CSPM es más preventivo que detectivo. No monitorea tráfico en red (ese es el trabajo de firewalls, SIEM). CSPM monitorea cómo están configurados los recursos. Un bucket S3 sin cifrado de datos en reposo es un riesgo, aunque no haya ataque activo.
Qué es CSPM
CSPM (Cloud Security Posture Management) es una categoría de herramientas que constantemente monitorean y evalúan la postura de seguridad de infraestructura en cloud (AWS, Azure, Google Cloud, etc.). CSPM automatiza detectar misconfiguración, cumplimiento regulatorio no cumplido, y desviaciones de políticas. Ejemplos: Prisma Cloud (Palo Alto), CloudSploit (AWS), ScoutSuite (multi-cloud). Un CSPM típico: (1) Lee configuración de recursos en cloud (buckets S3, security groups, IAM policies), (2) Compara contra benchmarks (CIS AWS Foundations), (3) Reporta desviaciones (bucket público, security group abierto a 0.0.0.0), (4) Remedia automáticamente algunas misconfiguración o alertan para revisión manual.
Por qué importa
Para un CISO con infraestructura en cloud, CSPM es casi obligatorio. La razón: la nube introduce libertad operativa (desarrolladores lanzan recursos fácilmente) pero con riesgo de seguridad exponencial. Sin CSPM, una startup típica tiene: buckets S3 públicos con datos sensibles, security groups que permiten SSH desde internet, RDS sin encriptación, IAM policies con permisos sobre-amplios, logs deshabilitados. Cada una de estas es una vulnerabilidad. CSPM detecta automáticamente estas configuraciones erróneas y alerta o remedia. Regulaciones como NIS2, DORA, ISO 27001 exigen pruebas continuas de postura de seguridad. CSPM automatiza esa evaluación. Sin CSPM, revisar manualmente la configuración de 100+ recursos es infeasible. Con CSPM, tienes alertas en tiempo real.
Puntos clave
La mayoría de brechas en cloud son por misconfiguración, no por vulnerabilidades de zero-day. Un atacante ve un bucket público, lo explora, y roba datos. Técnicamente trivial. CSPM previene esto detectando el bucket público automáticamente.
CSPM entiende contexto empresarial mejor que un escaneo genérico. Puede alertar sobre security groups demasiado permisivos, pero también puede entender políticas de la empresa: 'bases de datos en producción deben tener backups automatizados, encriptación en reposo, y acceso basado en roles'.
La remediación automática de CSPM es poderosa pero requiere cuidado. Un CSPM que automáticamente cierra un security group demasiado abierto evita brecha, pero también puede causar downtime si mal configurado. Requiere aprobación o rollback rápido.
Ejemplo: detección de misconfiguración en AWS con CSPM
Una empresa con 200 instancias de EC2, 50 buckets S3, y 100 RDS en AWS implementa Prisma Cloud (CSPM). Descubre en la primera ejecución: (1) 12 buckets S3 públicos (cualquiera en internet puede leer datos). (2) 5 security groups permiten SSH (puerto 22) desde 0.0.0.0 (cualquiera en internet puede atacar). (3) 20 RDS sin encriptación en reposo. (4) 30 IAM policies con permiso 's3:*' en todos los recursos (si esa credencial se roba, el daño es máximo). (5) CloudTrail deshabilitado en 3 cuentas. Cada una de estas es una vulnerabilidad. Manualmente, revisar 1000+ recursos tomaría semanas. CSPM las detecta en minutos. La empresa: (1) Inmediatamente cierra los buckets públicos. (2) Restringe security groups a rangos específicos. (3) Habilita encriptación en RDS con un click. (4) Reduce IAM policies a principio de mínimo privilegio. (5) Habilita CloudTrail globalmente. Después, CSPM continúa monitoreando: si un desarrollador crea un bucket sin encriptación, CSPM alerta en 5 minutos.
Errores habituales
- Asumir que la configuración por defecto de cloud es segura. No lo es. Muchos servicios tienen defaults abiertos 'por conveniencia operativa'. CSPM es necesario para cerrar esas puertas.
- No actuar sobre alertas de CSPM. Un CSPM es útil solo si realmente remedias los problemas que reporta. Si reporta 50 misconfiguración pero el equipo ignora porque 'no es crítico', el CSPM es inútil.
- No combinar CSPM con otros controles. CSPM dice 'bucket sin cifrado'. Pero también necesitas: (1) Monitoreo (si alguien accede al bucket, alertar), (2) Auditoría (quién accedió qué datos), (3) Backup (si datos son borrados). CSPM + SIEM + Auditoría juntos son poderosos.
- Permitir remediación automática sin governance. Si CSPM automáticamente cambia IAM policies o cierra security groups, un error puede causar downtime. Requiere aprobación basada en roles o sandboxing.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre CSPM y escaneo de vulnerabilidades?
Escaneo de vulnerabilidades busca problemas técnicos (parches faltantes, puertos abiertos). CSPM busca misconfiguración (bucket público, encryption deshabilitada). Ambos son complementarios. Un CSPM detecta el bucket público; un scanner de vulnerabilidades detectaría si la máquina dentro del bucket tiene parches faltantes.
¿Cómo funciona CSPM con infraestructura multi-cloud?
CSPM multi-cloud (ScoutSuite, Prowler) se conecta a AWS, Azure, GCP simultáneamente y evalúa todos contra benchmarks de seguridad comunes (CIS benchmarks). Reporta misconfiguración en cada cloud en un dashboard unificado.
¿Puede CSPM automatizar la remediación de misconfiguración?
Sí, algunos CSPM pueden remedidar automáticamente (cerrar bucket público, habilitar encryption). Requiere cuidado: un cambio automático podría afectar operaciones. Lo seguro es: alerta primero, requiere aprobación manual, remedia.
¿Cuál es el beneficio de CSPM continuo vs. auditoría manual?
Manual: auditoría anual de configuración cloud. Descubres problemas después de 12 meses. CSPM continuo: monitorea cada cambio en tiempo real. Si un desarrollador crea un bucket sin encryption, alertas en minutos no en meses.