Para los usuarios de la nube pública, la seguridad de los servicios implementados en este entorno sigue siendo una preocupación importante, ya que los errores de configuración suelen ser la causa de las infracciones. Esto es aún más cierto cuando se trata de un banco. Por ello, para proteger sus entornos de nube privada virtual en AWS, Société Générale implementa una capa de seguridad basada en el servicio de perímetro de datos del proveedor estadounidense.

Además de otras soluciones de seguridad ya existentes, estos controles trazan una línea entre las identidades y los datos de una organización y el mundo exterior, y por su construcción impiden el acceso ilegítimo y la exfiltración de datos. En otras palabras, se trata de políticas macro que se aplican a todas las identidades, datos y redes. "En nuestra organización, la gestión de la postura de seguridad ya nos permitía verificar la configuración de los entornos de nube", afirma Al'hossein Laaguel, responsable de ciberseguridad en el departamento de TI de las funciones corporativas de Société Générale. "Pero queríamos ir más allá, sin comprometer la agilidad de los proyectos que aporta la nube".

S3 como explorador

Desde principios de 2023, el departamento de TI de la empresa está implementando controles perimetrales de AWS en S3. "Era el mejor candidato, porque es el servicio que concentra el mayor volumen de flujos", afirma el responsable cibernético. Y también una forma de obtener rápidamente los primeros beneficios al aplicar el control de recursos a todos los recursos almacenados en S3. En el tercer trimestre, la iniciativa dio lugar a la creación de un grupo de trabajo interdisciplinario, lo que permitió sincronizar los esfuerzos de los distintos departamentos de TI de Société Générale en este tema.


Al'hossein Laaguel, responsable de ciberseguridad en el departamento de TI de las funciones corporativas de Société Générale, en el AWS Summit celebrado en París a principios de abril.

"A finales de 2023, 15 servicios de AWS estaban cubiertos y nuestro objetivo es llegar a unos cuarenta a finales de 2024. La mayoría de las necesidades estarán cubiertas entonces", asegura Al'hossein Laaguel. Si bien la implementación de perímetros de datos plantea una serie de puntos específicos, el principio sigue siendo muy simple y se basa en scripts, que pueden adaptarse a partir de modelos genéricos proporcionados por AWS. "Hemos optado por bloquear todos los comportamientos sospechosos, pero la herramienta también permite, en ciertos casos, limitarse a la detección de estos", explica el directivo.

Los reguladores valoran los controles por diseño

La implementación de estos controles requiere cierto apoyo entre los equipos para que se produzcan cambios, ya que, por definición, limitan las excepciones. "Pero siempre es posible adaptar los controles para tener en cuenta las necesidades de los socios, por ejemplo", afirma Al'hossein Laaguel. Société Générale también ha creado un proceso de gestión de las solicitudes de excepción para gestionar estos casos específicos.

AnuncioPara el responsable de ciberseguridad, si bien el perímetro de datos requiere un cierto conocimiento de los servicios de AWS, esto constituye, en el contexto bancario, una garantía a ojos de los reguladores. "Se trata de controles implementados por diseño, inmutables y centralizados, que ellos aprecian. Al igual que el hecho de que los usemos para separar todo lo relacionado con la producción de todos los entornos que no son de producción", subraya Al'hossein Laaguel.