceses puede ser extraterritorial y extenderse a asuntos que afecten a ciudadanos franceses en el extranjero.

Detalles de la denuncia:

  • En cuanto se detecta un ransomware, es probable que se haya producido una filtración de datos.
  • Recurrir a recursos como Cybermalveillance.fr y la ANSSI para ayudar a las empresas a presentar denuncias.
  • Los registros de administración de los servidores son fundamentales en el marco de la denuncia y la investigación.

Postura que se debe adoptar en caso de ataque:

  • Presentar una reclamación lo antes posible para aumentar las posibilidades de resolver el incidente.
  • Autoridades a las que dirigirse: uso de recursos como Cybermalveillance.fr y la ANSSI.
  • Desconectarse de la red y dejar que la policía recoja las pruebas.

En conclusión, Franck Cormary destaca la importancia de colaborar con las autoridades, presentar denuncias con prontitud y respetar los procedimientos para maximizar las posibilidades de resolver los incidentes relacionados con la ciberdelincuencia.

Florian COULON 

Experto en GRC - Equipo de París

 

El futuro del DevOps nativo en la nube

Un formato interesante en el que tres personas responden a las preguntas planteadas. Promueven la nube, pero también recomiendan intentar utilizar tecnologías que permitan independizarse del proveedor de servicios en la nube (Kubernetes, por ejemplo). El gigante europeo de la nube aparece a menudo en las preguntas. Se menciona a OVH, pero se responde que no ofrece el mismo nivel de servicio e integración que AWS, GCP o Azure. Debatimos sobre los servicios empaquetados que ofrecen los CSP generalistas frente a los servicios personalizables, tomando como ejemplo PostgreSQL. Utilizar un CSP dedicado para este servicio permite alcanzar un nivel máximo de optimización (la empresa citada contribuye al código de PostgreSQL). Se les podría rebatir que sí, en teoría, utilizar un CSP especializado para cada servicio sería mejor, pero supondría una pesadilla en cuanto a seguridad o, en caso de problemas contractuales o forenses.

DevSecOps de GitHub

El ponente comienza con una cita del exdirector general de la ANSSI, Guillaume Poupard: «No ocuparse de la ciberseguridad es como conducir una moto a 200 km/h sin casco». Se marca el tono para luego hacer un repaso de lo que es DevSecOps (la imagen del unicornio DevOps con la seguridad limpiando a su paso no aparece, pero habría tenido su lugar). A continuación, un repaso de las diferentes pruebas de seguridad de aplicaciones (AST): SAST, DAST, IAST y el modelado de amenazas. Con especial atención al SAST de GitHub, CodeQL, en particular su capacidad para proponer soluciones directamente a los desarrolladores (basado en diagramas de flujo e IA). Para mi sorpresa, el DAST no se identifica como una herramienta especialmente relevante. Una solución de código abierto será suficiente; no debe suponer un gasto importante, ya que presenta demasiados falsos positivos y requiere un ajuste minucioso que, al final, puede hacer que se pasen por alto algunas vulnerabilidades. Es mejor optar por un IAST.

Reducir el riesgo en entornos multicloud con WIZ

El ponente habla del CNAPP de Wiz. Recordemos que los CNAPP son la fusión del CWPP (supervisión de la configuración de la carga de trabajo, sea cual sea) y el CSPM ( cumplimiento normativo de la configuración en la nube). Estas herramientas son, a día de hoy, la punta de lanza de la seguridad en la nube (un tercio de los ataques se deben a un error de configuración). La solución de Wiz hace hincapié en la incorporación de los DevOps; el objetivo es permitirles corregir los problemas directamente y de forma autónoma, sin que los equipos de seguridad tengan que recordárselo. El ponente lo compara con el «fútbol total» (estrategia del Ajax de Ámsterdam de los años 70, en la que todos los jugadores pueden defender y atacar). Todo el mundo puede y debe contribuir a la seguridad. Dado que la solución es utilizada en un 70-80 % por los DevOps, la apuesta parece ganada. Estoy más acostumbrado a Prisma Cloud de Palo Alto y Defender de Microsoft para CSPM/CNAPP, pero, sin duda, en cuanto a la interfaz, Wiz resultará más atractiva para los DevOps, sobre todo por la contextualización de las alertas, que parece interesante. ¡Habrá que profundizar en ello!

Société Générale: nube híbrida

Experiencia práctica sobre la adopción de la nube por parte de Société Générale, con especial atención a la gestión de costes. Siempre es agradable recibir un informe de experiencia práctica de un cliente para el que he trabajado. Nos presentaron la situación, en la que coexistían tres ecosistemas: on-premise, nube privada y nube pública (en dos CSP).

Las unidades de negocio disponen de una gran variedad de opciones en cuanto al modo de implementación, lo que ofrece muchas oportunidades para disparar el presupuesto. El pago por uso se ha generalizado en todas las plataformas con el fin de fomentar la responsabilidad de las unidades de negocio. La planificación de la capacidad es fundamental para prever las compras de equipos para entornos locales y la nube privada, pero también para negociar con los proveedores de servicios en la nube (CSP). Esto lo lleva a cabo a nivel central un equipo dedicado de FinOps. El objetivo es conseguir descuentos en los servicios más utilizados. Este equipo también gestiona la estrategia de etiquetado, las compras de reservas/planes de ahorro y la elaboración de cuadros de mando globales para las unidades de negocio (incluidos los entornos locales, la nube privada y la nube pública).

 

Matthieu GAILLARD-MIDOL

Responsable de la práctica de seguridad en la nube - Equipo de Lyon

Taller en la nube: configuración de un clúster de Kubernetes
29 de noviembre de 2023

Taller sobre la nube: configuración de un clúster de Kubernetes

Matthieu, responsable del área de seguridad en la nube de Squad, impartió un taller con seis profesionales de GCP…
Más información
IDM EUROPE 2023, el resumen de la portada
30 de octubre de 2023

IDM EUROPE 2023, el resumen

Repaso al IDM Europe 2023 a través del análisis de las conferencias sobre la gestión…
Más información
Portada: ReactJS vs AngularJS
23 de octubre de 2023

ReactJS frente a AngularJS

Descubre la comparación detallada de las diferentes funciones de React JS y Ang…
Más información
Infostealers: análisis de la amenaza ciberdelictiva en su ecosistema (portada)
15 de mayo de 2023

Infostealers: análisis de la amenaza ciberdelictiva en su ecosistema

Este resumen de la conferencia sobre los infostealers permite comprender cómo funcionan…
Más información
Ciberseguridad frente a FinOps: ¿dos hermanos enemigos? portada
17 de enero de 2023

¿Ciberseguridad frente a FinOps: ¿dos hermanos enemigos?

Los equipos de FinOps y ciberseguridad suelen estar en conflicto. Extracto de una revista…
Más información