Por qué cada agencia federal necesita una estrategia de aplicação empresariales y cómo desarrollarla

Los ejecutivos de TI de las agencias federales de Estados Unidos deben caminar por una delgada línea para ofrecer más valor y al mismo tiempo reducir el desperdicio y minimizar las pérdidas debido a los ciberataques. Por un lado, los líderes de TI deben adoptar la última tecnología para lograr una mayor eficiencia, ofrecer más valor y ahorrar dinero a los contribuyentes. Por otro lado, se enfrentan a un panorama de amenazas en evolución y expansión que requiere importantes recursos para mitigarlas. En resumen, con cada iniciativa y cada decisión, deben innovar y proteger. Para abordar estos objetivos aparentemente opuestos, los líderes de TI federales deberían desarrollar una estrategia de aplicação empresariales adaptada a su misión organizacional.

El 65% de los encuestados en el informe Estado de los servicios de aplicação de F5 2019 afirmaron que sus organizaciones están en medio de una transformación digital. La transformación digital es una nueva forma en que las organizaciones utilizan la tecnología para permitir mejoras profundas en el rendimiento y la productividad del usuario.

En resumen, las aplicações se están convirtiendo en el negocio o la misión en sí.

Para aprovechar este cambio radical, las organizaciones están realizando cambios radicales en la búsqueda de nuevos modelos operativos de negocios y TI, como:

• Confiar en servicios SaaS como herramientas de productividad y correo electrónico basadas en la nube
• Contenerización de aplicações personalizadas para simplificar la gestión y reducir costes
• Utilizar servicios de seguridad en la nube para determinar ataques rápidamente y aplicar políticas según las reglas de la organización.

Las aplicações se están entregando a varios tipos diferentes de dispositivos. Los usuarios que acceden a las aplicações no residen en entornos empresariales tradicionales: son móviles o trabajan desde casa. La prestación de funciones críticas para el negocio, como CRM, ERP y todo lo demás, debe permitir el acceso fuera de la red empresarial tradicional.

El Informe de protección de aplicação de F5 Labs de 2018 reveló que la organización promedio del sector público utiliza 680 aplicações, el 32 % de las cuales se consideran de misión crítica.

Además de este tremendo crecimiento en las aplicações, las organizaciones están implementando esas aplicações en nuevas arquitecturas y servicios. La investigación sobre el estado de los servicios de aplicação de 2019 indica que el 14 % de las organizaciones encuestadas han hecho de los contenedores el enfoque predeterminado para aislar la carga de trabajo de las aplicação y el 87 % de los encuestados están adoptando una arquitectura de múltiples nubes. La propia Oficina de Administración y Presupuesto (OMB) está abogando por una "Estrategia inteligente de la nube".¹ migrar a una red en la nube segura y protegida.

Las organizaciones gubernamentales y comerciales no son las únicas que utilizan la tecnología para reducir la fricción, brindar nuevos servicios y mejorar el valor. Los ciberdelincuentes, los grupos militantes y los actores amenazadores de estados nacionales también están innovando sus capacidades de ciberataques a una velocidad vertiginosa. A medida que mejoramos la protección de nuestras redes e infraestructura, los ciberatacantes están dirigiendo su mirada hacia objetivos más fáciles.

Los objetivos blandos se utilizan para infiltrarse en activos de alto valor que pueden almacenar personal o información clasificada. La investigación de F5 Labs muestra que el 86% de todos los ciberatacantes atacan directamente las aplicações o roban las identidades de los usuarios, generalmente mediante phishing.²

Los atacantes están aprendiendo que a veces es más fácil atacar indirectamente. Una forma de hacerlo es ir tras aplicações menos importantes, como los dispositivos IoT, y mejorar su acceso. Tal fue el caso cuando los delincuentes hackearon un casino estadounidense a través de un termómetro del acuario del vestíbulo y lo utilizaron como punto de acceso a la base de datos de grandes apostadores.³ De manera similar, la devastadora violación de seguridad de Target de 2013 comenzó como una vulnerabilidad del proveedor de HVAC de Target y terminó con una violación del sistema de punto de venta y una pérdida de 40 millones de tarjetas de crédito.⁴

Si no se gestionan, los componentes y servicios de código abierto y de terceros también pueden introducir riesgos. El informe State of the Software Supply Chain 2018 de Sonatype señala que una de cada ocho descargas de componentes de código abierto contiene una vulnerabilidad de seguridad conocida.⁵ Las organizaciones, incluidas las del sector público, aprovechan el código abierto porque acelera el desarrollo y la entrega. Sin embargo, estas mismas organizaciones a menudo no incluyen componentes de código abierto en los análisis y procesos de revisión de seguridad. Estos componentes pasan a formar parte de la cartera de aplicação y deben tratarse con el mismo escrutinio que el código personalizado. Esto incluye componentes tanto del lado del servidor (por ejemplo, paquetes NPM, bibliotecas) como del lado del cliente.

Ahora que las aplicações desempeñan un papel más importante en el cumplimiento de los objetivos de una organización, su crecimiento está superando la capacidad de la mayoría de las organizaciones para escalar sus operaciones. El modelo tradicional de tener seguridad en el perímetro no es escalable y su eficacia para prevenir amenazas es limitada. Una vez que un objetivo fácil se ve comprometido, activos de alto valor están en riesgo. Las nuevas arquitecturas y modelos de implementación desafían aún más las medidas de seguridad tradicionales. Las aplicaciones se están instalando en ubicaciones dispersas y están utilizando servicios de aplicação multicloud para mejorar el rendimiento. Mientras tanto, la superficie de amenaza asociada con las aplicações se está expandiendo exponencialmente.

La monitorización continua cerca de las aplicações y los objetivos blandos es importante para proporcionar seguridad y mantener el rendimiento. La integración de seguridad inteligente en la nube puede funcionar con la aplicação para mitigar amenazas rápidamente y proteger datos confidenciales. Se pueden enviar pequeños tipos de datos a la nube para identificar amenazas potenciales comparando los datos con millones de artefactos almacenados en la nube. Esto se puede utilizar para determinar si un cliente es un bot o un usuario real.

Un servicio de reducción de fraude puede trabajar con una aplicação para interactuar con actores maliciosos, obteniendo más tipos de datos y previniendo fraudes a gran escala. El perfil completo del fraude se puede enviar al sistema de monitoreo continuo de la organización para tomar medidas, prevenir la propagación del ataque, determinar la ubicación de los sistemas comprometidos y proporcionar pasos para eliminar la amenaza de las máquinas infectadas. Los analistas pueden proporcionar la información a las operaciones para un análisis más detallado.

Como si las cosas no fueran lo suficientemente complejas, las agencias federales están migrando a implementaciones de múltiples nubes y SaaS para aprovechar una mayor flexibilidad, obtener mayor disponibilidad, reducir la dependencia de proveedores y, en algunos casos, aprovechar los costos más bajos. El dilema es: ¿cómo brindan una experiencia de aplicação estandarizada, segura y fluida en arquitecturas híbridas, multicloud y SaaS sin exceder su asignación presupuestaria?

Las agencias pueden usar su solución perimetral en puntos de conexión a Internet confiables para asegurar la conectividad a entornos SaaS y multicloud. Esto puede causar problemas de rendimiento ya que las agencias tienen puntos de conexión limitados. Las aplicações públicas deben pasar por estos puntos por razones de seguridad, lo que introduce latencia. Los beneficios de tener aplicações escalables y de alto rendimiento se eliminan ya que es necesario "trombonizar" el tráfico para garantizar la seguridad.

Las soluciones perimetrales también se basan en firmas estáticas. Si se desarrolla una nueva amenaza y se ha perfilado dentro de un proveedor de nube, la información no se transmitirá al sistema perimetral para evitar el ataque. Las actualizaciones de firmas pueden ocurrir dentro de un día o una semana. Los activos de alto valor pueden verse comprometidos cuando la firma finalmente se desarrolla y actualiza dentro del sistema de seguridad perimetral.

La estandarización de servicios de aplicação SaaS y de múltiples nubes (las soluciones implementadas para proteger, administrar y optimizar sus aplicações) reduce la complejidad operativa que conlleva una arquitectura de múltiples nubes.

Por ejemplo, es más fácil administrar (y más poderoso) un servicio que funciona a nivel de aplicação empresarial, como la invocación basada en código de API y sistemas controlados por eventos, que un servicio que es específico de la plataforma, como tener que usar un servicio de cola de mensajes específico del proveedor. Habilitar un conjunto de funciones en todas las aplicações reduce la sobrecarga operativa. Al adoptar una plataforma estándar para tantos servicios de aplicação como sea posible, las organizaciones pueden aprovechar más la automatización y reutilizar más código para lograr procesos operativos consistentes, predecibles y repetibles.

En una era en la que muchas organizaciones nacidas en la nube ni siquiera tienen un departamento de TI, las arquitecturas de TI y los procesos operativos tradicionales quedan notablemente por debajo de las expectativas de los desarrolladores de aplicação y los equipos de DevOps. El deseo de lanzar aplicações más rápido a menudo conduce a pasar por alto los equipos de seguridad y redes tradicionales junto con los procesos operativos y de seguridad asociados. De hecho, proteger la cartera de aplicação empresariales tiene tanto que ver con las personas y los procesos como con la tecnología.

Para gestionar el rendimiento y, lo que es más importante, el riesgo en esta expansión de múltiples nubes, las organizaciones están desesperadas por encontrar soluciones. Dondequiera que residan las aplicações , las soluciones deben respaldar la implementación de políticas consistentes, gestionar amenazas, brindar visibilidad y permitir el monitoreo del estado y el rendimiento de las aplicaciones. Una solución inadecuada podría fácilmente disminuir los beneficios de una transformación digital si se obstaculiza la innovación y la agilidad de los equipos de desarrollo de aplicação y de DevOps.

Dado el creciente perfil de valor y riesgo de las aplicações, cada agencia federal necesita desarrollar una estrategia de aplicação empresariales que aborde cómo se crean/adquieren, implementan, administran y protegen las aplicações en la cartera empresarial.

Resumen: Aproveche esta oportunidad para crear una estrategia de aplicação empresarial que se alinee con la misión y los objetivos de su agencia federal.

El objetivo de la transformación digital es reemplazar procesos manuales y difíciles de manejar por aplicações eficientes y ricas en datos. Por lo tanto, el objetivo general de una estrategia de aplicação empresariales debe ser mejorar, acelerar y proteger directamente las capacidades digitales de la organización en relación con el cumplimiento de la misión. Cualquier aplicações o servicio de aplicação asociado que no sea congruente con este objetivo debe dejar de ser prioritario. A las aplicações de alta prioridad se les deben brindar recursos y seguridad adicionales, mientras que los activos despriorizados pueden utilizar recursos compartidos.

Esta alineación también implica tener en cuenta el status quo, lo que incluye mirar cuidadosamente la estrategia actual de datos empresariales, los requisitos de cumplimiento y el perfil de riesgo general de la organización.

En muchos casos, es probable que no se comprendan bien las limitaciones impuestas por estas diferentes fuentes y su impacto en la agilidad de los equipos de desarrollo de aplicaciones. Su estrategia de aplicação empresariales debe aclarar el equilibrio que su agencia está dispuesta a lograr entre las fuerzas a menudo en competencia de la innovación, la agilidad y el riesgo.

Resumen: Antes de comenzar a modernizar, debe crear un inventario completo de aplicação .

Cuando se trata de una estrategia de aplicação empresariales, la mayoría de los equipos no tienen la suerte de empezar de nuevo. Casi todos en la industria de TI heredan una arquitectura tecnológica que es el resultado de décadas de sistemas dispares superpuestos a sistemas heredados que se esfuerzan por seguir funcionando. Este problema puede ser especialmente grave dentro del gobierno federal de Estados Unidos, en comparación con el sector comercial. Rara vez es fácil migrar de manera limpia estas piezas incongruentes de tecnología a un estado objetivo deseado. Por lo tanto, es necesario realizar más descubrimientos y análisis.

Aunque pueda parecer demasiado simple, para proteger adecuadamente algo primero hay que saber que existe y luego poder monitorear con precisión su estado. Y, sin embargo, con pocas excepciones, la mayoría de las organizaciones no pueden informar con confianza la cantidad de aplicações que tienen en su cartera, y mucho menos si esas aplicações son saludables y seguras. El Informe de protección de aplicação de F5 Labs 2018 descubrió que el 62% de los líderes de seguridad de TI tienen poca o ninguna confianza en conocer todas las aplicações de su organización.

Un inventario de aplicação es el elemento más fundamental de cualquier estrategia de aplicação . Este es un catálogo de todas las aplicações, ya sea entregadas internamente, lateralmente (por ejemplo, a otras entidades gubernamentales) o externamente (por ejemplo, al público), que incluye:

• Una descripción de la función que realiza la aplicação o el servicio digital
• El origen de la aplicação (por ejemplo, software empaquetado y desarrollado a medida o servicio de terceros)
• Los elementos de datos clave a los que la aplicação requiere acceso o manipula
• Otros servicios con los que se comunica la aplicação
• Componentes de código abierto y otros de terceros que forman parte de la aplicação
• El/los individuo(s) o grupo(s) responsable(s) de la aplicação

Crear el inventario de aplicação por primera vez suele ser un trabajo minucioso y que consume mucho tiempo. Un enfoque para detectar fácilmente aplicações maliciosas es convertir el inventario de aplicação en una lista blanca; las aplicações que no están en la lista blanca simplemente no obtienen acceso a los recursos empresariales (por ejemplo, la red). Para rastrear aplicações fuera de su organización, una herramienta como un agente de seguridad de acceso a la nube (CASB) puede ser muy útil. Los CASB se ubican entre los usuarios e Internet y monitorean e informan sobre toda la actividad de las aplicação . No sólo pueden decirle qué aplicações usan más sus empleados (y cómo acceden a ellas), sino que también le brindan información sobre el uso de aplicação de TI en la sombra.

Al emplear un modelo de arquitectura DevOps e integrar sus aplicações en él, puede simplificar el proceso de inventario en el futuro. Cuando se determina la prioridad de una aplicación y se ubica dentro de su entorno multicloud o SaaS, los desarrolladores pueden empaquetar la implementación utilizando herramientas de código abierto (es decir, Ansible, GitHub). La implementación es luego administrada por estas herramientas que incluyen servicios de seguridad, administración de parches y código. La información de inventario está centralizada y se puede proporcionar rápidamente. Por lo tanto, la aplicação puede existir dentro de un entorno de nube o SaaS y aún así estar identificada por la organización.

Cada momento dedicado a garantizar la precisión de su inventario de aplicação tiene un impacto positivo directo en su capacidad para definir rápidamente los límites del sistema FedRAMP. También le permite tener una forma mucho más precisa de encontrar de manera rápida y precisa al responsable de la infraestructura de una aplicación (o incluso de un componente individual de una aplicação) cuando el organismo certificador así lo solicita.

Por último, sus esfuerzos en el marco de FedRAMP requieren que este sea un ejercicio continuo, posiblemente más de una vez al año. Es un proceso constante que implica vigilar qué aplicações y repositorios de datos están en juego, monitorear lo que los usuarios necesitan hacer y evaluar cómo evolucionan sus entornos de desarrollo.

Resumen: Analice el nivel de riesgo individual de cada aplicación y combínelo con todas las consideraciones de cumplimiento aplicables al determinar las medidas de seguridad.

El riesgo cibernético es una preocupación importante y creciente para los líderes de TI dentro del gobierno de EE. UU. Para combatirlo, debes comenzar por evaluar el riesgo cibernético de cada una de tus aplicações.

Cada aplicação de su inventario debe examinarse para detectar cuatro tipos principales de riesgo cibernético:

1. Fuga de información interna sensible (por ejemplo, secretos militares)
2. Fuga de información confidencial de clientes/usuarios (por ejemplo, registros de personal, historial fiscal)
3. Manipulación de datos o aplicações
4. Denegación de servicio a datos o aplicações

En el caso del riesgo cibernético, la importancia de un servicio digital debe medirse considerando el impacto financiero o reputacional que el ciberataque tiene sobre ese servicio según las categorías anteriores. Distintas organizaciones establecerán distintos niveles de pérdida potencial para ciertos servicios que para otros, por lo que cada organización debe hacer sus propias estimaciones en función de su misión definida. FISMA, por ejemplo, le pide que determine el riesgo a nivel de agencia para la misión o el caso de negocios. Pero a menudo es práctico examinar también los riesgos a nivel de aplicação para prepararse para cuando los estándares de cumplimiento de su misión inevitablemente se profundicen.

A veces se incluyen en los cálculos de riesgo organizacional los riesgos de incumplimiento de las normas, directrices y contratos aplicables. Las entidades federales están impregnadas de regulaciones y estándares, y todos ellos deben tenerse en cuenta al evaluar aplicações y servicios digitales. Establecer un modelo vinculado a la aplicación para evaluar el riesgo cibernético ayuda a facilitar el proceso de satisfacer los requisitos de CDM/ConMon para el cumplimiento de FedRAMP al permitirle limitar los límites a grupos de servicios manejables y adecuadamente granulares.

El uso de servicios SaaS puede ayudar a reducir las preocupaciones sobre cumplimiento organizacional. Las preocupaciones sobre el riesgo de la aplicação y el cumplimiento son responsabilidad del proveedor de SaaS. Esto ayuda a una organización a concentrarse en aplicações personalizadas.

Considere integrar servicios de seguridad en la nube dentro de la aplicação para proteger cuentas de usuario, datos financieros e información personal. Los servicios de seguridad en la nube tienen millones de puntos de datos que la aplicação puede utilizar para determinar si un cliente es malicioso o es un usuario real. Como los puntos de datos se actualizan continuamente, se pueden identificar nuevas amenazas. Las reglas se pueden aplicar a la aplicação en tiempo real y pueden funcionar con una estrategia de seguridad empresarial existente.

Resumen: Haga un inventario de qué servicios de aplicação (las soluciones que ejecutan sus aplicações detrás de escena) son necesarios para su organización.

Las aplicações rara vez funcionan de forma independiente, por lo que, junto con el inventario de aplicação , se deben administrar y rastrear los servicios de aplicação que ejecutan sus aplicaciones. Los servicios de aplicação son soluciones empaquetadas para desarrolladores de aplicação que mejoran la velocidad, la movilidad, la seguridad y la operatividad de una aplicação. Los servicios de aplicaciones otorgan varios beneficios importantes a la carga de trabajo de la aplicação :

• Velocidad: El rendimiento de una carga de trabajo de la aplicação y la capacidad de entregarla rápidamente.
• Movilidad: El movimiento fácil de la carga de trabajo de una aplicação desde un sitio de alojamiento físico o lógico a otro.
• Seguridad: La protección de la carga de trabajo de la aplicação y los datos asociados a ella.
• Operabilidad: La garantía de que la carga de trabajo de una aplicação es fácil de implementar, fácil de mantener en ejecución y fácil de solucionar si falla.

Una buena forma de localizar servicios de aplicação dependientes es examinar la sección Controles del Plan de Seguridad del Sistema FISMA o FedRAMP para su entorno. Esto a menudo señalará la presencia de servicios de aplicação centrados en la seguridad y otros servicios que dependen de ellos. 

Si bien todas las aplicação pueden beneficiarse de los servicios de aplicação , no aplicação requieren los mismos servicios de aplicação .

Los servicios de aplicação comunes incluyen:

• Equilibrio de carga
• Entrega de DNS
• Global Server Load Balancing
• Cortafuegos de aplicação web
• Prevención/protección contra DDoS
• Monitoreo y análisis de aplicação
• Gestión de identidades y acceso
• Autenticación de aplicação
• PASARELAS API
• Control de entrada y salida de contenedores
• Cifrado SSL

Todos los servicios de aplicação implican algún nivel de costo, tanto directo (en términos del servicio en sí) como indirecto (en términos de mantenimiento operativo). Las aplicações de baja prioridad pueden utilizar capacidades compartidas para ayudar a reducir costos. Las capacidades compartidas proporcionan seguridad y mantienen el rendimiento. Los activos de alto valor requieren más recursos ya que son muy importantes para la productividad de la organización.

Vale la pena señalar que muchos servicios de aplicaciones están diseñados específicamente para admitir categorías limitadas de aplicações. Por ejemplo, solo las aplicações diseñadas para servir aplicaciones de IoT necesitan una puerta de enlace de IoT. Las aplicações entregadas en una arquitectura tradicional no requieren servicios de aplicaciones dirigidos a entornos en contenedores, por lo que los servicios de aplicação de control de ingreso y de malla de servicios pueden no ser aplicables.

En algunos casos, puede ser necesario adquirir nuevos servicios de aplicação para garantizar el cumplimiento o reducir el riesgo. Si bien es posible que técnicamente cumpla con los estándares de cumplimiento, siempre debe resistir la tentación de seleccionar los controles básicos mínimos e insistir en seleccionar servicios de aplicação que mejoren su capacidad para lidiar con el riesgo cibernético.

Resumen: Agrupe lógicamente las aplicações según su tipo, prioridad y requisitos.

Una vez completo el inventario de aplicação , el siguiente paso es agrupar sus aplicações en categorías lógicas según las características que necesitan diferentes enfoques de gestión y servicios de aplicação (por ejemplo, acceso a datos confidenciales, exposición a más amenazas).

Una vez categorizada, la política de aplicação empresariales debe especificar los perfiles de rendimiento, seguridad y cumplimiento que se deben aplicar a los diferentes tipos de aplicação , en función de la criticidad y la clasificación empresarial de la aplicação misma.

Recomendamos comenzar con cuatro niveles básicos.

Como las amenazas que enfrentan las aplicações varían según el entorno en el que están alojadas, esta categorización se puede ampliar aún más para diferenciarlas en función del entorno de implementación (por ejemplo, local, nube pública).

Priorizar sus objetivos de esta manera también le ayudará a preclasificar fácilmente las aplicações que implementa en los niveles FISMA/FedRAMP adecuados. Dedicar un poco de tiempo aquí a desarrollar una estructura para los objetivos de su misión le permitirá pasar mucho menos tiempo hablando con un auditor más adelante.

Ninguna organización tiene suficientes recursos para hacer todo lo que quiere en un plazo de tiempo aceptable. Al priorizar sus aplicações, puede adoptar un enfoque de triaje para determinar qué aplicaciones necesitan reforzarse con servicios de aplicação , cuáles se deben modernizar o reemplazar y cuáles no valen la pena el esfuerzo. Para las aplicaciones de la última categoría, asegúrese de que estén segmentadas en su red y evite el escenario en el que un termostato IoT inofensivo provoque una violación total de la red. Este proceso también incluye la búsqueda de nuevas aplicações que podrían desbloquear nuevos flujos de valor y, por lo tanto, deberían desarrollarse internamente o adquirirse de un tercero.

Resumen: Desarrollar parámetros de implementación y consumo.

Una parte fundamental de cualquier estrategia de TI siempre ha sido la implementación y la gestión operativa, y una estrategia de aplicação empresariales moderna agrega algunos giros nuevos (por ejemplo, la importancia de la experiencia del usuario final). Esto incluye examinar:

• ¿Qué arquitecturas de implementación son compatibles (por ejemplo, nube híbrida, multinube)?
• Opciones del modelo de implementación para cada una de las categorías de aplicação
• ¿Qué nubes públicas pueden servir como puntos de acceso para aplicações?
• ¿En qué medida se pueden aprovechar los servicios nativos de la nube pública frente a los de terceros?

Diferentes aplicações tienen diferentes necesidades en términos de modelos de implementación y consumo. Durante esta fase de desarrollo de su estrategia de aplicação , debe esforzarse por obtener una comprensión clara de las diferentes opciones de implementación, cada una de las cuales puede tener diferentes modelos de consumo, impactos de costos y perfiles de cumplimiento/certificación.

Al seleccionar modelos de implementación, también es prudente inventariar las habilidades y el talento disponibles para tenerlos en cuenta en la decisión. Por ejemplo, elegir implementar en AWS cuando no se cuenta con el talento interno suficiente para administrarlo y no se tiene acceso a habilidades contractuales puede ralentizarlo y generar riesgos.

Nunca olvide que sus mecanismos de implementación y gestión pueden, en sí mismos, estar sujetos a una autorización, ya sea bajo FISMA o FedRAMP ATO/P-ATO, según lo que su agencia utilice como estándar para su misión.

Resumen: Establezca líneas claras de responsabilidad para cada elemento de su estrategia de aplicação empresariales.

Además de articular sus objetivos y prioridades, la estrategia de aplicação empresariales también debe incluir elementos sobre roles y responsabilidades.

Debes saber:

• ¿Quién tiene derechos de decisión sobre la optimización y protección de la cartera de aplicação (por ejemplo, selección de tecnología, disposición de aplicação , gestión de acceso de usuarios)?
• ¿Quién tiene acceso de usuario privilegiado a cada aplicação?
• ¿Quién es responsable de la implementación, las operaciones y el mantenimiento de cada aplicação en los distintos entornos?
• ¿Quién es responsable del cumplimiento de la política de aplicação empresariales?
• ¿Quién va a supervisar el cumplimiento de los objetivos de la estrategia de aplicação empresariales? ¿Y a quién le reportarán las métricas?
• ¿Quién va a supervisar el cumplimiento de los proveedores (incluidos los proveedores de servicios y componentes de código abierto y de terceros)?
• ¿Quién se asegurará de que se contabilicen todas las aplicações y servicios de aplicação (a medida que las aplicações y los servicios continúan cambiando y se agregan o eliminan)?

Estas responsabilidades podrían recaer en un individuo, en comités multidepartamentales o incluso en departamentos enteros. De todas formas, deberían explicarse claramente. De hecho, es posible que necesiten una definición aún mayor que la que exige su régimen de cumplimiento.

Las organizaciones más avanzadas adoptarán procesos operativos y automatización para asignar estas responsabilidades en las primeras etapas del proceso de desarrollo, en el momento de la creación de la aplicação . En un mundo multicloud con cientos o incluso miles de aplicações que respaldan funciones críticas, la estrategia de aplicação y las políticas correspondientes deben establecer líneas claras de responsabilidad.

Una vez desarrollada la estrategia de aplicação empresarial, para que cumpla su propósito, debe implementarse. Los mecanismos de cumplimiento deben incluir medidas de seguridad “duras” integradas en la automatización de procesos (por ejemplo, control de acceso de usuarios, análisis de vulnerabilidades de código en el momento del check-in), así como medidas “blandas” como capacitación de empleados y desarrollo de capacidades o concientización.

Su política de control de acceso debe respaldar las funciones y responsabilidades operativas definidas en la estrategia de aplicação empresariales y extenderse a todas las aplicações tanto locales como en la nube. Se debe prestar especial atención al acceso de usuario privilegiado debido al riesgo que representan para la aplicação, incluido ser el blanco de APT sofisticados debido a sus permisos administrativos o de root en la aplicação.

Las medidas especiales recomendadas para usuarios privilegiados incluyen:

• Los usuarios privilegiados siempre deben estar en grupos separados. Deben definirse como “de alto riesgo” dentro de su solución de control de acceso que requieren controles de seguridad que quizás no elija implementar para todos los usuarios o todos los niveles de clasificación de aplicação . 
• Se deben requerir múltiples factores de autenticación remota. Si se intenta acceder con credenciales válidas que no cumplen con el segundo requisito de autenticación (en el caso en que los atacantes hayan recopilado credenciales válidas de una violación en la que se compartieron credenciales) o desde una ubicación que no es físicamente posible según el último inicio de sesión válido (como un inicio de sesión exitoso en los EE. UU. dos horas antes de que el mismo usuario intentara iniciar sesión en Europa del Este), la cuenta debe bloquearse hasta que se complete una revisión de seguridad adicional.
• El acceso administrativo sólo debe autorizarse a personal capacitado y apropiado que requiera este nivel de acceso regularmente para realizar su trabajo. Cualquier acceso temporal otorgado para emergencias o proyectos especiales debe estar en un grupo de usuarios diferente configurado con un monitoreo de uso automatizado que recordará a los administradores del sistema si olvidan eliminar el acceso. La revisión de la idoneidad del acceso debe realizarse de forma periódica y completarse independientemente del equipo responsable de la aplicação o de conceder acceso a la aplicação, para evitar cualquier conflicto de intereses. Si un usuario privilegiado no accede a una cuenta durante un período prolongado, se debe cuestionar si realmente necesita el acceso.
• Se debe registrar una contabilidad adecuada de todos los acceso de usuario privilegiado a las aplicações . Esto incluye cualquier cambio realizado en la cuenta de usuario.   

Obtener este nivel de visibilidad y automatización en torno al control de acceso en la nube puede ser un desafío y costoso, ya que estas funciones generalmente no están disponibles de forma nativa. Sin embargo, es posible con licencias de terceros y, dada su importancia, es una inversión que vale la pena realizar.

Con el crecimiento constante de las aplicações y la abundancia de datos disponibles en los medios que los atacantes usan para determinar qué aplicações atacar y quién tiene acceso a ellas, la capacitación en concientización sobre seguridad nunca ha sido más importante.

Dado que el phishing selectivo es el modus operandi de los adversarios, la capacitación en phishing debería ser una prioridad. El Informe sobre phishing y fraude de F5 Labs de 2018 descubrió que capacitar a los empleados más de 10 veces puede reducir el éxito del phishing del 33 % al 13 %. Sin embargo, rara vez se imparte una formación sobre concienciación en seguridad que es suficiente y con el material adecuado. Los servicios de capacitación enlatados diseñados para marcar casillas de cumplimiento corren el riesgo de que los empleados no comprendan su papel en la seguridad de la información y no tengan un sentido personal del deber hacia ella. Si el objetivo es reducir el riesgo de una violación, la capacitación frecuente y personalizada para su organización es el camino a seguir.

No existe tiempo de inactividad para los atacantes, por lo que los empleados deben permanecer siempre alerta. Una cultura continua de curiosidad debería ser la norma para todas las organizaciones, especialmente en el ámbito federal o en cualquier empresa que suministre productos y servicios al gobierno federal. Los empleados deben ser conscientes de que son un objetivo debido a su acceso a aplicações y datos. También deben ser conscientes de cómo ese acceso o esos datos son utilizados por estados nacionales adversarios o vendidos por cibercriminales con fines de lucro (que luego son comprados por los adversarios).

Para garantizar el éxito en sus transformaciones digitales, todas las organizaciones deben adoptar una estrategia de aplicação empresariales y una política correspondiente, y capacitar a los empleados en ellas. Dentro del espacio federal, con su gran mezcla de aplicações tradicionales, híbridas y modernas, esto es especialmente crítico. Su éxito en la prestación de un servicio digital confiable, seguro y autorizado lo requiere.

Las aplicações son el corazón de la transformación digital de cualquier organización y, con el rápido cambio en la forma en que se desarrolla e implementa el software, son a la vez la mayor fuente de valor de una organización y la mayor fuente de vulnerabilidad. Los componentes de estrategia y políticas de aplicação descritos aquí proporcionan las bases esenciales para asegurar las aspiraciones digitales de cualquier organización. Dado que el perfil de riesgo de su cartera de aplicação aumenta cada día, las organizaciones deben actuar rápidamente para formalizar su estrategia y política.

¹ La Oficina de Administración y Presupuesto Estrategia Inteligente en la Nube

² Laboratorios F5: Lecciones aprendidas de una década de infracciones de datos.

³ Delincuentes piratean una pecera para robar datos de un casino , según Forbes

⁴ La violación de datos de Target se produjo debido a un error básico de segmentación de la red , ComputerWorld

⁵ Estado de la cadena de suministro de software 2018 , Sonatype