Existen muchas probabilidades de que las empresas enfrenten problemas y/o errores de seguridad en su camino hacia la adopción de la nube en su cadena de producción.
Se trata principalmente de aquellos asociados al reto de la nube y los nuevos paradigmas tecnológicos, por ejemplo: la seguridad, la integridad de la información y los respaldos, los firewalls que ya no forman parte de su red de periferia, el control de acceso a la información, el cumplimiento con marcos regulatorios, o que la información viaje por distintas fronteras tecnológicas.
También otros, como la ausencia de controles de seguridad que puedan combinarse de forma natural para proteger los activos de la compañía que ayuden a cumplir los objetivos de negocio de manera transparente y gobernada.
Los usuarios que están migrando a servicios de nube, por lo general temen perder eficiencia en el marco de control de seguridad actualmente implementado.
En otros casos, desean conocer los riesgos que amenazan a su información e infraestructura, por migrar sus servicios clásicos y legados a la nube.
Más relevante aún, existe la necesidad de conocer con mayor profundidad acerca de la gestión de incidentes de seguridad en la nube.
Existen casos en donde las empresas han decidido migrar a soluciones de nube híbrida porque han encontrado ventajas como las siguientes:
1. La relación costo/beneficio es muy atractiva.
2. Más herramientas que aceleran las estrategias de digitalización.
3. Toma de decisiones acelerada en cambios de prioridades de TI.
4. Mejor supervisión y control de la información sin perder flexibilidad.
5. Reducción de riesgos derivados de infraestructura de TI ociosa o desactualizada.
Sin embargo, se enfrentan a situaciones en donde deben decidir qué hacer cuando se cuenta o se trabaja con tecnología desarrollada por distintos fabricantes y un número elevado de activos.
Ante esa situación, los usuarios, en búsqueda de soluciones o que van a migrar a una nube híbrida, deben buscar proveedores que les ofrezcan una arquitectura empresarial y de seguridad robusta de manera integral en sus servicios que les permita lo siguiente:
1. Integración confiable de sistemas unificados en la nube: Privada, pública o híbrida.
2. Crecimiento y reducción de sistemas sin perder efectividad en los controles de seguridad.
3. Conceptos de seguridad estandarizados entre los diferentes modelos de servicio: SaaS, IaaS, PaaS.
4. Solución de requerimientos de seguridad de forma homologada, sin importar el modelo de despliegue de infraestructura de nube: Privada, pública, hibrida.
5. Proteger el proceso de migración e implementación en la nube.
Es por ello que los proveedores de tecnología tienen que ofrecer soluciones construidas con base en estándares de seguridad robustos, actuales y bajo prácticas líder, que protejan a los usuarios ante amenazas de seguridad en la nube sin sacrificar flexibilidad, modularidad y efectividad de los controles.
En ese sentido, dentro de las más confiables soluciones se encuentra la arquitectura de seguridad empresarial que ofrece un enfoque estructurado, cuidadosamente construido para lograr un adecuado nivel de seguridad en la infraestructura ICT de una empresa.
Este tipo de arquitectura define e integra elementos (métodos y medidas de seguridad), sus relaciones (interfaces, interacciones y dependencias), y una taxonomía que proporciona una estructura rigurosa y un esquema de organizado (jerarquías, clasificación, convenciones) mismas que arrojan beneficios como los siguientes:
1. Al ser jerárquico, soluciona con enfoque holístico a la gestión de la seguridad en ambientes ICT de larga escala.
2. Por ser estructurado, permite estandarizar, organizar, mejorar y replicar las medidas de seguridad dando transparencia a los servicios de ICT.
3. Porque es modular, consolida los procesos de seguridad requeridos por los diferentes marcos regulatorios como: ITIL, COBIT, ISO 27001, NIST.
4. Es un modelo que se adapta de forma segura y confiable a las nuevas necesidades en la nube.
La idea es que el usuario pueda identificar claramente y aprovechar un conjunto de controles específicos que interactúen de forma dinámica en la protección de la nube híbrida, y que arroje ventajas como las siguientes:
• Interfaces de seguridad nuevas que se adapten a las necesidades primarias del usuario.
• Visibilidad de lo que pasa en la nube, así como de los mecanismos de monitoreo sobre los controles implementados.
• Posibilidad de re-lanzar sus estrategias de seguridad y seleccionar elementos de la arquitectura de seguridad que se está usando.
• Incrementar el seguimiento y control de terceros, involucrados en materia de seguridad.
De esa forma, la solución de seguridad resuelve problemas, que surgen durante las etapas de migración, transformación, estabilización y madurez de un entorno de seguridad controlado.
Por: Moisés Pérez Ahuatzi / Experto Senior en Calidad y Seguridad TI – T-Systems México
