Languages

suscríbete

Title

Gestionar la (ciber)complejidad

tecnología

Title

27 de septiembre de 2021

La seguridad en la nube, ¿por qué es diferente y, a menudo, más compleja de lo que pensamos? ¿qué deben hacer las empresas al respecto?

¿La clave para una ventaja competitiva?

Las empresas se trasladan a la nube porque aparentemente les ofrece beneficios económicos inmediatos (cambiar de gastos de capital a gastos operacionales, costes fijos más bajos, etc.)  y pronto descubren que, como la mayoría de los procesos grandes de transformación, los costes en realidad aumentan hasta que la transición se ha completado. Deben mantener los sistemas tradicionales mientras se costean los nuevos entornos en la nube, y entonces el gasto es mayor para asegurar una completa interoperabilidad, ya que se ejecutan dos infraestructuras paralelas, ¡es algo muy complejo!

Una respuesta habitual es buscar las quick wins: formas de desarrollar y lanzar servicios nativos en la nube rápidamente con el objetivo de crear nuevas fuentes de ingresos que paguen al menos algunos de los costes del cambio.

Para ser claros, nosotros apoyamos ese punto de vista. Pensamos que es inteligente empezar a actuar como un verdadero negocio en la nube y monetizar este entorno Cloud lo más rápido posible, pero se deben asumir el tipo de problemas de seguridad que pueden surgir. Enfoquémonos en dos áreas clave: la complejidad creciente y las amenazas de seguridad específicas de la nube.

 

Esto es algo complicado...

Para monetizar rápidamente la nube, utilizaremos un software estándar y listo para su uso, tanto en la forma de aplicaciones como de plataformas más complejas (plataformas bancarias centrales, por ejemplo, para la gestión de transacciones financieras de marca blanca que permitan una entrada rápida a la venta minorista online).

Contaremos con menos aplicaciones internas (llegado el momento, quizá ninguna) pero utilizaremos soluciones SaaS tanto para las propias necesidades de la empresa como para personalizar y ofrecer estas soluciones bajo una marca propia a los clientes finales. Así es como se entra en el mercado con velocidad, tomando el software nativo en la nube de terceros y vendiéndolo con personalizaciones específicas (lo que puede llegar a ser complejo).

También migraremos (o reemplazaremos, reutilizaremos o reformularemos) nuestra cartera de aplicaciones, utilizando proveedores externos, que hacen uso de contenedores y Kubernetes diseñados para funcionar en clústeres y múltiples plataformas. Nuestros datos e IP deben estar seguros, pero si surgen debilidades en cualquier lugar de esta cadena de valor, entonces tendríamos un problema.

Finalmente, se acelerará el tiempo de comercialización, por lo que el funcionamiento del ecosistema es la norma y el método preferido es DevSecOps, por ser rápido y ágil. Eso también es positivo. Ninguno de estos pasos es problemático en sí mismo, pero si los sumamos, encontraremos un panorama más complejo que administrar, con un mayor número posible de puntos de vulnerabilidad. Esta no es la imagen completa...

 

¡También es aplicable a las amenazas!

Estamos acostumbrados a convivir con las ciberamenazas, que están aumentando en intensidad y sofisticación a medida que pasa el tiempo. En la nube, estas amenazas y preocupaciones tienen, de alguna forma, una apariencia diferente, y también pueden llegar a nuestra empresa desde muchas direcciones. ¿Entonces cuáles son las novedades?

La soberanía de datos es un problema más cuando se aloja en la nube. Es un problema conocido con soluciones conocidas, pero debemos asegurarnos que su cumplimiento responde a todas las regulaciones. A medida que el trabajo en ecosistema se convierte en una forma de vida (y lo será, cuando nuestra empresa sea nativa de la nube), la gestión de identidades y accesos adquirirá un nuevo nivel de complejidad y urgencia.

La incorporación, la prueba de credenciales y la verificación de precisión son procesos diferentes en la nube y eso nos obligará a revisar los procedimientos que hemos implementado e incluso a replantearlos. En la nube, las redes seguras se hacen todavía más importantes, ya que cargaremos y descargaremos datos cifrados constantemente. El hecho de que se utilice la encriptación no nos otorga inmunidad contra el hackeo o el robo de datos.

En entornos compartidos, mientras el objetivo está en asegurar los beneficios con rapidez, agilidad y reducir los costes; se debe también asegurar la protección contra los posibles puntos de vulnerabilidad que trae este nivel de complejidad. Y luego está toda la cuestión acerca de qué ocurre en nuestra propia organización. Es probable que la transformación vaya (de hecho debería ir) mucho más allá de la transición de TI desde la subcontratación local o convencional a la nube.

Es posible observar cambios en la estructura, las líneas jerárquicas, el equilibrio entre las disciplinas internas y el trabajo externo o del ecosistema. Todos estos cambios requieren los ajustes correspondientes en las soluciones, los procesos y los métodos de trabajo de ciberseguridad.

 

¿Entonces qué deberíamos hacer?

Antes que nada, mantener la calma. Convertirse en una organización nativa de la nube es un gran cambio que está ligado a un cierto grado de complejidad. Las empresas necesitan desarrollar las disciplinas y habilidades necesarias para gestionar entornos híbridos, con cibersoluciones que puedan escalarse y ser flexibles a medida que lo hacen las redes que utilizan. 

 

Categorías

0 Comentarios

Deja tu comentario