En vez de luchar contra la nube, las empresas se deben liberar de hábitos antiguos para darle la bienvenida a los nuevos. Cloud computing se debe convertir en un punto fundamental del proyecto de seguridad de su organización y un factor que acelere la implementación de diferentes innovaciones como lo son sistemas de análisis, computación móvil y software como servicio (SaaS).
Más del 85% de los CISOs (chief data security officers por su sigla en inglés), afirman que sus empresas están migrando a la nube. Aún así, el 50% de ellos cree que un proveedor de nube puede registrar algún incidente de seguridad en algún momento, reveló el estudio realizado por IBM con esos profesionales.
Cuando la nube híbrida (empresarial, nube públicas y privadas y/o dispositivos móviles) es implementada, no podemos esperar que las estrategias tradicionales de protección funcionen, pues no existe más un perímetro limitado para defenderse.
Si su compañía es un castillo que protege sus tesoros con muros altos y fosas profundas, el alcance de esa fortaleza creció y se extiende por continentes, pero esto crea brechas donde los oponentes pueden entrar a causar estragos si no existe una protección adecuada.
En otras palabras, el modelo de computo en la nube ultrapasó los límites de defensa de una empresa, creando áreas vulnerables que las estrategias de seguridad son incapaces de resistir y proteger.
La resistencia que algunos ejecutivos de seguridad tienen ante migrar a lo nuevo se da por el hecho de que muchos mantienen la mentalidad de "muros y fosas" y no tienen las herramientas, estrategias y/o especialización en seguridad para lidiar con este nuevo ambiente de IT. Para cambiar ese escenario, recomiendo cuatro áreas en las cuales los equipos deben enfocarse:
1. Qué, quién y dónde. Por un lado, los profesionales de TI en la nube están preocupados con el acceso no autorizado de datos confidenciales. Por el otro, funcionarios exigen el acceso inmediato a recursos en la nube, pero esa "necesidad de velocidad" no puede colocar los activos en riesgo.
Los equipos necesitan revisar los protocolos de administración de acceso y adoptar un abordaje enfocados en la nube, lo que permitirá controlar mejor quién tiene acceso a qué —sea desde la oficina, la calle o desde el otro lado del continente—. Así, el acceso a todas las áreas y datos es monitoreado y controlado sin incomodar al usuario.
2. Bloquee antes que sea tarde. Las empresas deben ser capaces de descubrir, clasificar y monitorear los datos sensibles. Ese nivel de protección debe ser extendido a las aplicaciones basadas en la nube. Sin embargo, la mayoría de los aplicativos son creados por desarrolladores que no tienen el conocimiento para identificar las vulnerabilidades de su propio código. El análisis de apps para identificar fallas de seguridad debe realizarse antes de que sean puestas en producción o que sean disponibles para uso general.
3. Ajuste y foco. Actualmente, cerca del 75% de las violaciones de seguridad no son descubiertas, sino hasta días, semanas o incluso meses después de acontecidas. Si las empresas no tienen visión en tiempo real de su ambiente de TI en una infraestructura tradicional, ¿qué va a pasar entonces cuando migren a una nube híbrida?
Existen análisis de seguridad sofisticados que garantizan una clara visión de los sistemas. De esa manera, es posible identificar dónde el sistema es vulnerable.
4. No trabaje solo. El Ponemon Institute afirma que un promedio de 25.180 dispositivos entre PCs, laptops, tabletas y smartphones están conectados a redes y/o sistemas empresariales. La adopción de la nube está en ascenso y este número seguirá creciendo hasta superar las capacidades de cualquier equipo de trabajo de seguridad.
Como resultado, hay un déficit de competencias en este mercado que invita a que las empresas no se embarquen solas en este viaje, sino que aprovechen la experiencia de otros usuarios para mejorar el tiempo de respuesta y enfrentar las amenazas sin muros ni fosas.
Antes de que nos demos cuenta, todas las empresas estarán subiéndose a la nube. La cuestión ahora es, ¿usted dejará que su organización emprenda ese vuelo a ciegas?
* Directora de Cloud en IBM México.