Técnica

Más allá del cumplimiento: por qué el descubrimiento continuo de nubes de terceros es ahora un imperativo de seguridad

Photo of Manuel García Manuel García Send an email 8 septiembre 2025
19 4 minutes read
Más allá del cumplimiento: por qué el descubrimiento continuo de nubes de terceros es ahora un imperativo de seguridad

Un equipo de seguridad traza una violación activa, pero el origen está ausente de cualquier inventario oficial de activos. Es una herramienta SaaS de terceros no aprobada, que es invisible para las auditorías de cumplimiento y completamente sin administrar. De acuerdo a Un informe 2024 de CloudZeroEl 42% de las aplicaciones SaaS en uso se clasifican como Shadow TI, por lo tanto, creando un punto ciego cada vez más explotado. Con las nuevas reglas de divulgación de incidentes cibernéticos de la SEC, exigen informes rápidos y Regulaciones de privacidad global Endurecedor, las organizaciones ya no pueden confiar en los controles periódicos de cumplimiento. Por lo tanto, el descubrimiento continuo de nubes de terceros se ha convertido en la nueva línea de base para la seguridad de la aplicación.

Para Meenakshi Alagesan, un ingeniero de seguridad de aplicaciones y un miembro senior de IEEEeste desafío define el mandato de seguridad moderno. Con más de 15 años de experiencia, especializándose en modelos de amenazas, seguridad en la nube y evaluación de seguridad de aplicaciones web, se enfoca en hacer que lo invisible sea visible.

“La seguridad es más que los activos que controlas”, dice ella. “Se refiere a los que nunca sabes que tienes”.

La ilusión de cumplimiento: por qué los sistemas conocidos no son suficientes

Las auditorías de cumplimiento validan lo que se sabe. No cubren las herramientas SaaS adoptadas de forma independiente por los departamentos ni los servicios de PAAS aprovisionados sin supervisión centralizada. Estos dejan a los equipos de seguridad no preparados cuando los incidentes involucran activos más allá del alcance de la auditoría. Las infracciones de alto perfil han demostrado cómo los atacantes usan estos servicios no administrados como puntos de entrada, sin pasar por alto los entornos endurecidos por completo.

“No puedes defender lo que no sabes existe”, enfatiza Meenakshi. “Las auditorías son importantes, pero son una instantánea en el tiempo y la nube cambia por hora”.

Las regulaciones más estrictas amplifican las apuestas. Las revelaciones de incidentes ahora deben presentarse en cuestión de días, dejando así poco tiempo para investigar los servicios de sombra antes de informar. Como 2025 Juez de premios de inteligencia empresarialMeenakshi ha observado que las organizaciones más prospectivas integran el descubrimiento continuo en las operaciones diarias, tratando así el cumplimiento como el piso en lugar del techo. En el trabajo, aplicó esta filosofía para abordar una brecha de visibilidad persistente.

Cerrar la brecha de descubrimiento: desde puntos ciegos hasta conciencia en tiempo real

En toda la industria, la complejidad de los ecosistemas de la nube está creciendo más rápido de lo que los modelos de gobernanza pueden adaptarse. Con las herramientas SaaS y PaaS que proliferan a nivel departamental, los equipos de seguridad enfrentan un perímetro en constante expansión que es difícil de monitorear en tiempo real. Estos hacen que la capacidad de descubrir y evaluar los servicios de terceros continuamente un diferenciador estratégico para las empresas que operan a escala.

“La escala sin visibilidad es una responsabilidad”, comenta Meenakshi. “Cuanto más rápido crezca una organización, más importante es saber exactamente qué servicios están en juego y quién es responsable de ellos”.

Cuando Meenakshi vio los riesgos planteados por los servicios de terceros no seguidos, lideró una iniciativa para diseñar y desarrollar la capacidad automatizada de huella en la nube de terceros de su empresa y la capacidad de priorización de riesgos. El enfoque fue diseñado para la escala: datos de SSO empresariales integrados de descubrimiento de núcleo, telemetría de punto final y registros de seguridad DNS, por lo tanto, automatizaran la ingestión para que se identificaran nuevos servicios a las pocas horas de la adopción. Esto cerró la costosa brecha de adopción al descubrimiento.

La capacidad fue aún más allá al enriquecer los resultados de descubrimiento con más de 25 conjuntos de datos contextuales, propiedad de activos, detalles del proveedor, mapeos de infraestructura y mucho más. Los procesos ETL automatizados normalizaron y deduplicaron los datos, consolidándolo en una base de datos de seguridad estructurada. Esta integración significaba que los equipos de seguridad podían ver nuevos servicios tal como aparecían y, mejor aún, comprender inmediatamente su contexto e impacto potencial.

Convertir los datos en decisiones: priorización a escala

Un inventario exhaustivo sin priorización arriesga a los equipos de seguridad abrumadores. El sistema de Meenakshi integró un motor de clasificación para calificar cada servicio sobre criticidad empresarial, sensibilidad de datos y exposición al cumplimiento. Los servicios de alto riesgo se intensificaron para una revisión inmediata, mientras que las entradas de menor riesgo permanecieron monitoreadas sin consumir un tiempo de respuesta crítico.

“La seguridad efectiva se trata de enfoque”, señala Meenakshi. “Saber qué riesgos exigen atención en este momento hace la diferencia entre ser reactivo y estar listo”.

Este enfoque se alinea con el cambio de la industria hacia las estrategias de seguridad basadas en el riesgo como se refleja en los principios de “seguro por diseño” de la CISA. También se hace eco de las metodologías de su artículo académico coautor, titulado Innovación y seguridad del producto: enfoques basados ​​en la ciencia de datos para asegurar la ingeniería de software, donde la ciencia de datos se aplica para mejorar tanto el rigor como la adaptabilidad de los procesos de seguridad. Al operacionalizar la priorización, su trabajo permitió a los equipos de seguridad de su empresa acortar los ciclos de respuesta a incidentes, mejorar los informes de cumplimiento e involucrarse antes con las unidades de negocios que adoptan nuevas herramientas.

Elevar el estándar para la seguridad en la nube

Las empresas modernas no pueden pagar puntos ciegos en sus entornos de nubes. Si un servicio está ausente del inventario, entonces sigue siendo parte de la superficie de ataque, solo una parte no administrada. El descubrimiento basado en el cumplimiento sigue siendo reactivo e incompleto; La seguridad exige la visibilidad continua y contextual como una norma operativa.

Las organizaciones que adoptan tales capacidades responderán más rápido a los incidentes, se adaptarán a nuevas regulaciones sin revisiones importantes y evitarán configuraciones erróneas antes de que se intensifiquen.

“La verdadera medida de seguridad es contraria a lo bien que sigues las reglas”, reflexiona Meenakshi. “En cambio, se trata de qué tan rápido se adapta cuando cambian las reglas o los riesgos”.

En una época en la que las violaciones se originan cada vez más a partir de los servicios que nadie recuerda haber aprobado, el descubrimiento continuo es, en contraste con una mera innovación, una necesidad.









Fuente

Photo of Manuel García Manuel García Send an email 8 septiembre 2025
19 4 minutes read
Photo of Manuel García

Manuel García

Related Articles

Desafío del cliente

Desafío del cliente

2 minutos ago
Broadcom lanzará un nuevo chip de red, mientras se intensifica la batalla con Nvidia

Broadcom lanzará un nuevo chip de red, mientras se intensifica la batalla con Nvidia

8 minutos ago
Google actualiza Search and Discover con anuncios plegables, funciones de inteligencia artificial y más

Google actualiza Search and Discover con anuncios plegables, funciones de inteligencia artificial y más

15 minutos ago
Cómo ver Portugal vs Hungría en las eliminatorias para la Copa del Mundo: es *GRATIS*

Cómo ver Portugal vs Hungría en las eliminatorias para la Copa del Mundo: es *GRATIS*

21 minutos ago
Back to top button