La pandemia provocó una carrera hacia la nube. La acción rápida fue fundamental dada la rápida expansión de los requisitos de trabajo desde casa y la necesidad de adquisiciones, ventas y servicio sin contacto.
Estos esfuerzos posicionaron mejor a las empresas para el presente y el futuro. Un estudio de 2020 de IDG indica que el 59% de los compradores de tecnología planeaban estar en su mayoría o todos en la nube dentro de los 18 meses. Si no estás en la nube, te quedarás atrás en la carrera hacia la agilidad y la innovación.
Ahora ha pasado la fiebre inicial y el polvo se está asentando. Es hora de evaluar y abordar el cumplimiento, la ciberseguridad, la privacidad de los datos y las implicaciones de riesgo de su implementación en la nube. La seguridad y el cumplimiento de la nube continúan siendo los mayores puntos débiles para los clientes de la nube.
Si crees que es demasiado tarde para eso, piénsalo de nuevo. Nunca es tarde para hacer las cosas bien.
Hacer las cosas bien es más importante que nunca, ya que trabajar desde casa ha provocado un aumento de las brechas de seguridad; más de la mitad de los líderes legales y de cumplimiento dijeron que desde Covid-19, la ciberseguridad y las violaciones de datos son sus riesgos de terceros más elevados; y hasta el 80% de los CIO y CISO experimentaron una violación de datos originada por un proveedor externo en el último año.
A continuación, comparto algunos consejos sobre cómo puedes hacer las cosas bien a partir de hoy, antes de tener problemas reales.
- Adopte la seguridad y el cumplimiento y el modelo de responsabilidad compartida para la nube.
Elegir el marco de cumplimiento adecuado es fundamental. Es posible que tu organización cumpla con las normas, pero eso no significa que sea segura, y viceversa. Por lo tanto, además de su marco de cumplimiento, es importante establecer un marco de seguridad. Elige el marco de seguridad adecuado para tu organización. El marco de seguridad proporcionará un conjunto de medidas (controles) para la gobernanza de personas, procesos y tecnología. Los marcos de control de ejemplo son FedRAMP, FISMA, ISO y NIST-CSF.
Como parte de tu marco de seguridad, comprende y adopta el modelo de responsabilidad compartida. Esto definirá los límites de lo que manejarán tus proveedores de servicios en la nube y lo que necesitas administrar. La importancia de adoptar el modelo de responsabilidad compartida no puede subestimarse porque tu proveedor de alojamiento en la nube no está comprometido con el cumplimiento o la seguridad, sino tú mismo. Adopta las prácticas de DevSecOps para garantizar implementaciones seguras y compatibles.
- Asegura la responsabilidad del proveedor en tu cadena de suministro, no lo des por asumido.
Tu entorno de TI incluye más que solo tu empresa. También incluye a los proveedores de tu cadena de suministro. Establece un conjunto de mejores prácticas para compartir y asegurar datos y garantizar el cumplimiento que traspase los límites organizacionales para el entorno de cadena de suministro más amplio. Realiza evaluaciones de gestión de riesgos de proveedores antes de comprometerte con los proveedores. Como parte de este ejercicio, consulta las bases de datos internacionales, nacionales y estatales para realizar determinaciones de exposición al riesgo de los proveedores.
Una vez que los proveedores hayan pasado esos controles, asegúrate de compartir información con estos socios de manera disciplinada. Las preocupaciones siguen siendo las mismas si tu enfoque de cumplimiento y ciberseguridad es interno o externo. Pero la metodología va a ser diferente.
- Identifica y aborda tus puntos de exposición.
Establecer los marcos y modelos adecuados es clave. Ahora debes comprender lo que está sucediendo en tu entorno de TI para poder tomar medidas y abordar las brechas e incidentes.
Empieza por comprender dónde está expuesta tu organización. Considera el uso de herramientas de automatización para evaluar la exposición al riesgo de ciberseguridad al revelar agujeros en tu estrategia de ciberseguridad y panorama de TI y sus impactos financieros. Es posible que tengas un servidor en la nube que no cumpla con su política de longitud y complejidad de la contraseña. Las herramientas y los servicios disponibles pueden ayudarte a identificar tales brechas para que sepas dónde hacer la remediación. Prioriza la remediación para centrarse en las correcciones que minimizan la exposición al riesgo.
- Aumenta tus conocimientos sobre seguridad en la nube a través de la formación y de socios expertos.
Más de las tres cuartas partes de los líderes en ciberseguridad encuestados en el informe de 2020 dijeron que enfrentan una escasez de habilidades. Es aún más difícil conseguir y retener personas con experiencia en seguridad en la nube, que es el conjunto de habilidades de ciberseguridad más demandado.
Es posible que no hayas tenido tiempo de reclutar expertos en la nube en tu carrera hacia la nube. E incluso ahora es posible que no puedas encontrarlos, conservarlos o pagarlos. Eso te coloca en una posición de alto riesgo.
Capacita a tu equipo para aumentar sus conocimientos y habilidades en seguridad en la nube. Busca socios con experiencia en seguridad en la nube; de esa manera, no tendrás que administrar la complejidad solo. Emplea tecnología avanzada disponible para complementar los recursos que ya tienes.
- Aprovecha la inteligencia artificial para escalar y centrarte en lo que importa
Las organizaciones utilizan en promedio de 25 a 49 herramientas de seguridad de hasta 10 proveedores diferentes. Eso crea mucho ruido en términos de alertas.
Considera aprovechar la inteligencia artificial (IA) para cortar el ruido y encontrar las pepitas de información que son más importantes para ti. Esto te ayudará a concentrar tus energías en proteger tus activos más críticos y abordar los incidentes que representan la mayor amenaza para tu negocio. Aprovecha las operaciones basadas en IA (AIOps) y las herramientas de automatización para ayudar a acelerar la toma de decisiones. Una encuesta reciente de Webroot encontró que de los 800 profesionales de TI con poderes de toma de decisiones de ciberseguridad que encuestaron, el 96% de ellos “ahora usa herramientas de IA/ML en sus programas de ciberseguridad”.
En la carrera hacia la nube, muchas organizaciones han tomado atajos. Quizás tú también lo hayas hecho. Eso es comprensible dadas las circunstancias. La pregunta ahora es: ¿Cómo volvemos a la normalidad?
Implementar los marcos de seguridad y cumplimiento adecuados, adoptar y comprender el modelo de responsabilidad compartida para la nube, garantizar la responsabilidad del proveedor, abordar sus puntos de exposición, aumentar su conocimiento de la nube y aprovechar la inteligencia artificial te permitirá volver a la normalidad y proteger a tus clientes, negocio y trabajo.
Por: Anupam Sahai, vicepresidente
y CTO de Nube en Unisys