La histórica definición de la seguridad de TI es algo que muchos tomadores de decisión conocen desde siempre. Se basa en la llamada Tríada CIA, en la que la combinación de los elementos Confidencialidad, Integridad y Disponibilidad (CIA, por sus siglas en inglés) proporciona un punto integral de partida. En otras palabras, por largo tiempo, la base de la seguridad de TI en las organizaciones ha consistido en garantizar esta trilogía.
El abordaje de este modelo en la actualidad y de cara al futuro es trascendental, aun cuando los modelos hayan cambiado. De hecho, es preciso destacar que la Triada CIA es más importante que nunca, si consideramos la hiper agregación de diferentes fuentes de datos.
En la actual era tecnológica, los datos y aplicaciones pueden estar en la nube, en opciones de software como servicio (SaaS), en nuestros propios centros de datos, en dispositivos móviles y en medio de todo esto.
La oportunidad que tienen las empresas en este escenario es aplicar las reglas de la Tríada CIA a la manera en que se prestan los servicios hoy por hoy.
Esto quiere decir que, si se utiliza una nueva plataforma, corresponderá al área de TI evaluar cómo garantizar la confidencialidad, mantener la integridad y asegurar que los datos estén siempre disponibles. Muchas ofertas de nube y SaaS brindan una guía para trabajar en modelos de responsabilidad compartida, los cuales son un excelente comienzo.
Dudo que algunas decisiones cambien cuando se usa un nuevo modelo. Esto incluye la gestión de activos, administración de identidades y de redes, encriptación, mitigación de amenazas (como el ransomware), seguridad operativa y muchas más. Sin duda, estas responsabilidades no desaparecen sólo porque las compañías deciden aprovechar la nube. Con todo, sí es preciso reconfigurar tales responsabilidades según las características de la nueva plataforma.
No se trata de una labor imposible; sólo es cuestión de hacer las consideraciones necesarias, lo cual es vital ya que muchas organizaciones migran a la nube o algún entorno de SaaS para resolver un problema o ir con la mejor plataforma para ese servicio.
El modelo de responsabilidad compartida
En términos de las mejoras que obtienen las organizaciones con el aprovechamiento de los nuevos modelos de TI, uno de los mejores ejemplos es el correo electrónico. Por años, las organizaciones han tenido problemas para proveer una aplicación de email en el entorno on-premise, lo que coloca a este servicio como uno de los que más complicaciones presentan en el centro de datos. La promesa de llevar el correo electrónico a un ambiente de SaaS es clara: no más aprovisionamiento de almacenamiento local, ni más gestión de cuotas. El acceso remoto se vuelve más fácil y la administración es más simple.
Con todo, algo sumamente importante en relación con el modelo de responsabilidad compartida es observar qué roles existen en la empresa en comparación con los proveedores que se tienen. Por ejemplo, en la nube o el entorno SaaS, la responsabilidad de los datos es un elemento que permanece, en prácticamente todas las situaciones, como tarea del cliente o inquilino.
Muchas organizaciones no toman en serio la aplicación del tema de la seguridad con respecto a la disponibilidad de datos. Por un lado, en la nube o el modelo SaaS los datos son propiedad de la empresa, pero más allá de eso, no hay que olvidar que se trata de un principio clave de la Tríada CIA.
La nube o el área TI, ¿quién es el responsable?
Cabe retomar el ejemplo de la realidad de los datos del correo electrónico alojados en un esquema de software como servicio: muchas organizaciones tardan años en completar la migración, lo que significa que la aplicación se mantiene híbrida durante el proceso (una parte ejecutándose localmente y la otra en el entorno SaaS). En una disposición híbrida, seguramente las organizaciones no desean lidiar con una situación en la que la aplicación tenga diferentes niveles de seguridad y disponibilidad con base en su ubicación en algún buzón en particular.
La expectativa es que haya seguridad en todo el desarrollo, de la misma forma que ocurre con la confidencialidad, integridad y disponibilidad. Algunas de estas funciones son responsabilidad de la nube y de los proveedores de SaaS; otras siguen siendo responsabilidad de la organización de TI.
¿Qué podemos hacer? Mi consejo para los CIO es tener una plática con los equipos de aplicaciones sobre cómo están cambiando los modelos, con el fin de identificar las áreas que necesitan supervisión para garantizar los tres elementos de la CIA donde sea que residan los datos.
Es vital tomar con seriedad estos roles con los nuevos modelos de aplicación, ya que un incidente podría eliminar cualquier ganancia asociada, lo que puede llevar a una pérdida importante de ingresos, reputación y mucho más.
_____________
El autor de este artículo, Rick Vanover, es director ejecutivo de Estrategia de Producto de Veeam.