Ciberseguridad

Ciberseguridad como punto transversal al migrar a la nube

por: Javier García L..., 20 Mayo 2022
Imagen de Javier García Lorente
By Javier García Lorente on 20 Mayo, 2022 - 09:00

Pasar a la nube, hoy en día, representa un objetivo estratégico para las empresas, por los múltiples beneficios que contiene para la actividad empresarial, como es el seguir siendo rentables a largo plazo, reducir costes y ofrecer más y mejores servicios a sus clientes. Migrar a un espacio en la nube se ha convertido en un paso esencial que se requiere lograr con la mayor rapidez posible para aprovechar las ventajas que ofrece: rápida escalabilidad que satisfaga la demanda, reducción de costes dado que se puede pagar solo por lo que se utiliza, agilidad para adaptarse a los cambios y capacidad de innovación.

Sin embargo, aunque ya se conocen los beneficios y ventajas, aún hay incertidumbre a la hora de cómo iniciar este proceso de transformación y todo lo que ello implica: migración, costes, riesgos. La migración paso a paso puede convertirse en una opción para que las empresas inicien sus operaciones en la nube, de esta manera se reduce el riesgo y se pueden identificar ganancias en corto tiempo. Es importante considerar que, durante todo este proceso de transición, el cual muchas veces supone un cambio radical para la empresa, no se debe perder de vista a la ciberseguridad y su gestión debe considerarse como punto transversal durante toda la transformación. La mayoría de los programas de transición a la nube, traen consigo el riesgo de crear inconsistencias y pueden dar pie a producir fallos de seguridad debido a la complejidad para gestionar la migración.

Enfoques que se pueden adoptar

Existen tres enfoques y múltiples soluciones que las empresas pueden seguir para gestionar esta migración con el fin de adoptar distintos métodos para migrar a la nube:

Software como servicio (SaaS)

Este enfoque ofrece una ventaja competitiva, debido a que las empresas pueden utilizar soluciones comerciales de software estandarizado para acceder rápidamente a los beneficios de los servicios en la nube. Estas soluciones comerciales pueden ser sistemas ERP, CRM, aunque ya existen en el mercado, puede resultar beneficiosos debido a su constante evolución al mejorar sus funcionalidades, así también las plataformas de software sectoriales y personalizables, que permiten que las empresas consigan beneficios más rápido frente a un proceso convencional. Por otra parte, los SaaS también se pueden aprovechar para desarrollar servicios para los clientes finales.

Migración de aplicaciones

Este enfoque supone estudiar la cartera actual de aplicaciones de la empresa, de tal manera que se pueda decidir qué aplicaciones se eliminan, reemplazan o migran; logrando una mayor eficiencia operativa. Tiene como objetivo crear entornos que optimicen las operaciones empresariales y por tanto conseguir ventajas competitiva a largo plazo.

Modelo Devops

En este enfoque, la empresa tiene una potencial ventaja dado que la cartera de aplicaciones son nativas de la nube, el trabajo es más ágil dado que permite al equipo de desarrollo acceder a innovaciones rápidamente, todo esto basándose en el modelo DevOps con los beneficios que supone. Aunque la desventaja de este modelo es que puede existir una cierta descentralización del control cuando la seguridad no es priorizada. Por ello, este enfoque busca añadir la seguridad utilizando el modelo DevSecOps, en donde este aspecto representa una responsabilidad fundamental de cada miembro del equipo y por lo mismo hay que gestionarla debidamente.

Amenazas a considerar

Aunque migrar a la nube sea todo un reto con expectativas de obtener múltiples beneficios, es importante considerar que, en cada proceso, la seguridad representa un elemento primordial para asegurar que estos beneficios se cumplan, es por eso por lo que se deben identificar y gestionar sus consecuencias con total responsabilidad.

  • Uso de Datos: Este es el riesgo más conocido cuando se migra a la nube. Existen políticas y regulaciones como el Reglamento General de Protección de Datos por lo que las empresas están obligadas a tener especial cuidado con su almacenamiento, acceso y utilización, previniendo una posible pérdida de datos.
  • Gestión de identidades: El acceso seguro a las aplicaciones de acuerdo con un rol, responsabilidad y privilegios de cada usuario de la organización, garantizará que el acceso a los datos no sea vulnerable a los fallos que permitan el fácil acceso a intrusos.
  • Interfaces: En la nube la posibilidad de desarrollo de interfaces es escalable, multidimensional y flexible, se utilizan plataformas y entornos corporativos compartidos. Las API en su mayoría ofrecen servicios mediante un portal común, he aquí el punto que puede ser aprovechado por ciberdelincuentes, al tener acceso al código principal de la API y mediate ello conseguir datos de servicios y clientes.
  • Interconexión e Intercambio de Información: El uso de tecnología compartida ahorra costes y proporciona velocidad en el desarrollo, pero la empresa puede verse implicada en problemas provocados por otras empresas que utilizan el mismo software. Se debe contar con una estricta gestión de seguridad para garantizar que los beneficios de los entornos compartidos no se vean implicados con fallos de seguridad.
  • Ataques maliciosos: Existen tres factores: el crimen online, países con intenciones hostiles, clientes y colaboradores insatisfechos, todos ellos pueden provocar incidentes de seguridad provocando ataques contra la infraestructura de seguridad de las empresas.
  • Transformación organizacional: La transformación de la empresa por el paso a la nube es un proceso que conlleva riesgos de seguridad, es importante que estos se puedan identificar, cuantificar y mitigar durante este proceso de transformación.

Entornos Híbridos

Durante el proceso de migración de un entorno local a otro nativo en la nube y dada su complejidad, puede que la organización deba planificar estrategias y contar con los recursos para enfrentar las amenazas de forma íntegra y eficaz. Los servicios y procesos deben ser operados por centro de datos, redes y proveedores en la nube capaces de adaptarse, escalar y crecer junto con la empresa, dado estas circunstancias, la seguridad debe estar presente en los sistemas híbridos de nube de red. La arquitectura propuesta consta de 4 tipos de plataformas: Fundamentos, referidos a recursos y servicios de topología de red, arquitectura de almacenamiento y sistemas básicos de administración. Catálogo, para ofrecer servicios personalizados y recursos individuales. Modelos, plataforma con recursos de programación y Capacidades Digitales, ofrece acceso a recursos de desarrollo y acelera el lanzamiento de nuevos servicios. La arquitectura de referencia se basa en tres áreas verticales de gestión que se aplican a las plataformas descritas: observación para el control de todos los procesos, capacidades y recursos y conexión entre ellos; fiabilidad que incluye todos los sistemas y procesos relacionados con los planes de negocio y recuperación de desastres; y finalmente seguridad, área dedicada a la gobernanza y gestión para mantener la seguridad en todo el entorno.

Estrategia de ciberseguridad

Las operaciones empresariales tienen un cambio constante en función de los clientes, las interacciones en los ecosistemas y el equilibrio entre las acciones a nivel local y de la nube. Se deben implementar medidas de seguridad en todas las plataformas (fundamentos, catálogo, modelos y capacidades digitales) aplicadas a todo el entorno corporativo y en el ecosistema nativo de la nube, teniendo en cuenta que la seguridad debe adaptarse en función de las necesidades de la empresa. Existen tres componentes clave para la gestión de la seguridad: un sistema de gobernanza eficaz y uniforme, una administración rigurosa de identidades y accesos y las metodologías y prácticas de todo el ciclo de vida de la seguridad, todo ello debe plantearse seriamente antes de empezar a ejecutar estrategias.

Soluciones claves

Para operar en un entorno cloud, sin distinción del tamaño de la empresa, se necesita un cierto nivel de automatización de la seguridad en todo el entorno operativo y aunque existen soluciones eficaces para la gestión y vigilancia de la seguridad, las empresas tienen una continua batalla para anticiparse a las amenazas y adaptarse a la complejidad de estos entornos.

Las soluciones clave son:

  • Infraestructura como código (IAC), permite programar y adoptar automáticamente las políticas de seguridad.
  • Gestión de la posición de seguridad en la nube (CSPM), permite automatizar la identificaciones y corrección de riesgos en cualquier parte del sistema cloud.
  • Plataformas de protección del trabajo, esta herramienta protege la seguridad en tareas específicas desarrolladas en múltiples entornos cloud.

Es evidente que los sistemas de cloud computing representan para las empresas una ventaja para aprovechar al máximo, por lo cual la ciberseguridad se convierte en un punto clave y estratégico para el éxito de las migraciones de la nube, siendo importante una gestión eficiente de la seguridad.

Tags

Seguridad

Related

Contenido relacionado

©Copyright 2023 NTT DATA Spain and Affiliates
He leído y acepto la política de privacidad
Acepto recibir emails sobre actividades de recruiting NTT DATA