La diversidad de computer software es prolífica. Debido a que las organizaciones empresariales tienen un tamaño y un alcance inherentes, normalmente funcionan a escala, implementando múltiples bases de datos y capas de aplicaciones junto con una variedad de servicios de datos y de nube. En términos básicos, esto es algo bueno, es decir, tener una pila de TI diversificada significa que las empresas pueden soportar múltiples matices organizacionales internos, abordar diferentes requisitos de cumplimiento regionales… y defender la diversidad tecnológica al permitir diferentes especializaciones de casos de uso departamentales.
Pero una gran diversidad tecnológica conlleva una gran responsabilidad de gestión. En la era moderna de los negocios digitales, con aplicaciones de misión crítica que se ejecutan en nubes públicas, en implementaciones locales dentro de las oficinas centrales de las empresas y ahora en áreas de computación de punta dentro de máquinas inteligentes que pueblan el Net de las cosas (IoT), de repente, para algunos, hay una nuevo aspect de riesgo empresarial a gestionar.
Topografías retorcidas de herramientas de TI
Los equipos de ingeniería de desarrollo de aplicaciones de software que trabajan con especialistas en ciberseguridad conocen muy bien esta verdad. Los términos favoritos de la industria, como código espagueti (estructuras de aplicaciones ineficientes y potencialmente frágiles) y topografías de herramientas retorcidas (una sobreabundancia de seguridad, observabilidad del sistema y soluciones de administración de protección, todas ellas intentando trabajar juntas en armonía, pero que generalmente causan una especie de cacofonía) proliferan en todo el mundo authentic. sistemas TI de la organización mundial.
Anomali, empresa de operaciones y modernización de la seguridad, nos dice que “las empresas implementan con frecuencia nuevas herramientas y servicios de seguridad para abordar las necesidades cambiantes y el aumento de las amenazas. Según hallazgos recientes, las organizaciones de seguridad maduras han implementado en promedio: pequeñas empresas: 15 y 20 herramientas de seguridad medianas empresas: 50 a 60 herramientas de seguridad y empresas: más de 130 herramientas de seguridad”.
La sugerencia aquí es que, en términos prácticos dentro de empresas reales que ejecutan implementaciones en el mundo actual con flujos de trabajo de datos en tiempo serious, cada vez es más difícil no solo administrar los sistemas de TI, sino también poder identificar todos los riesgos y priorizar los procedimientos de mitigación basados en los más riesgos críticos. Aún más difícil, es necesario definir la gestión y clasificación del «riesgo» en sí para que podamos diferenciar entre aquellas configuraciones erróneas, amenazas o vulnerabilidades que representan físicamente la mayor amenaza empresarial.
Entidades de TI orquestadas dinámicamente
Qualys, empresa de soluciones de seguridad de TI y gestión de riesgos basada en la nube, ha estado trabajando para ampliar el alcance, la función y la aplicabilidad de su plataforma para responder a estos desafíos de infraestructura de computer software. El director ejecutivo, Sumedh Thakar, ha pedido que el software program empresarial y las bases de datos se manejen como «entidades orquestadas dinámicamente» que necesitan controles de ingeniería detallados. Determinar qué riesgos perseguir primero parece una tarea compleja.
Al detallar la progresión de la plataforma Qualys para TI, seguridad y cumplimiento en un documento técnico patrocinado por la propia empresa, los analistas de IDC Megan Szurley y Philip D. Harris sugieren que “lo que se necesita es un método mediante el cual la priorización considere la información sobre un activo dentro de una base de datos de gestión de configuración (CMDB), cómo se categoriza o clasifica, combinado con otros factores como la configuración incorrecta, el panorama de amenazas, la superficie de ataque normal de la organización, varios indicadores de amenazas y si hay activos [weaponized] malware asociado con las vulnerabilidades”.
Gestión de riesgos por encima de todo
Entonces, con esas funciones y prácticas capitalizadas detalladas anteriormente, esto no es ‘solo’ ciberseguridad, es por eso que Qualys es conocido como especialista en gestión de riesgos por encima de todo. Se trata de prácticas que abarcan la salud y el bienestar del sistema en un sentido más amplio. En certain, cuando se trata de computación en la nube, las empresas necesitarán ser capaces de descubrir, evaluar, priorizar, defender y remediar vulnerabilidades, amenazas y configuraciones erróneas en lo que ahora son en su mayoría entornos híbridos de múltiples nubes. Entonces, el mensaje aquí es que se trata de eliminar riesgos en todo ese panorama.
Además, podemos ver que Qualys tiene como objetivo romper los silos organizacionales y convertirse en una herramienta de repositorio singular para que los equipos de seguridad y operaciones revisen y analicen los datos. Esto significa que, al menos en teoría, podemos eliminar el discussion en torno a la gestión de riesgos si una empresa gestiona silos organizativos en varios grupos. Esto se debe a que con Qualys, la información y los módulos se consolidan en una plataforma para una mayor coherencia y regulate en relación con todos los aspectos de la gestión de riesgos.
El director ejecutivo Thakar habló con la prensa y los analistas este mes para detallar lo que afirma ser un «cambio sísmico» en la forma en que se está desarrollando la tecnología de su empresa. Al detallar la nueva plataforma Qualys Business TruRisk, Thakar dice que sus ingenieros ahora han creado una tecnología capaz de agregar señales de riesgo cibernético de una colección de diferentes fuentes (herramientas de otros proveedores de seguridad y más), y luego las coordina en una evaluación de riesgo cuantificable y marco de puntuación. Esto tiene como objetivo proporcionar a los usuarios un medio centralizado para medir, comunicar y eliminar sus riesgos de TI con remediación y mitigación precisas.
«A pesar de la presión del mercado para lanzar más soluciones de ‘medición’ de riesgos cibernéticos, los líderes de seguridad y las partes interesadas todavía no tienen medios confiables para agregar, correlacionar y traducir señales cibernéticas de una creciente pila de ciberseguridad en estrategias significativas de mitigación y remediación de riesgos cibernéticos», señaló Thakar. , en un comunicado técnico. “Hoy en día, los CISO y los líderes de seguridad también deben medir y comunicar el riesgo cibernético en forma de indicadores clave de rendimiento (KPI) que proporcionen el impacto empresarial de las vulnerabilidades, las amenazas y su postura de riesgo en tiempo authentic. Sin embargo, esto es más fácil decirlo que hacerlo. Con más de 60 herramientas de seguridad en promedio, los líderes de seguridad se ven obligados a analizar un laberinto de datos de riesgo de una colección de soluciones dispares administradas por diferentes equipos y divididas entre TI y seguridad para calcular, articular y remediar el riesgo cibernético en toda su infraestructura extendida. .”
Esta historia gira en torno a la propuesta de que Organization TruRisk Platform proporciona una forma centralizada para que las organizaciones midan y eliminen su riesgo cibernético. Pero yendo más allá, también informa al personal de ingeniería de program y a los empresarios con los que trabajan sobre su propia «postura de riesgo» genuine con el conjunto dado de aplicaciones, servicios de datos, componentes de código abierto, interfaces de programación de aplicaciones (API) y otros puntos de conexión que el El departamento de TI come to a decision implementar en respuesta a las solicitudes de las partes interesadas del negocio.
“La introducción de la plataforma Organization TruRisk marca el compromiso de Qualys de ayudar a los CISO, los profesionales de la ciberseguridad y las partes interesadas en el riesgo a cuantificar el impacto que su riesgo cibernético tiene en sus negocios, con caminos viables para eliminar ese riesgo con remediaciones y mitigaciones concisas. A través de este avance, los clientes ahora podrán obtener aún más beneficios de la completa biblioteca de amenazas de Qualys y de más de 25 fuentes de inteligencia de amenazas que ya reciben, lo que permitirá a los clientes reducir de manera más efectiva su postura de riesgo cibernético en sus organizaciones con un contexto comercial tangible”, señaló Thakar, en un weblog de la empresa.
Panel único de vidrio
Lo que Thakar, CEO de Qualys, pidió (y lo que dice que su equipo ha construido) es un mayor nivel de orquestación entre soluciones, y esta es una tendencia clave para las empresas de plataformas tecnológicas empresariales en la actualidad. Cada proveedor quiere integrarse con socios -e incluso con competidores- y luego proporcionar el llamado «panel de cristal único» para permitir una orquestación, gestión y toma de decisiones de alto nivel.
Thakar explicó cómo Qualys Enterprise TruRisk System «agrega señales de riesgo cibernético» de una «amplia gama de fuentes dispares» en la actualidad. Luego correlaciona estas señales en lo que él explain como una «vista única unificada» para obtener información sobre riesgos mensurables utilizando el marco unificado de puntuación de riesgos de TruRisk.
Para decirlo en lenguaje básico, Qualys dice que su plataforma ahora es capaz de ingerir, integrar e incorporar datos de gestión de riesgos de otras plataformas y herramientas de gestión de análisis de TI y seguridad de terceros. Con la inescapable diversidad de herramientas de software que notamos en nuestra primera línea aquí, se trata de esa misión de panel único que la empresa quiere cumplir.
Elevación de datos externos
Esas herramientas de terceros que Qualys está abierto a recibir incluyen (al momento de escribir este artículo) sin ningún orden en unique Snyk, Microsoft Defender for Endpoint, Synopsys, Normalyze, Veracode, SentinelOne, Asimily, SafeBreach, Security Scorecard y Wiz.
«La decisión de incorporar y unificar este conjunto de fuentes dispares es necesaria porque, hoy en día, no existe una única herramienta para abordar todos los requisitos de seguridad del sistema», explicó Thakar. “Si pensamos en el hecho de que la protección de la seguridad ocurre de manera diferente para los firewalls y la gestión de vulnerabilidades, también podemos ver que se necesita un enfoque diferente para la seguridad móvil, para la seguridad de TI corporativa, para la seguridad de los centros de datos en la nube, etc. Al proporcionar un nivel de unificación y orquestación que reúne estas funciones y alinea sus requisitos de protección con los resultados comerciales, podemos reducir los riesgos de seguridad y los correspondientes riesgos operativos que pueden crear en una empresa”.
Para ilustrar este punto hablando de hogares modernos, la mayoría de nosotros ahora nos damos cuenta de que necesitamos una aplicación diferente para manejar la calefacción y el aire acondicionado, una para un timbre electrónico en la puerta de entrada, otra para monitorear el bloqueo de las puertas, otra para el consumo de energía de fuel/electricidad y otra para un refrigerador inteligente con capacidad digital si tenemos la suerte de tener uno.
Si la industria de la tecnología alguna vez llegará a un solo panel de vidrio es una pregunta aún más difícil de responder. Como podemos ver aquí, es más probable que obtengamos una vista de panel único de la gestión de riesgos de TI, una vista única de los sistemas de recursos humanos, una ventana única de los sistemas de gestión de bases de datos y de intercambio de datos, una vista simplificada de las finanzas y las adquisiciones, además de Por supuesto (y más que un proveedor busca esta corona) una visión única y unificada del patrimonio híbrido de múltiples nubes de una organización.
Podría ser un solo panel en plural, pero aún así es una imagen más clara si mantenemos estas ventanas limpias y claras, pase la escobilla de goma, por favor.
Sígueme en Gorjeo o LinkedIn.