Zero Trust Security: Seguridad en la nube

Por NTT DATA

473

Trasladar el entorno de TI de una empresa a la nube es un desafío con múltiples dimensiones. Es un proceso que afecta, por un lado, a la infraestructura, las plataformas, las aplicaciones y los procesos y, por otro, a las prácticas organizacionales, culturales y laborales de la compañía. Lo anterior es, probablemente, el mayor cambio transformacional al que pueda enfrentarse una organización.

La nube permite colaborar de manera más eficaz, crear productos y servicios más personalizados y ser mucho más ágil. La migración puede transformar todos los aspectos de las operaciones y reducir los gastos fijos, aunque es posible que estos beneficios no se materialicen inmediatamente.

Todos estos factores resultan en importantes ventajas competitivas, pero para disfrutarlas es necesario contar con un sistema de defensa eficiente. Las operaciones de seguridad, al igual que todas las demás, requieren de un enfoque nuevo cuando se trasladan a la nube.

De la seguridad perimetral a la confianza cero

Al pasar de un modelo de negocio centrado en las operaciones internas a otro que es
esencialmente colaborativo, no se puede seguir confiando en procesos que solo protegen el perímetro local de la organización. Este enfoque tradicional, donde los sistemas internos se escudan tras altos muros (con seguridad física y lógica) inaccesibles para el exterior, no sirve en un mundo donde la colaboración ha pasado a ser la forma habitual de trabajar.

En el nuevo entorno, es necesario adoptar un enfoque de seguridad basado en transacciones, en el que los datos, sistemas y procesos se compartan con los socios y
clientes únicamente en determinadas condiciones. Esta es la razón por la que las empresas en la nube utilizan una estrategia de seguridad de confianza cero.

La confianza cero es lo contrario de la seguridad perimetral. Es un nuevo planteamiento donde nada se da por sentado y todas las comunicaciones, transacciones e interacciones se tratan como acciones individuales e independientes que deben protegerse de principio a fin.

En el ámbito de la seguridad, la nube ha supuesto un cambio radical en las reglas del
juego. Actualmente, hay empresas de todo tipo que utilizan plataformas de desarrollo
conjunto para crear, probar y lanzar rápidamente servicios y productos, en procesos
donde participan equipos de varios partners cuyos miembros pueden estar en
cualquier rincón del mundo.

También, es común que los clientes finales puedan definir sus propios servicios, para
así permitir configuraciones rápidas e individualizadas, y es frecuente que ambas
partes utilizan herramientas automatizadas en los procesos de contratación.

Estos son solo algunos ejemplos de la capacidad de la nube para agilizar el trabajo,
pero a pesar de sus muchas prestaciones, hay una desventaja innegable: nunca es
posible proteger un entorno al 100 %. Aun así, para acercarse lo más posible a este
objetivo, hay que crear vías seguras para el acceso de los usuarios y el desarrollo delos servicios. Todas ellas deben contar con una defensa profunda, alertas tempranas
de amenazas y respuesta continuada.

Partners expertos en seguridad en la nube

La confianza cero es ahora la base de la ciberseguridad para todas las actividades en
la nube. Pero implementar estrategias de este tipo no es sencillo y requiere un alto
grado de especialización, algo que no todo el mundo está en condiciones de ofrecer.
Para optimizar la seguridad, es imperativo contar con partners que cumplan con
requisitos como los siguientes:

● Capacidades múltiples. Para que una estrategia de seguridad basada en la nube sea eficiente, es necesario dominar todos los elementos del futuro modelo de negocio: infraestructuras, plataformas, procesos, software, diseño y transformación. Sin embargo, la mayoría de las empresas de consultoría e integración de sistemas solo son especialistas en ciertas áreas, no en todas. Puede que sean expertas en IaaS o PaaS, por ejemplo, pero que no dominen el SaaS o las redes.

● Proyectos integrales. La migración es un proceso de transformación que requiere apoyo de principio a fin, desde el modelo actual hasta el futuro. Para garantizar una transición segura y fluida al nuevo espacio virtual, las empresas necesitan acompañamiento en todas las etapas, incluso en la creación de la “zona de aterrizaje” inicial.

● Planteamiento DevSecOps. Un factor clave para monetizar la migración a la nube es poder trabajar en proyectos colaborativos de desarrollo en ella. Para que este proceso sea seguro, es necesario pasar de un planteamiento de DevOps (o de operaciones de desarrollo, algo que muchas empresas encuentran ya difícil) a uno de DevSecOps, donde la seguridad es un componente básico. Esto significa crear un entorno seguro desde cero,
normalmente trabajando con proveedores de nube a hiperescala.

● Integración. Por último, la seguridad en la nube requiere la interacción y coordinación de todos los componentes tecnológicos y de los procesos en entornos online complejos de gran tamaño. Para ello, es necesario contar con servicios de consultoría del más alto nivel, como los que algunas empresas proporcionan habitualmente a las grandes empresas globales más exigentes.

Por su alcance, envergadura y complejidad, un ejemplo que pone de manifiesto las
exigencias propias de la seguridad en la nube es el proyecto de migración de una empresa alemana del sector de la automoción que implementamos a través de una innovadora solución de seguridad basada en una estrategia de confianza cero, para la que creamos un diseño personalizado que permite gestionar cualquier recurso, dato o activo de la nube en todo momento y en todos los procesos..

Buenas prácticas

En un entorno en constante cambio, el trabajo de las empresas que implementan este
tipo de proyectos consiste en crear soluciones optimizadas para las operaciones en la nube, con el objetivo de facilitar procesos ágiles y colaborativos que cumplan con todas las exigencias de las normativas en vigor como:

● Identificación, para saber qué activos deben protegerse, dónde se encuentran y
cómo se gestionan los accesos.

● Protección, que proporciona defensas eficientes para los activos e interacciones a distintos niveles, frenando los ataques y eliminándolos antes de que se produzcan problemas.

● Detección, que permite la identificación temprana de posibles ataques o fallos
de seguridad, incluso, de los que están cuidadosamente encubiertos y pueden
escapar a las primeras medidas de seguridad.

● Respuesta, para una rápida movilización de recursos cuando se intenta penetrar las defensas, con alertas inmediatas y comunicación fluida en todas las etapas.

● Recuperación, con la eliminación sistemática de todas las amenazas una vez que se ha rechazado el ataque y el aprendizaje de medidas a implementar de cara a infracciones similares.

La seguridad en la nube depende de la tecnología, las personas, los controles y los accesos, pero también de no bajar la guardia en ningún momento. Existe y es notable el compromiso para hacer de la nube inteligente en red un entorno seguro donde las empresas del siglo XXI puedan trabajar, hacer negocios y prosperar. Con nuestras soluciones de seguridad, podrás llevar tu empresa a la nube y, con ello, al éxito.

Autor