Respuestas a cinco preocupaciones comunes sobre seguridad en la nube pública

por Kari Heuer

Las compañías se mudan a la nube más rápido que nunca, y la seguridad se mantiene como la máxima preocupación.

Una de las preguntas más comunes que nos hacen en Rackspace, donde ofrecemos servicios de nube administrada y seguridad, es cuál entidad es responsable de qué aspectos de seguridad en la nube. Este es un asunto clave a entender, debido al impacto que puede tener una filtración.

Para responder esta y otras preguntas comunes de seguridad, me senté con el director de producto de Rackspace Managed Security, Eric Brinkman.

¿Acaso Amazon, Microsoft y Google no mantienen segura mi nube?

La seguridad en la nube se compone de dos partes: seguridad desu nube y seguridad en la nube. Todos los grandes proveedores de nube se adhieren a estándares de seguridad estrictos, y se aseguran de que la probabilidad de que una filtración se origine de una vulnerabilidad en su plataforma de nube AWS, Azure o Google, sea baja.

Sin embargo, la seguridad al interior de su nube es responsabilidad del usuario final. Las compañías deben asegurarse de que cumplen las responsabilidades de seguridad de su propia nube, incluyendo garantías, permisos y estándares para aplicaciones, sistemas operativos y demás contenidos de nube. Hacerse cargo de la seguridad de y en su nube es lo que conforma una postura de seguridad global.

Nuestra recomendación: entienda claramente en qué momento las responsabilidades de seguridad pasan del proveedor de plataforma de nube a usted. Esto le ayudará a definir la estrategia de seguridad de su organización y ejecutar las acciones necesarias, ya sea que las realice usted o con la ayuda de un proveedor de servicios de seguridad administradoso MSSP.

¿La seguridad en la nube es más costosa que la seguridad tradicional?

Cada negocio tiene que adherirse a una decisión de costo vs. valor, y la seguridad en la nube no es la excepción. Pero la respuesta es que depende. La seguridad en la nube debe crecer con sus implementaciones. Los costos de seguridad por lo general crecen cuando sus ambientes crecen o si usted se da cuenta de que es hora de mejorar su postura de seguridad a través de una inversión en nuevas capacidades. Ninguna de estas es específica de la nube; en realidad son específicas del mundo de los negocios. La seguridad puede tornarse más costosa en la nube si una compañía debe implementar nuevas plataformas tecnológicas o de automatización para resolver la escalabilidad inherente de estas plataformas. Sin embargo, la mayor parte del tiempo, vemos que las compañías aprovechan recursos existentes y los costos de seguridad crecen conforme los ambientes lo hacen.

Nuestra recomendación: invierta en tecnología de automatización de seguridad, para garantizar que los dispositivos móviles estén asegurados, así como en tecnología de seguridad que funcione sin interrupciones en toda la plataforma.

¿Cómo integro seguridad en la nube con mi postura de seguridad ya existente?

Entender la plataforma en la que trabaja es fundamental para integrar nuevas implementaciones en su postura de seguridad existente. Cada plataforma de nube tiene sus propios puntos de acceso; saber cuáles son y cómo asegurarlos correctamente es importante. Un error común que vemos es una empresa que cree necesitar toda una nueva estrategia solo para seguridad en la nube. A pesar de que hay consideraciones cuando se migra a la nube, apegarse a múltiples estrategias con frecuencia deriva en un ambiente menos seguro, pues la confusión e inconsistencias pueden incrementar los errores o la superficie de ataque. Una manera de satisfacer las necesidades de seguridad de distintas plataformas es a través de herramientas que trabajen en todas las plataformas de nube. Esto hará más sencillo que su seguridad se adapte a nuevas nubes y a los diversos puntos de acceso que tienen.

Recomendación: trabaje con un proveedor de servicios de seguridad administrada para adoptar tecnología diseñada para funcionar en todas las plataformas de nube conforme su empresa evolucione.

¿Serán necesarios más recursos humanos luego de mudarme a la nube?

Así como en la pregunta sobre costos, la respuesta es que podría ser, pero no necesariamente. Esto depende por completo de qué recursos ya tiene su empresa. Si emplea a todo un equipo de seguridad, ya sea interno o con soporte de MSSP, tal vez eso sea suficiente.

Por otra parte, si todavía no tiene una postura de seguridad holística, tal vez necesite más recursos. Algunas compañías podrían necesitar expandir sus equipos de arquitectura y operaciones para dar soporte a sus nuevos ambientes. Los MSSP son una gran opción para estas situaciones, pues ya tienen el personal necesario para ayudar rápidamente a diseñar, implementar y administrar nuevos ambientes que tal vez no les sean tan familiares a sus equipos.

Recomendación: entienda su tolerancia al riesgo. Conforme los equipos e implementaciones crecen, también incrementa el riesgo. Sus recursos y equipo deben alinearse con su tolerancia al riesgo. Un pequeño negocio tal vez no pueda invertir en un centro de operaciones de seguridad con una plantilla completa de empleados, mientras que una compañía Fortune 500 tal vez no quiera hacerlo. En ambos casos, un MSSP puede ayudar.

¿Mudarse a la nube puede complicar su estrategia de cumplimiento?

La buena noticia es que, de cierta manera, mudarse a la nube puede facilitarle satisfacer regímenes de cumplimiento de certificaciones. Las plataformas de nube generalmente incluyen estándares de seguridad estrictos y verificación de cumplimiento, lo que elimina un poco de la carga operativa asociada con apegarse a regímenes de cumplimiento. Sin embargo, esto no elimina la responsabilidad de asegurarse de cumplir con los requisitos de control, acceso y cumplimiento en su ambiente y aplicaciones. Por último, es importante recordar que la seguridad no necesariamente es igual que el cumplimiento de normas y estándares. Aunque con frecuencia se traslapan, ambos deben tenerse en cuenta, y no solo como parte de la nube.

Recomendación: delinee y defina claramente qué normas y estándares planea cumplir. Analice si hay alguna nueva legislación que afecte en particular a sus verticales. Una vez que lo haya hecho, todas las nuevas plataformas, aplicaciones y demás deben seguir el mismo procedimiento.

Para concluir, la seguridad en la nube debe verse como una adaptación de su postura existente. Mudarse a la nube tal vez no necesariamente implique cambiar su estrategia de seguridad, pero definitivamente debe ser revisada antes de hacer la transición. Es comprensible que muchas organizaciones prefieran trabajar con un socio experto cuando esto ocurra; si ese es su caso, dé clic para aprender más acerca del enfoque activo de seguridad de Rackspace.

LEAVE A REPLY

Please enter your comment!
Please enter your name here