Por Juan José Calderón, gerente de Data Center y Seguridad en CenturyLink.
La incorporación de la tecnología en la forma de hacer negocios y operar las empresas hace mucho no es una tendencia, sino una realidad, y los servicios de nube han jugado un rol importante no sóo en facilitarla sino en acelerarla. A la par, los ataques informáticos se han convertido en noticias destacadas donde millones de dólares están en juego, poniendo en riesgo la supervivencia de las empresas y su capacidad de seguir haciendo negocios.
Esto genera preguntas importantes sobre el estado de seguridad en la nube, entonces, se trata de entender cómo ha progresado en los últimos años, y en cómo alinear los requisitos de seguridad de las empresas y la regulación y controles que debe cumplir en el proceso de adopción de servicios en una o más nubes. Es importante destacar que los proveedores de servicios en la nube invierten muchos recursos en desarrollar nuevas funcionalidades y adoptar estándares de seguridad, entre las que se encuentran funciones de autenticación, encriptación y gestión de identidad.
Esta inversión parece estar siendo reconocida por las empresas en todo el mundo, ya que el total de organizaciones que desconfían de las nubes ha disminuido. Según un informe de McAfee del 2017, "Construir confianza en un cielo nublado" esta cifra ha disminuido aproximadamente de 50% a 29%, Si en su organización han decidido o están evaluando adoptar servicios de nube, y la seguridad parece ser un obstáculo o es una preocupación, existen algunas medidas que puede tomar para reducir los riesgos:
- Entender sus propios requisitos de seguridad: Existen distintos tipos de datos y no todos deben tener el mismo tratamiento. Por ejemplo, la información de identificación personal (PII) debe cifrarse con una mayor seguridad, dentro y fuera de la nube. Asimismo, existe una posibilidad de que puedan surgir problemas de rendimiento con el uso excesivo de los servicios de cifrado. En resumen, las empresas que adoptan servicios de nube sean públicas, híbridas o privadas, deben adoptar aquellos estándares y tecnologías que hagan sentido en cada servicio en particular.
- Clasificar los datos que se alojarán en la nube: Es importante tener un enfoque detallado de la clasificación de datos que existirán en la nube. Igualmente, considerar en el contexto factores relacionados al cumplimiento de regulaciones en la gestión de los mismos, como es el caso de la ley de protección de datos personales, y sus variantes en diferentes partes del mundo, para evitar su uso indebido. Para esto, es importante construir un conjunto de políticas en torno a los datos, y ser capaz de automatizar la ejecución de dichas políticas dentro de los sistemas de seguridad en la nube, en base al ámbito regulatorio al que esté sujeta la empresa tanto por su actividad de negocios como por los mercados en los que opera.
- Mapeo de una ruta a la seguridad en la nube: Este paso resulta sencillo si ha realizado correctamente el paso anterior. Significa elegir los servicios de cifrado correctos que cumplirán con los requisitos de cumplimiento y política. Por otro lado, es importante contar con un sistema de gestión de identidades y accesos que se integre dentro de los sistemas de directorio existentes.
Por último, es importante tener todo esto bajo un sistema sólido de gestión de seguridad que proporcione un monitoreo proactivo y defensa propia. Asimismo, es también importante asociarse con un proveedor de servicios de seguridad con experiencia y el conocimiento de implementación para que los planes de seguridad cibernética estén sincronizados con los objetivos comerciales de la empresa.
El estado de la seguridad en la nube permite cumplir con las exigencias de empresas de todos los rubros, tamaños y origen, siempre y cuando se establezcan políticas adecuadas y se asegure su implementación y cumplimiento. La seguridad es algo que se planifica y administra día a día, e incluye la comprensión de sus requisitos en detalle.