Cultura. A esa palabra tan simple, pero a la vez tan profunda debería reducirse la ciberseguridad. Esas tres sílabas son fundamentales para la estrategia de cualquier empresa. Al menos, así parece entenderlo el CISO de AWS, Chris Betz, tal y como mostró durante la inauguración de re:Inforce, el evento de la multinacional dedicado exclusivamente a la ciberseguridad y que se está celebrando en la ciudad norteamericana de Filadelfia.
El directivo hizo hincapié en la importancia de que la ciberseguridad impregne todos los escalafones de una empresa. Y para ello, puso como ejemplo a su propia compañía. Tal y como expresó “después de haber sido cliente de AWS durante muchos años, pensaba que entendía la seguridad de AWS. Sin embargo, no comprendía realmente la profundidad de la inversión en seguridad y las capacidades que tiene esta compañía”.
Betz se incorporó a AWS en Agosto del año pasado y ese cambio le ha permitido apreciar mejor la cultura de seguridad que impregna AWS. Una cultura que considera que puede extenderse a otras compañías y que esa cultura debe estar asociada a la relación de las empresas con los proveedores cloud. Tal y como explicó, “como cliente, cuando se elige un proveedor de la nube, se establece una relación a largo plazo. Se necesita un socio que esté profundamente comprometido con la seguridad. Un socio que mantenga a salvo sus activos más valiosos. Porque no todas las nubes están construidas de la misma manera, especialmente cuando se trata de seguridad. En AWS, hemos desarrollado una cultura de seguridad realmente sólida durante un largo periodo de tiempo. Construir y mantener esa cultura requiere un enfoque de inversión constante. Esto es importante. Una cultura de seguridad no se construye de la noche a la mañana y puede perderse si no hay un esfuerzo y una inversión constantes”.
Para mostrar cómo esa cultura abarca toda la empresa aseguró que “facultamos a nuestros equipos de servicio para que se apropien profundamente de la seguridad de nuestros productos. Cada equipo tiene un conocimiento profundo de sus productos y servicios, lo que les permite tomar decisiones tempranas e inteligentes sobre cómo construir estos servicios de forma más segura. Los líderes de nuestros equipos de servicio se responsabilizan de la seguridad de sus servicios, y nosotros, como líderes de AWS, también les responsabilizamos a ellos. Para hacerlo mejor, necesitamos apoyar a nuestros equipos de servicio y ayudar a escalar las mejores prácticas de seguridad. Por eso hemos creado el Consejo de Audiencia de AWS. Los guardianes son ingenieros integrados en nuestros equipos de servicio que desarrollan una profunda experiencia en seguridad y ayudan a escalar las prácticas de seguridad en AWS. Como parte de los equipos de servicio, los guardianes están presentes en cada paso del ciclo de desarrollo, desde la planificación dividida hasta las reuniones de destacar y las revisiones de seguridad, para dar voz a las decisiones de seguridad y ayudar a crear software más seguro”.
Chris Betz: «En AWS, hemos desarrollado una cultura de seguridad realmente sólida durante un largo periodo de tiempo»
Al final, el objetivo, como el de cualquier empresa, es vender sus soluciones y productos y para ello se necesitan argumentos. El de AWS es un argumento sólido: la seguridad. Como explicó Betz, “cuando se trata de seguridad, tenemos que actuar como un equipo unificado, y en AWS lo hacemos. En AWS, cada asunto relacionado con la seguridad se eleva rápidamente a un equipo de seguridad que asume la propiedad. Por esta cultura de la seguridad, los productos y soluciones de AWS siempre han sido seguro por diseño, definiendo prácticas, tecnologías y controles que están profundamente integrados en todas las capas, desde los centros de datos físicos hasta el diseño de la red y las arquitecturas de superficie, garantizando una seguridad y una protección de datos sólidas para sus aplicaciones de datos”.
El máximo responsable de la ciberseguridad de Amazon Web Services hizo un repaso de una buena parte de las soluciones en las que la seguridad está embebida desde el inicio, desde Graviton 4, su chip que cifra por completo todas las interfaces físicas de hardware de alta velocidad, incluida la DRAM o AWS Nitro Enclaves, una capacidad de EC2 que permite entornos de ejecución aislados que protegen y aseguran aún más el procesamiento de datos altamente confidenciales.
También los servicios
AWS es consciente de que los clientes están cada vez más preocupados por su ciberseguridad. Y esa cultura también la traslada a los servicios, uno de los mayores negocios de la multinacional. “Tenemos un enfoque muy claro en proporcionar servicios resistentes, seguros y duraderos. Esto significa que no tenemos ningún miedo en desarrollar nuevas herramientas o incluso reescribir el código existente, si vemos que puede ser más seguros. Por ejemplo, el año pasado, sin ir más lejos, más del 98% de los paquetes en producción en Amazon se escribieron utilizando lenguajes seguros para la memoria”.
Asimismo, en esa cultura de ciberseguridad, las pruebas y el testing es muy importante para la organización. Tal y como expuso el CISO de la multinacional, “las pruebas son un concepto importante para garantizar que el sistema se comporta de la forma esperada. Hacemos tanto pruebas positivas, en las que probamos el sistema con entradas válidas y condiciones esperadas para verificar que funciona según lo previsto, como pruebas negativas, en las que probamos el sistema con entradas no válidas y condiciones inesperadas para identificar posibles errores o vulnerabilidades”.
Las pruebas se pueden hacer de forma manual o de manera automatizada. Esta última opción es una apuesta firme de la compañía, porque ambas categorías de pruebas están limitadas por los tipos y la gama de entradas. Betz se preguntó “¿qué ocurriría si se pudieran probar todas las entradas posibles? El razonamiento automatizado considera infinitas entradas posibles para sistemas, algoritmos y configuraciones de formas que no son seguras. El razonamiento automatizado se refiere al uso de técnicas y herramientas basadas en la lógica formal para analizar y verificar la corrección de sistemas de software y medios de resultados criptográficos. Su gran ventaja es que nos permite ver de qué comportamientos es capaz el sistema y, a continuación, identificar incluso los comportamientos que hay que corregir En el caso de los sistemas complejos, las posibles entradas a considerar son muy grandes o incluso infinitas. Podemos hacerlo mejor. Las técnicas de razonamiento automatizado utilizan la lógica formal para explorar ese espacio infinito en sólo unos segundos, y lo hacen de forma sistemática y exhaustiva. En materia de seguridad, utilizamos el razonamiento automático para verificar la corrección de los protocolos criptográficos, la lógica de autorización y la coherencia de los sistemas de almacenamiento. También utilizamos el razonamiento automático para que los clientes puedan demostrar que no hay accesos no deseados mediante el razonamiento sobre políticas y controles de red. Y, por último, utilizamos el razonamiento automático para verificar mecanismos de seguridad como cortafuegos, sistemas de detección de intrusiones o código y prácticas de seguridad”.
