Por Ami Hofman / Dimension Data / volascoaga@infosol.com.mx
Creo que es razonablemente justo decir que los equipos de ciberseguridad y la nube han tenido una relación un tanto complicada.
Siempre ha habido cierta tensión entre los equipos de seguridad y la nube. Inicialmente, había mucha resistencia a adoptar la nube o a poner en la nube cualquier otra cosa que no fueran aplicaciones no críticas, ya que los riesgos no se entendían bien.
Sin embargo, la ampliación del negocio tenía otros planes. A medida que los beneficios económicos y operacionales de la nube se hicieron más claros, las unidades de negocios impulsaron agresivamente la adopción de servicios de nube en toda la empresa. A su vez, esto obligó a los equipos de ciberseguridad a entrar en territorio desconocido conforme la adopción de la nube ha seguido creciendo, lo cual ha significado que los equipos de seguridad cibernética deben pensar de manera diferente acerca de la nube, cómo permitir la adopción (incluso cuando no siempre está bajo la vigilancia del área de Tecnologías de la Información TI) para garantizar que la nube sea intrínsecamente segura.
Por otro lado, ha sido una lección buena pero difícil para los equipos de seguridad cibernética, ya que en última instancia, no innovar junto con el negocio ha generado más riesgos. En lugar de esperar a que los equipos de seguridad cibernética dijeran que “no”, las unidades de negocios siguieron adelante para utilizar estos servicios sin el consentimiento de TI, dejando a la organización algo vulnerable.
A pesar de lo sencillo que es utilizar la nube (algunos usuarios ni siquiera se dan cuenta de que lo es), aplicar los controles de seguridad adecuados es mucho más difícil y requiere el desarrollo de una estrategia de ciberseguridad en la nube y las respectivas referencias arquitectónicas.
La mayoría de los profesionales de la ciberseguridad ahora están lidiando con lo siguiente: ¿cómo permitimos que la empresa consuma los servicios en la nube que necesitan, al tiempo que garantizamos la protección adecuada? Dicho de otra manera, ¿cómo podemos permitir que la empresa innove y acelere a la vez que garantizamos que los activos críticos se mantengan a salvo de riesgos innecesarios?
NUEVA MENTALIDAD
Para tener éxito con la seguridad en la nube, se requiere una nueva mentalidad.
En primer lugar, comienza cuando los equipos de seguridad cibernética se alinean con lo que la empresa intenta lograr y comprenden el papel de la tecnología en eso. Donde la tecnología puede realmente transformar un negocio e impulsarlo hacia adelante, los equipos de ciberseguridad deben liderar la acción. Involucrarse desde el principio puede ayudar a asegurar que:
- La compañía está construyendo una cultura consciente de la seguridad cibernética, y
- DevOps incluye seguridad, convirtiéndose en DevSecOps, de modo que la tecnología que se está construyendo e implementando es segura por diseño.
En segundo lugar, los equipos de ciberseguridad deberían tomarse un tiempo para comprender lo que está sucediendo en el negocio en general. Es importante tener una buena comprensión de los tipos de servicios en la nube que se consumen, para crear una imagen de cómo se ve su entorno en la nube, los comportamientos para los que necesita estar preparado y cómo se ven los flujos de tráfico.
Solo así podrá crear una estrategia holística de seguridad en la nube para su empresa. Con los conocimientos adquiridos anteriormente, podrá apreciar cómo debería verse su entorno de nube ideal, y cómo puede respaldarlo y protegerlo. Es razonablemente seguro decir que la mayoría tendrá un entorno de nube híbrida, uno que utiliza múltiples nubes públicas y/o privadas (dentro y fuera de las instalaciones).
Usted también debe crear planes para múltiples casos de uso o escenarios de seguridad en la nube en su estrategia. Por ejemplo, cómo protege sus datos y aplicaciones donde solo existe una relación de nube(s) pública con pública (a menudo llamada nube múltiple), pública con privada o privada con privada. Se debe examinar qué sucede si alguien establece una nueva conexión en la nube o la crea en alguna parte del negocio sin la participación de TI; cómo sabría que sucedió esto y cómo aseguraría su negocio lo más rápido posible; y para cumplir con las regulaciones de privacidad de datos y los estándares de cumplimiento, cómo administrar y proteger los datos en reposo, en movimiento y en uso.
En última instancia, con lo que terminarás es con un enfoque de seguridad multicapa en la nube y estará mejor preparado para alinear las políticas, tecnologías, controles y procesos para hacer que la seguridad de la nube sea exitosa para su empresa. Esto debe ser independiente del proveedor de la nube, para que pueda ser flexible en la adopción y utilización de su nube en el futuro.
A pesar de que el paisaje de la nube sigue evolucionando, y aunque siempre habrá algunos elementos de riesgo relacionados con la utilización de la nube, el nivel de riesgo ya no es el que solía ser, especialmente, cuando usted se involucra desde el principio, piense de manera holística y aumente la seguridad cibernética.
La ayuda externa puede ser de gran ayuda. Póngase en contacto con expertos en ciberseguridad para obtener más información sobre cómo pueden ayudarlo a proteger su entorno de nube.
ACERCA DE LA AUTORA
Ami Hofman, es Líder de servicios de transformación tecnológica, seguridad cibernética y seguridad administrada de Dimension Data, líder global en el diseño, optimización y gestión de los entornos tecnológicos, lo que permite a los clientes aprovechar los datos en una era digital y convertirlos en información para obtener conocimiento, con servicios de consultoría, técnicos y de soporte hasta un servicio totalmente administrado.
Correo: volascoaga@infosol.com.mx
