A la hora de considerar una implementación en la nube, es fundamental seguir cumpliendo con las normas. A continuación se presentan algunas de las mejores prácticas para la nube en tres industrias conocidas por su estricto cumplimiento.
A medida que las organizaciones empresariales continúan corriendo hacia la nube, hay un obstáculo que podría hacer tropezar a muchas de estas empresas: el cumplimiento. Esto es especialmente cierto si una organización forma parte de una industria fuertemente regulada como la salud, las finanzas o el sector público.
En la conferencia AWS re:Invent de 2015 en Las Vegas, Nevada, se organizó una cumbre de cumplimiento para discutir el cumplimiento en estas tres industrias, lo que puede ser instructivo para cualquiera que realice una implementación en nube.
Al invertir en la nube, un negocio debe estar aún más comprometido con su estrategia de cumplimiento debido a la cantidad de nuevos problemas que surgen. Si una organización no logra mantener el cumplimiento durante la transición a la nube, corre el riesgo de perder la confianza entre los usuarios y de caer en problemas con las autoridades reguladoras.
La diferencia principal comienza con la infraestructura, donde una organización con soluciones locales puede seguir utilizando hardware físico. En la nube, sólo se trata de código. Los procesos de entrega también difieren, ya que las aplicaciones en la nube se centran en gran medida en la automatización y en las empresas locales que utilizan procesos de entrega manual. Además, los controles de acceso a la arquitectura, las actualizaciones de sistemas y la monitorización pueden diferir entre las empresas locales y las basadas en la nube.
A continuación se presentan algunas de las mejores prácticas de estos tres sectores para mantenerse en la cima de la conformidad a medida que se integra la nube.
Cuidado de la salud
El cuidado de la salud es la primera vertical que viene a la mente de muchas personas cuando se trata del cumplimiento debido a las conocidas regulaciones sobre HIPAA y EMR.
Peter Spellman es el CTO y fundador de TraceLink, una compañía que se dedica al seguimiento y rastreo de medicamentos falsificados. Tratan con productos farmacéuticos en serie y, por lo tanto, tienen miles de millones de puntos de datos que gestionar.
Como la mayoría de las organizaciones médicas, la compañía de Spellman tiene que manejar la comunicación entre clientes y entre ellos, así como entre clientes y entidades gubernamentales. Debido a esto, dijo, están fuertemente enfocados en asegurar que la regulación de la carga de trabajo comience a nivel de la red, como con ciertos productos AWS, y animan a otras organizaciones a hacer lo mismo.
En el gigante farmacéutico Merck, tienen una única aplicación regulada de investigación y desarrollo que se ejecuta en AWS y una infraestructura AWS calificada en relación con sus políticas de ciclo de vida de desarrollo de sistemas (SDLC.
Dan Dziadiw de Merck dijo que han sido capaces de lograr esto mediante la integración de la nube en las siguientes cuatro áreas:
- SDLC y guía en la nube
- Diseño y controles de seguridad
- Riesgos de información, privacidad y gestión de datos
- Consideraciones sobre la gestión de proveedores
Para cerrar la sesión sobre salud, Bruce Kratz de Sparta Systems compartió con AWS la historia de su compañía sobre su viaje a la nube. Kratz dijo que su compañía eligió a AWS por una variedad de razones, pero su enfoque en las ciencias de la vida y sus cargas de trabajo validadas de cumplimiento comprobado destacaron. Si puede, busque un proveedor de cloud computing que entienda los desafíos únicos a los que se enfrenta su empresa de atención sanitaria en lo que respecta al cumplimiento.
Servicios financieros
Los servicios financieros son otra vertical que es bien conocida por sus fuertes necesidades de cumplimiento. En la segunda sesión de la Cumbre de Cumplimiento, cuatro líderes de la compañía subieron al escenario para hablar sobre el cumplimiento en finanzas.
Tony Spinelli de Capital One abrió la sesión explicando cómo un fuerte modelo de gobierno y el diseño de seguridad han ayudado a Capital One con el cumplimiento. El talento, dijo, es también un diferenciador clave, señalando que Capital One está contratando a unas 40 personas al mes para que se ocupen de la seguridad y el cumplimiento de las normas. Las empresas deben centrarse mucho en el talento para asegurarse de que el equipo que se ocupa de estas cuestiones es el mejor que puede haber.
En el lado del desarrollador, hay algunas cosas específicas a las que hay que prestar atención. Daniel Shaefer, jefe de equipo de DevOps en Dwolla, dijo que su empresa ha logrado una autenticación sólida, gestión de acceso a identidades y segmentación de recursos mediante el uso de productos AWS y ha proporcionado algunos de los mejores procesos para el cumplimiento por parte de los desarrolladores.
Para Shaefer, todo comienza con la infraestructura. Además de adoptar un enfoque iterativo de la infraestructura, Shaefer dijo que los usuarios deben centrarse en la infraestructura como código, de modo que todos sus cambios tengan una pista de auditoría clara.
Además, Shaefer dijo, asegúrese de que entiende correctamente sus requisitos de cumplimiento y desarrolle un proceso que cumpla con los objetivos de cumplimiento de su organización al tiempo que permite un desarrollo futuro rápido y fácil. No te pongas muy llamativo, sólo construye algo que funcione bien.
Sector público
Los que han pasado algún tiempo en el sector público saben que el gobierno es conocido por moverse lentamente. Por lo tanto, tiene sentido que la mayor velocidad ofrecida por la nube pueda ser una gran ventaja para las organizaciones del sector público.
La ciudad de Houston recientemente construyó un sistema inalámbrico y actualizó sus medidores de agua para que pasaran de leer los medidores de agua una vez al mes a 24 veces al día. Justin Ewald, que trabaja con Obras Públicas e Ingeniería para la ciudad de Houston, dijo que mediante el uso de AWS, su equipo fue capaz de garantizar el cumplimiento de PCI a medida que escalaban su nuevo sistema. A medida que las organizaciones consideran a los socios de la nube, la escalabilidad debe ser una consideración crítica para la misión.
Pero, aún necesitas tener a tu equipo a bordo. Scotty Ellis, con el Baylor College of Medicine en Houston, cerró la sesión recomendando una combinación de servicios y entrenamiento personal para educar mejor a los empleados. Los administradores deben desempeñar un papel activo en la formación y el estímulo de los empleados para asegurarse de que la implementación de la nube tenga éxito y siga cumpliendo con las normas.