Cuando las empresas deciden trasladar sus operaciones a la nube, existe la inevitable cuestión de la seguridad. ¿Nuestra información estará segura en la nube?, ¿alojar nuestros datos en la nube nos volverá más susceptibles a ataques cibernéticos?, ¿qué es la seguridad en la nube y cuál es la forma correcta de implementarla para nuestro negocio?.
La seguridad en la nube bien aplicada es la solución a todos estos cuestionamientos, por lo que es fundamental para crear un entorno en la nube apto para las empresas y sus clientes. A medida que crece la presencia en la web, los sitios deben prepararse para defenderse de ataques contra su infraestructura.
La seguridad en la nube son un grupo de políticas, controles, procedimientos y tecnologías que en conjunto protegen sistemas y datos basados en la nube. Dichas medidas de seguridad son configuradas para proteger los datos de la empresa y la privacidad de los clientes, así como establecer reglas de autenticación para usuarios y dispositivas. Desde la autenticación del acceso hasta el filtrado del tráfico, la seguridad en la nube se puede configurar según las necesidades individuales de cada empresa. Y debido a que estas reglas pueden configurarse y administrarse en un solo lugar, los gastos generales de administración se reducen y los equipos de TI pueden concentrarse en otras áreas del negocio. La implementación de los procesos de seguridad en la nube debe ser una responsabilidad conjunta entre el propietario de la empresa y el proveedor de la solución.
Entre los beneficios más importantes que ofrece la seguridad en la nube están los siguientes:
Al igual que la computación en la nube centraliza las aplicaciones y los datos, la seguridad en la nube centraliza la protección. Las redes empresariales basadas en la nube constan de numerosos dispositivos y puntos finales. La administración de estas entidades centraliza el análisis y el filtrado del tráfico, agiliza la supervisión de los eventos de la red y da como resultado menos actualizaciones de software y políticas. Los planes de recuperación de desastres también se pueden implementar y poner en práctica fácilmente cuando se administran en un solo lugar.
El almacenamiento y la seguridad en la nube eliminan la necesidad de invertir en hardware dedicado a este fin. Esto reduce gastos de mantenimiento y administrativos. La seguridad en la nube ofrece protección 24/7 con poca o ninguna intervención humana.
Los servicios de computación en la nube ofrecen lo último en confiabilidad. Con las medidas de seguridad correctamente implementadas en la nube, los usuarios pueden acceder de forma segura a los datos y aplicaciones dentro de la nube sin importar dónde se encuentren o qué dispositivo estén usando.
La computación en la nube permite a las organizaciones operar a escala, reducir los costos de tecnología y usar sistemas ágiles que les dan la ventaja competitiva. Sin embargo, es esencial que las organizaciones tengan plena confianza en la seguridad de su computación en la nube y que todos los datos, sistemas y aplicaciones estén protegidos contra el robo, la fuga, la corrupción y la eliminación de datos.
Todos los modelos de software son susceptibles a las amenazas, la seguridad en la nube ofrece toda la funcionalidad de la seguridad de TI tradicional y permite a las empresas aprovechar las múltiples ventajas de la computación en la nube mientras se mantiene segura y garantizar que se cumplan los requisitos de cumplimiento y privacidad de datos.
Al ser un sector en crecimiento, cada vez encontramos más opciones de proveedores de servicios en la nube por lo que si no somos expertos en el tema puede ser complicado encontrar el más conveniente según nuestras necesidades. Por ello, le presentamos algunos aspectos a tomar en cuenta para tomar esta importante decisión.
Lo primero a tomar en cuenta es que usted debe estar seguro de sus necesidades comerciales específicas, aunque parece un tema bastante obvio, tener esto bien en claro antes de evaluar a los proveedores le ayudará a elegir el que más se adapte a su modelo de negocios.También vale la pena señalar que, al migrar aplicaciones y cargas de trabajo a la nube, los entornos específicos que elija y los servicios ofrecidos por su proveedor de servicios en la nube determinarán las configuraciones necesarias, el trabajo que debe hacer y la ayuda que puede obtener del proveedor. Por lo tanto, lo ideal es que elija a sus proveedores una vez que haya identificado a sus candidatos, en paralelo con el análisis y la preparación de estas cargas de trabajo para la migración.
Una vez resuelto el punto anterior, hay 7 aspectos que deberá revisar para comprar a los proveedores de manera objetiva:
Si la seguridad es una prioridad busque proveedores acreditados con certificaciones como ISO 2700. De manera más general, busque procesos estructurados, administración de datos efectiva, buena administración del conocimiento y visibilidad del estado del servicio. También entienda cómo el proveedor planea proporcionar recursos y respaldar el cumplimiento continuo de estos estándares.
La planificación del desarrollo de software o Roadmapping es un importante punto a considerar, dependiendo de su estrategia de nube en particular, es posible que también desee evaluar la cartera general de servicios que los proveedores pueden ofrecer. De esta manera podrá asegurar que a futuro el servicio que eligió pueda acompañarle en el desarrollo de su empresa.
Debe tener en cuenta las normas reglamentarias que rigen los datos personales así como las leyes locales del lugar donde se alojan los servidores. Los proveedores de servicios en la nube deben ser transparentes con respecto a las ubicaciones de sus centros de datos, pero también debe asumir la responsabilidad de encontrar esta información. El marco del Código de Prácticas CIF tiene una guía útil para ayudar a identificar políticas y procesos de seguridad y gobernanza de datos relevantes como parte de una evaluación del proveedor.
Los proveedores de servicios pueden tener múltiples relaciones con proveedores que es importante entender. Considere si los servicios que se ofrecen encajan en un ecosistema más grande de otros servicios que podrían complementarlo o apoyarlo. En general, piense dos veces antes de considerar proveedores con una larga cadena de subcontratistas. Especialmente con los procesos de negocio de misión crítica o los datos regidos por las regulaciones de privacidad de datos.
Los acuerdos en la nube pueden parecer complejos, y esto no se ve favorecido por la falta de estándares de la industria sobre cómo se construyen y definen. En particular, para los SLA, muchos proveedores de la nube con problemas de jerga siguen utilizando un lenguaje innecesariamente complicado o, peor aún, deliberadamente engañoso.En general, los acuerdos van desde "términos y condiciones" listos para usar, acordados en línea, hasta contratos negociados individualmente y acuerdos de nivel de servicio (SLA).
Primero verifique el desempeño del proveedor de servicios con sus SLA durante los últimos 6-12 meses. Asegúrese de que las herramientas de supervisión e informes que se ofrecen sean suficientes y puedan integrarse en sus sistemas generales de gestión e informes. Verifique que su proveedor elegido haya establecido, documentado y comprobado procesos para lidiar con el tiempo de inactividad planificado y no planificado y busque comprender las disposiciones de recuperación ante desastres del proveedor, los procesos y su capacidad para respaldar sus expectativas de conservación de datos (incluidos los objetivos de tiempo de recuperación).
Los servicios en la nube que dependen en gran medida de componentes exclusivos o personalizados pueden afectar su portabilidad a otros proveedores u operaciones internas. Esto es especialmente cierto si las aplicaciones tienen que ser re-diseñadas para ejecutarse en una plataforma de proveedor de servicios. Evite el riesgo de bloqueo del proveedor asegurándose de que su proveedor elegido tenga un uso mínimo de tecnología patentada o que minimice el uso de servicios que limiten su capacidad para migrar o realizar la transición. Del mismo modo, asegúrese de tener una estrategia de salida clara al comienzo de su relación. Alejarse del servicio de un CSP no siempre es una transición fácil o sin problemas, por lo que vale la pena conocer sus procesos antes de firmar un contrato.