Para tener éxito con la seguridad multinube, se requiere una nueva mentalidad. En primer lugar, comienza cuando los equipos de seguridad cibernética se alinean con lo que la empresa quiere lograr y se comprende el papel de la tecnología.
La mayoría de los profesionales de ciberseguridad ahora se preguntan: ¿cómo logramos que la empresa consuma los servicios en la nube que necesita, al tiempo que garantizamos la protección adecuada? O, ¿cómo podemos permitir que la empresa innove y acelere su crecimiento, a la vez que los activos críticos se mantienen a salvo de riesgos?
Tomar en cuenta desde el principio los aspectos de seguridad puede ayudar a que la compañía construya una cultura consciente de la seguridad cibernética, y que las DevOps estén protegidas, de modo que la tecnología que se construye e implementa sea confiable por diseño.
Es importante tener una buena comprensión de los tipos de servicios en la nube que se consumen, para crear una imagen de cómo es el entorno, los comportamientos para los que necesita estar preparado y cómo se ven los flujos de tráfico.
Sólo así se podrá crear una estrategia holística de seguridad. Con las consideraciones anteriores, es posible apreciar cómo debería verse el entorno de nube ideal, y cómo se puede respaldar y proteger. Muy probable, la mayoría tendrá un entorno de nube híbrida, con nubes públicas y/o privadas.
También se deben crear planes para casos de uso o escenarios de seguridad en la nube en la estrategia. Por ejemplo, cómo protege sus datos y aplicaciones donde sólo existe una relación de nube pública con pública (llamada nube múltiple), pública con privada o privada con privada.
Se debe examinar qué sucede si alguien establece una nueva conexión en la nube o la crea en alguna parte del negocio sin la participación del equipo de TI; cómo sabría que sucedió y cómo aseguraría al negocio lo más rápido posible; además de cubrir las regulaciones de privacidad de datos y los estándares de cumplimiento.
En última instancia, se debe tener un enfoque de seguridad multicapa en la nube, para estar mejor preparado al alinear las políticas, tecnologías, controles y procesos para hacer que la seguridad de la nube sea exitosa. Esto debe ser independiente del proveedor de la nube, para que pueda ser flexible en la adopción y utilización de la nube en el futuro.
A pesar de que el paisaje de la nube sigue evolucionando, y aunque siempre habrá algunos elementos de riesgo relacionados con la utilización de la misma, el nivel de riesgo ya no es el que solía ser, especialmente, cuando se involucra la seguridad desde el principio y se piensa de manera holística.
Por Ami Hofman, Líder de servicios de transformación tecnológica, seguridad cibernética y seguridad administrada de Dimension Data
