Todos los Socios de Microsoft son Socios de Seguridad
Como socios de Microsoft, intentamos enfocarnos en un Área de Solución específica de Microsoft cuando comenzamos y buscamos una designación de Socio de Soluciones en esa área de solución. A medida que el tiempo avanza, podemos optar por expandirnos a otras áreas de solución de Microsoft. Al expandirnos, llegaremos a más clientes y ofreceremos más servicios a los clientes existentes. Sin embargo, también es común seguir enfocados en una sola área de solución.
Actualmente, Microsoft tiene las siguientes áreas de solución:
Aplicaciones empresariales
Datos e inteligencia artificial
Innovación digital y de aplicaciones
Infraestructura
Trabajo moderno
Seguridad
Es importante reconocer que la seguridad debe considerarse en todas las áreas de solución, incluso si no están relacionadas explícitamente con la seguridad. La seguridad es similar al sistema inmunológico de cualquier solución en la nube y debe integrarse en las soluciones que proponemos a nuestros clientes. Dos áreas clave donde la seguridad desempeña un papel crítico son el tenant del socio y el tenant del cliente. Como socio de Microsoft, es su responsabilidad asegurarse de que su Tenant de Socio esté seguro. Para lograr esto, es necesaria la familiaridad con la seguridad. Las mejores prácticas de seguridad de CSP y los principios de Confianza Cero pueden servir como un buen punto de partida para mejorar la seguridad.
Microsoft ofrece las mejores prácticas de seguridad bien documentadas que se pueden implementar en el tenant del cliente. Además, muchos servicios y productos de Microsoft tienen Baselines de Seguridad que pueden servir como guías para diseñar soluciones en Azure u Office 365. Siguiendo estas directrices, podemos asegurarnos de que la seguridad sea una prioridad en todas las áreas de nuestras soluciones, lo que lleva a entornos en la nube más fuertes y seguros para nuestros clientes.
Es crucial reconocer que no siempre es posible evitar cada ataque. Este hecho no debe percibirse como un resultado binario de ganar o perder. El objetivo no debe centrarse únicamente en lograr un triunfo completo, sino en garantizar que se implementen medidas de protección adecuadas para prevenir ataques, minimizar el daño cuando un ataque tiene éxito y permitir una recuperación rápida. Por lo tanto, el objetivo final es crear un sistema resiliente que pueda resistir los ataques y responder a ellos de manera efectiva.
Si no aplicamos las mejores prácticas de seguridad recomendadas en nuestro tenant de socio, ponemos en riesgo tanto nuestro tenant de socio como los tenant de los clientes. Esto no solo tendrá un impacto monetario, sino también de reputación con nuestros clientes.
Durante mi tiempo trabajando con socios de Microsoft como Consultor Técnico para Socios, había dos razones comunes por las que normalmente no se consideraba la seguridad como parte de la solución propuesta desde el inicio:
Costo
Conocimiento de seguridad
El costo de la Segurida
El costo de la seguridad depende del escenario del cliente. Implementar servicios y habilitar características que mejoren la seguridad típicamente aumentan los costos. Hay otras características que se pueden habilitar que no tienen costo y que pueden ayudar con la seguridad, como Azure Active Directory Security Defaults o las recomendaciones de Microsoft Defender para Clouds, solo para nombrar algunas.
No deberíamos centrarnos en el costo inmediato de implementar la seguridad. Esto se debe a que no considerar la seguridad en su solución puede considerarse una deuda técnica. La deuda técnica es un término metafórico utilizado para describir el costo de soluciones a corto plazo que pueden generar problemas a largo plazo. Si la seguridad no se considera adecuadamente durante el diseño y la implementación de una solución, puede generar vulnerabilidades de seguridad que pueden ser explotadas por atacantes, causando daños significativos al sistema y a la organización. Con el tiempo, el costo de solucionar las vulnerabilidades de seguridad puede acumularse y convertirse en una carga, lo que lleva a costos más altos y ciclos de desarrollo más largos. Por lo tanto, es importante priorizar la seguridad desde el principio y evitar incurrir en deuda técnica relacionada con la seguridad.
Conocimiento de seguridad
Desde la perspectiva del socio, Microsoft ofrece una gran guía sobre cómo puede implementar la seguridad para mejorar la seguridad de su propio entorno de socio. Desde la perspectiva del cliente, Microsoft también proporciona orientación general sobre cómo puede mejorar la postura de seguridad de la solución general que propone.
La siguiente documentación es una excelente referencia para los socios de Microsoft:
Cloud Solution Provider security best practices - Partner Center | Microsoft Learn
La siguiente documentación complementa el artículo anterior con las prácticas recomendadas de seguridad para los clientes:
Customer security best practices - Partner Center | Microsoft Learn
Les animo a que también revises los Principios de Confianza Cero:
Zero Trust Model - Modern Security Architecture | Microsoft Security
Como complemento a las notas del producto del modelo de confianza cero, también recomiendo revisar la arquitectura de referencia de ciberseguridad de Microsoft (MCRA):
Microsoft Cybersecurity Reference Architectures - Security documentation | Microsoft Learn
Tenga en cuenta que esta lista no es exhaustiva y hay muchas más formas de mejorar la postura de seguridad general tanto en su propio tenant de partner como en el del cliente. Si necesita orientación sobre cómo mejorar la seguridad de su propio tenant de partner o integrar la seguridad en un escenario de cliente existente, no dude en ponerse en contacto con nuestro equipo. Siempre estamos dispuestos a discutir y revisar su escenario y proporcionar recomendaciones personalizadas.
In conclusion regardless of what solution area you specialize in. Security needs to always be part of your solution.
Además, esté atento a futuros blogs sobre este tema en los que ampliaremos aún más sobre cómo usted, como socio de Microsoft, puede mejorar la seguridad en su propio tenant de partner y en los tenants de sus clientes.
