¿De qué manera ha progresado la seguridad en la nube en los últimos años?
La incorporación de la tecnología en la forma de hacer negocios y operar las empresas hace mucho no es una tendencia, sino una realidad, y los servicios de nube han jugado un rol importante no solo en facilitarla sino en acelerarla. A la par, los ataques informáticos se han convertido en noticias destacadas en donde millones de dólares están en juego, poniendo en riesgo la supervivencia de las empresas y su capacidad de seguir haciendo negocios.
Esto genera preguntas importantes sobre el estado de seguridad en la nube, entonces, se trata de entender cómo ha progresado en los últimos años, y en cómo alinear los requisitos de seguridad de las empresas y la regulación y controles que debe cumplir en el proceso de adopción de servicios en una o más nubes, de las que es importante destacar que invierten muchos recursos en desarrollar nuevos servicios y adoptar estándares de seguridad. Esto incluye funciones de autenticación, encriptación y gestión de identidad.
Esta inversión parece estar siendo reconocida por las empresas en todo el mundo, ya que el total de organizaciones que desconfían de las nubes ha disminuido aproximadamente de 50% a 29, según un informe del 2017 de McAfee titulado "Construir confianza en un cielo nublado". Entonces, si en su organización han decidido o están evaluando adoptar servicios de nube, y la seguridad parece ser un obstáculo o es una preocupación, existen algunas medidas que puede tomar para reducir los riesgos.
En relación a esto, Juan José Calderón, Gerente de Data Center y Seguridad de CenturyLink Perú, detalla cuales son estas:
Entender sus propios requisitos de seguridad. - Existen distintos tipos de datos, y por lo tanto no todos deben tener el mismo tratamiento. Por ejemplo, la información de identificación personal (PII) debe cifrarse con una mayor seguridad, dentro y fuera de la nube. Asimismo, existe una posibilidad de que puedan surgir problemas de rendimiento con el uso excesivo de los servicios de cifrado. En resumen, las empresas que adoptan servicios de nube sean públicas, híbridas o privadas, deben adoptar aquellos estándares y tecnologías que hagan sentido en cada servicio en particular.
Clasificar los datos que se alojarán en la nube. - Es importante tener un enfoque detallado de la clasificación de datos que existirán en la nube. Igualmente, considerar en el contexto factores relacionados al cumplimiento de regulaciones en la gestión de los mismos, como es el caso de la ley de protección de datos personales, y sus variantes en diferentes partes del mundo, para evitar su uso indebido. Para esto, es importante construir un conjunto de políticas en torno a los datos, y ser capaz de automatizar la ejecución de dichas políticas dentro de los sistemas de seguridad en la nube, en base al ámbito regulatorio al que esté sujeta la empresa tanto por su actividad de negocios como por los mercados en los que opera.
Mapeo de una ruta a la seguridad en la nube. - Este paso resulta sencillo si ha realizado correctamente el paso anterior. Significa elegir los servicios de cifrado correctos que cumplirán con los requisitos de cumplimiento y política. Por otro lado, es importante contar con un sistema de gestión de identidades y accesos que se integre dentro de los sistemas de directorio existentes.
Por último, es importante tener todo esto bajo un sistema sólido de gestión de seguridad que proporcione un monitoreo proactivo y defensa propia. Asimismo, es también importante asociarse con un proveedor de servicios de seguridad con experiencia y el conocimiento de implementación para que los planes de seguridad cibernética estén sincronizados con los objetivos comerciales de la empresa.
El estado de la seguridad en la nube permite cumplir con las exigencias de empresas de todos los rubros, tamaños y origen, siempre y cuando se establezcan políticas adecuadas y se asegure su implementación y cumplimiento. La seguridad es algo que se planifica y administra día a día, e incluye la comprensión de sus requisitos en detalle, y para ayudar en este proceso es que CenturyLink cuenta con un amplio portafolio de servicio y soluciones de seguridad reconocidos mundialmente, que abarcan la prevención, detección y mitigación de amenazas informáticas allí donde se genere y se encuentra alojada la información de la empresa.