La escasez de talento en ciberseguridad y la preocupación por las brechas de datos ha hecho que muchos CISOs retrasen las migraciones a la nube.

    Según Michael Liebow, director de Accenture Cloud, los líderes empresariales deben cambiar su mentalidad para no pensar en el centro de datos y adoptar la seguridad en la nube de la mejor manera posible.

    Prácticamente todas las organizaciones están trasladando algunos flujos de trabajo y activos a la nube. Pero la preocupación por los controles de seguridad y la escasez de talentos tiene a muchos CISOs preocupados, con un 40% de las empresas que frenan la migración debido a estos problemas, según un informe reciente.

    Mientras que el 83% de los profesionales de TI dijeron que almacenan datos confidenciales en la nube pública, sólo el 69% dijo que confía en que la nube pública mantenga sus datos seguros, encontró el informe. Los problemas de seguridad en la nube son generalizados: Según el informe, a una de cada cuatro organizaciones que utilizan Infrastructure as a Service (IaaaS) o Software as a Service (SaaS) le han robado sus datos. Mientras tanto, uno de cada cinco dijo que ha experimentado un ataque avanzado contra su infraestructura de nube pública.

    Más información sobre ciberseguridad

    «Recibimos muchas consultas sobre cómo proteger sus datos en la nube, cómo trasladar sus identidades a la nube y cómo realizar la seguridad de la red», dijo Andras Cser, vicepresidente y analista principal de Forrester. «Muchas veces vemos a la gente retrasar los proyectos de seguridad en esta área.»

    VER: Glosario rápido: Nube híbrida (Tech Pro Research)

    Pero las razones por las que los CISOs a menudo desconfían de la seguridad en la nube son más matizadas de lo que algunos informes podrían sugerir, dijo Daria Kirilenko, directora de investigación de riesgos de la información en Gartner.

    «Muchos CISOs piensan que la seguridad de los proveedores es en realidad mucho más fuerte que la de ellos, pero en última instancia piensan que si se produce una violación en algunos de estos proveedores, seguirán siendo responsables de las consecuencias», dijo Kirilenko. «Esa es la razón principal de su percepción de la nube como algo que debe ser visto con precaución.»

    Los CISOs también tienden a creer que su equipo de seguridad no tiene las habilidades adecuadas para implementar una estrategia de nube en su organización, dijo Kirilenko. «Los CISOs creen que en última instancia no están preparados para apoyar a la organización en su rápida adopción de la nube», añadió.

    Muchos equipos de seguridad carecen del conocimiento de cómo debería ser la seguridad en la nube en su organización, ya que la mayoría de las prácticas de seguridad tradicionales no pueden ser transplantadas al entorno de la nube, y en su lugar deben ser reconstruidas, dijo Kirilenko.

    «No están preparados y, en última instancia, creen que tendrán la responsabilidad en última instancia si algo sale mal», dijo Kirilenko.

    Creación de un equipo de seguridad en la nube

    La responsabilidad de las infracciones en la nube a menudo recae en el CISO, incluso si el proveedor tiene la culpa, dijo Kirilenko. Los CISOs deben educar a sus principales grupos de interés empresariales sobre el hecho de que la seguridad en la nube se comparte entre los proveedores y el equipo interno, agregó, ya que muchos problemas de seguridad surgen cuando los grupos de interés internos cometen un error.

    «Tiene mucho más sentido que los CISOs dediquen tiempo y esfuerzo a crear un equipo de seguridad fuerte y a educar a los desarrolladores sobre los procesos seguros de la nube, que dedicar todo su tiempo a gobernar y supervisar a los proveedores», dijo Kirilenko. «Obtendrán mejores resultados si se esfuerzan por crear un equipo de seguridad fuerte, facilitando la implementación de la seguridad en la nube para los desarrolladores que en la actualidad se dedican a la seguridad. A menudo no implementan correctamente la seguridad en la nube, y esto aumenta el riesgo de usar su proveedor de nube».

    VER: Herramienta de decisión para la migración a la nube (Tech Pro Research)

    Las operaciones en la nube, la arquitectura de la nube o los trabajadores de seguridad en la nube suelen ser responsables de la seguridad en la nube, pero es común ver a los trabajadores de seguridad más tradicionales luchando con las nuevas plataformas también, dijo Cser.

    Cuando se trata de crear un equipo de seguridad en la nube, normalmente no es factible que las empresas busquen a un candidato «unicornio» que sea experto en un determinado proveedor de cloud computing, que entienda la arquitectura de la nube y que tenga habilidades de desarrollo de software, dijo Kirilenko. En cambio, los CISOs deben considerar a su equipo de seguridad como un portafolio de habilidades.

    «Primero hay que entender cuáles son las habilidades que hay que tener para la nube», dijo Kirilenko. «Muchas veces, en realidad no es súper importante encontrar individuos que estén conscientes y conozcan el interior y el exterior de cada proveedor individual. Eso es algo que estos individuos pueden desarrollar con el tiempo».

    En lugar de eso, se debe construir un equipo con fortalezas individuales que se sumen a un todo de seguridad colectiva, dijo Kirilenko. Por ejemplo, un trabajador puede tener las habilidades necesarias para el desarrollo de software, mientras que otro es fuerte en arquitectura empresarial y otro en arquitectura de soluciones.

    Los CISOs también deben tener en cuenta que no necesitan construir toda la seguridad en la nube usando sólo su propio equipo, dijo Kirilenko. Algunas empresas establecen un centro de excelencia en la nube, y rotan a las personas dentro y fuera de las diferentes funciones, como aplicaciones e infraestructura, y utilizan a esas personas para reforzar la seguridad de la organización.

    «Muchas empresas exitosas no ven sus recursos de seguridad interna como una limitación, porque entienden que establecer una estrategia de nube es algo que la organización debería hacer colectivamente», dijo Kirilenko.

    Los CISOs también deberían facilitar la adhesión a las directrices de seguridad de la nube a los desarrolladores, dijo Kirilenko. Otra práctica de las organizaciones exitosas es el desarrollo de una plataforma de seguridad común que aloja APIs y arquitecturas de referencia que los desarrolladores pueden utilizar para comprender rápidamente cómo implementar directrices de seguridad en sus aplicaciones.

    «Piense en términos de cómo aliviar la carga que pesa sobre las partes interesadas para que hagan lo que es seguro, lo que se necesita para hacer que el camino seguro sea fácil», dijo Kirilenko.

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves