Las organizaciones han adoptado la nube como un medio para ampliar el valor de su negocio, añadiendo velocidad y escala al proceso, algo que se ha acelerado durante la pandemia de COVID-19. Lo que falta en muchas organizaciones, sin embargo, es la comprensión de la necesidad de velocidad y seguridad juntas.
A medida que las empresas consolidan sus estrategias de seguridad en la nube, deben asegurarse de que tienen en cuenta su situación actual, incluidos elementos esenciales como la gobernanza necesaria y las métricas a seguir.
¿Velocidad o seguridad?
El enfoque de lo que define el valor de los equipos técnicos ha cambiado constantemente a lo largo de los años, pasando de centrarse en la infraestructura a hacerlo en el desarrollo de software y, ahora, a concentrarse en la entrega de productos digitales. Las copias impresas de un informe de cumplimiento, por ejemplo, se transfieren ahora digitalmente.
Mientras tanto, la nube permite a las empresas ampliar rápidamente sus infraestructuras y plataformas. Ha ayudado a estandarizar los conjuntos de herramientas de los desarrolladores y a comoditizar la infraestructura y las plataformas de desarrollo. Sin embargo, el reto sigue siendo que mucha gente se centra únicamente en la velocidad. Y eso es un gran problema.
Ya lo hemos visto antes: con los servicios gestionados, por ejemplo, en los que la gente seguía adelante sin tener en cuenta el impacto en la seguridad. Pero ahora, con las filtraciones de datos de alto perfil, perjudiciales y costosas que aparecen periódicamente en los titulares, la seguridad es una cuestión a nivel directivo que no se puede ignorar ni dejar en un segundo plano.
Los departamentos de TI y operaciones deben ofrecer un nivel de garantía de que la adopción de la nube también será segura. Esto incluye disponer de un plan operativo claro.
Creación de una estrategia de seguridad en la nube
Para las empresas que están migrando a la nube o que están en la nube y desean expandirse, son necesarios algunos pasos importantes para garantizar que la seguridad sea una parte esencial del proceso.
¿Cuál es la situación actual de su empresa?
El primer paso para desarrollar una estrategia de seguridad en la nube es comprender el estado actual de la organización y cómo será su estado futuro en la nube.
Esto conduce al desarrollo de un modelo de gobernanza estratégica, que ayuda a definir las competencias necesarias. Algunos ejemplos son las capacidades de automatización de herramientas, la comprensión del cumplimiento, el riesgo y la capacidad de integrar la nube con las plataformas.
Las organizaciones también deben hacer balance de sus herramientas y competencias actuales, ya que tendrán que poner en marcha programas de formación, gestión del cambio, migraciones y otras medidas. Tienen que pensar en integraciones de sistemas específicos en un entorno de nube híbrida.
Una organización debe pensar metódicamente en todas estas etapas.
Una estructura de gobierno
Una vez que una organización ha trazado lo que debe hacer, tiene que definir las funciones respectivas del director de información, el director de riesgos, los desarrolladores, los ingenieros de seguridad y otras personas que trabajarán para hacer posible la seguridad en la nube.
Estas funciones se integran en un marco de seguridad que establece cómo se conectan todos estos equipos en sus procesos cotidianos -por ejemplo, cómo la recomendación de un modelador de amenazas se convierte en imprescindible para un diseñador de sistemas- con los objetivos compartidos de rapidez, seguridad y cumplimiento de la normativa.
Métricas
Por último, una empresa necesita implantar métricas centradas en medir dos cosas: qué procesos están haciendo el trabajo con rapidez -velocidad de comercialización- y lo bien que está funcionando la seguridad.
Esto implica la convergencia de lo que solían ser dos grupos en gran medida independientes: los equipos de entrega de despliegue tecnológico y los equipos de cumplimiento de seguridad de riesgos.
Las empresas, al menos de momento, están pensando en ello, y algunas ya lo están haciendo. Pero la mayoría aún no lo ha puesto en práctica.
Es un proceso completo y actualmente no existen normas que sirvan de guía o definan ejemplos para las organizaciones. Pero estos pasos son necesarios para proteger los datos y sistemas que son el alma de las empresas hoy en día.
Una empresa que sepa hacerlo bien capeará el temporal.
Acerca de Conversys
Conversys IT Solutions es un proveedor de servicios y soluciones de Tecnologías de la Información y la Comunicación que opera en todo Brasil.
Con un equipo técnico y comercial altamente cualificado y una red de socios que incluye a los principales fabricantes mundiales de tecnología, Conversys IT Solutions es capaz de ofrecer a sus clientes soluciones de infraestructura informática y de telecomunicaciones personalizadas.
Invertimos en nuestros empleados y socios y nos esforzamos por mantener una relación duradera con nuestros clientes, porque creemos que así es como adquirimos las habilidades y conocimientos que necesitamos para innovar y generar valor para las empresas en las que operamos.
