Existen muchas posibilidades de que las empresas enfrenten problemas y/o errores de seguridad en su camino hacia la adopción de la nube en su cadena de producción. Principalmente, aquellos asociados al reto de la nube y los nuevos paradigmas tecnológicos, por ejemplo: la seguridad, la integridad de la información y los respaldos, los firewalls que ya no forman parte de su red de periferia, el control de acceso a la información, el cumplimiento con marcos regulatorios, que la información viaje por distintas fronteras tecnológicas e, incluso, la ausencia de controles de seguridad que puedan combinarse de forma natural para proteger los activos de la compañía que ayudan a cumplir los objetivos de negocio de manera transparente y gobernada.
Los usuarios que están migrando a servicios de nube, por lo general, temen perder eficiencia en el marco de control de seguridad actualmente implementado. En otros casos, desean conocer los riesgos que amenazan a su información e infraestructura por migrar sus servicios clásicos y legados a la nube. Más relevante aún, existe la necesidad de conocer con mayor profundidad acerca de la gestión de incidentes de seguridad en la nube.
Existen casos donde las empresas han decidido migrar a soluciones de nube híbrida porque han encontrado ventajas como una atractiva relación costo/beneficio; más herramientas que aceleran las estrategias de digitalización; una toma de decisiones acelerada en cambios de prioridades de TI; mejor supervisión y control de la información sin perder flexibilidad; y la reducción de riesgos derivados de infraestructura de TI ociosa o desactualizada.
Sin embargo, las organizaciones se enfrentan a situaciones donde deben decidir qué hacer cuando se cuenta o se trabaja con tecnología desarrollada por distintos fabricantes y un número elevado de activos. Ante esa situación, los usuarios en búsqueda de soluciones o que van a migrar a una nube híbrida deben buscar proveedores que les ofrezcan una arquitectura empresarial y de seguridad robusta de manera integral en sus servicios. Esto les permitirá:
- Una integración confiable de sistemas unificados en la nube privada, pública o híbrida.
- Un crecimiento y reducción de sistemas sin perder efectividad en los controles de seguridad.
- Conceptos de seguridad estandarizados entre los diferentes modelos de servicio: SaaS, IaaS, PaaS.
- Solución de requerimientos de seguridad de forma homologada, sin importar el modelo de despliegue de infraestructura de nube privada, pública o híbrida.
- Proteger el proceso de migración e implementación en la nube.
Los proveedores de tecnología tienen que ofrecer soluciones construidas con base en estándares de seguridad robustos, actuales y bajo prácticas líder, que protejan a los usuarios ante amenazas de seguridad en la nube sin sacrificar flexibilidad, modularidad y efectividad de los controles.
En ese sentido, dentro de las más confiables soluciones se encuentra la arquitectura de seguridad empresarial, que ofrece un enfoque estructurado, cuidadosamente construido para lograr un adecuado nivel de seguridad en la infraestructura ICT de una empresa. Este tipo de arquitectura define e integra elementos (métodos y medidas de seguridad), sus relaciones (interfaces, interacciones y dependencias) y una taxonomía que proporciona una estructura rigurosa y un esquema de organizado (jerarquías, clasificación, convenciones).
Estas características arrojan los siguientes beneficios:
- Al ser jerárquico, soluciona con enfoque holístico a la gestión de la seguridad en ambientes ICT de larga escala.
- Por ser estructurado, permite estandarizar, organizar, mejorar y replicar las medidas de seguridad dando transparencia a los servicios de ICT.
- Porque es modular, consolida los procesos de seguridad requeridos por los diferentes marcos regulatorios como: ITIL, COBIT, ISO 27001, NIST.
- Es un modelo que se adapta de forma segura y confiable a las nuevas necesidades en la nube.
La idea es que el usuario pueda identificar claramente y aprovechar un conjunto de controles específicos que interactúen de forma dinámica en la protección de la nube híbrida, y que obtenga, como ventajas: interfaces de seguridad nuevas que se adapten a las necesidades primarias del usuario; visibilidad de lo que pasa en la nube –así como de los mecanismos de monitoreo sobre los controles implementados–; la posibilidad de relanzar sus estrategias de seguridad y seleccionar elementos de la arquitectura de seguridad que se está usando; poder incrementar el seguimiento y control de terceros involucrados en materia de seguridad.
De esa forma, la solución de seguridad resuelve problemas que surgen durante las etapas de migración, transformación, estabilización y madurez de un entorno de seguridad controlado.
Sobre el autor: Moisés Pérez Ahuatzi es experto senior en Calidad y Seguridad TI para T-Systems México.
Fuente: TechTarget
Comentarios recientes