Lograr la seguridad en la nube no es nada fácil. Aprenda por qué es así y cómo arreglarlo.
Parece que los partidarios de la nube pueden declarar una victoria. Una encuesta reciente de RightScale Inc. un servicio de gestión de la cartera de servicios de cloud computing, sugiere que más del 90% de las empresas están utilizando algún tipo de tecnología cloud.
Quienes impulsan los servicios en la nube admitirán que ha sido una larga y dura lucha, y que la razón principal de la lentitud en la adopción es la preocupación por la seguridad. «Si su empresa utiliza servicios en la nube, en última instancia, su organización es responsable desde una perspectiva legal de proteger los datos de sus clientes – no es la responsabilidad del proveedor de la nube», según el informe de Forrester Sizing The Cloud Security Market. Y ser responsable de algo controlado por un tercero tiende a no encajar bien con la alta dirección.
Más información sobre ciberseguridad
«A veces parece que lograr la seguridad en la nube viene con más obstáculos que una caravana presidencial el día de las elecciones», dice Venkat Pothamsetty, vicepresidenta de productos y defensa del cliente de Threat Stack. «A medida que proliferan las plataformas, los dispositivos y los requisitos de cumplimiento, elegir la(s) herramienta(s) adecuada(s) para su empresa e industria en particular se convierte en una tarea complicada».
Para evitar que los recelos de C-Level se conviertan en una angustia del mundo real, Pothamsetty en su Business 2 Commentary Are Any of These 6 Roadblocks Standing in the Way of Your Cloud Security? analiza seis áreas que los analistas de Threat Stack creen que las empresas que son nuevas en los servicios cloud o que experimentan problemas deben tener en cuenta. Además de señalar los obstáculos, Pothamsetty ofrece sugerencias para superarlos.
Las barricadas y los arreglos
1: Después del hecho
En su apuro por los servicios en la nube, las empresas se están olvidando de garantizar la seguridad de la información y la infraestructura de la empresa, ya que los datos están en otro lugar ahora.
El arreglo: Pothamsetty sugiere que una estrategia de seguridad en la nube debería ser una parte integral de cualquier planificación de transición a la nube o políticas internas de servicios de nube. Y añade: «Al comenzar con un plan, puede centrarse en invertir en una solución de seguridad que supervise y proteja toda su infraestructura, en lugar de tener que luchar contra las últimas amenazas de día cero».
VER: Política de almacenamiento de datos en la nube (Tech Pro Research)
2: Imagen incompleta
Pothamsetty considera que la mayoría de los sistemas de detección de amenazas que se utilizan actualmente para la seguridad en la nube no son exhaustivos, lo que significa que se necesitan varios sistemas para realizar el trabajo correctamente.
El arreglo: Lo que se necesita es una herramienta de integración de procesos/sistemas que lleve todas las diversas entradas a una narrativa en tiempo real manejable, disponible y comprensible para los responsables de la toma de decisiones.
3: Soluciones fragmentadas
La detección de amenazas no sólo está fragmentada, sino que la mayoría de los sistemas de defensa también son soluciones de un solo propósito.
El arreglo: Según Pothamsetty, se requiere un sistema de gestión que integre todas las facetas de la seguridad en la nube. Y añade: «Es en este nivel donde las empresas pueden finalmente eliminar la complejidad, el tiempo y los gastos que se necesitan para gestionar la seguridad de su nube».
4: Ineficiencias operativas
Además de la fragmentación dentro de los sistemas de seguridad de la nube, Pothamsetty y los analistas de Threat Stack se topan con problemas cuando intentan combinar los sistemas de seguridad de la nube con herramientas DevOps y sistemas empresariales en entornos de nube públicos, privados e in situ.
El arreglo: La solución implica:
- simplificando despliegues complejos;
- automatizar los procesos manuales; y
- la reducción de los cuellos de botella operativos.
«Ya sea que se esté ejecutando completamente en la nube, en el proceso de migración o en un entorno híbrido, su postura de seguridad debe ser flexible», menciona Pothamsetty. «Es necesaria una solución que se integre en todos los entornos y se adapte a su crecimiento. Porque sin este único panel de vidrio, no se puede lograr una visión unificada de toda su infraestructura».
5: Soluciones complejas y costosas
Debido a la novedad de los servicios en la nube, las soluciones de seguridad en la nube tienden a ser sistemas genéricos con las herramientas necesarias (pistas de auditoría, controles de acceso, detección de intrusos) añadidas como ideas posteriores. «Las compañías de rápido crecimiento de hoy en día reconocen que esto no es sostenible», escribe Pothamsetty. «La seguridad en la nube debe ser lo más eficiente posible.»
El arreglo: Pothamsetty sugiere empezar de nuevo con una solución construida específicamente para la nube, añadiendo que las soluciones de sólo nube son lo suficientemente flexibles como para escalar la capacidad para satisfacer las necesidades de la empresa.
VER: Previsión de nubes: Tendencias de las encuestas anuales de RightScale (Tech Pro Research)
6: Falta de correlación de contenidos
Las empresas deben proteger los datos de las empresas y de los clientes a pesar de que la información atraviesa varios repositorios de datos dispares, algo que no siempre se tiene en cuenta.
El arreglo: «Al automatizar el proceso de correlación de datos, su equipo puede elevar su enfoque de detección a resolución», escribe Pothamsetty. «Eliminando estas tediosas tareas, obtendrá la comprensión más clara y sin fisuras de las amenazas a su infraestructura en la nube».
Seguridad táctica frente a un enfoque de prioridad estratégica
En resumen, Pothamsetty siente que las compañías actualmente optan por lo que él llama seguridad táctica. «Lance un producto o característica al problema de seguridad y siga adelante», escribe. «Pero usando un enfoque ad-hoc como este, hay poco o nada de enfoque en el panorama general – ciertamente no hay una estrategia integral».
Pothamsetty continúa diciendo: «Empezar a nivel estratégico permite a las empresas invertir en plataformas de seguridad que dan soporte a toda su infraestructura en lugar de crear soluciones de punto único».