CIO
Los servicios en la nube llegaron para quedarse y sus funciones empresariales aumentan cada año. Antes los servicios en la nube se limitaban al almacenamiento simple o la administración de contactos, mientras que ahora las funciones básicas como ERP se han trasladado a la nube. Con una amplia gama de servicios esenciales que cambian cada vez más a la nube, los líderes de TI deben estar atentos a los riesgos inherentes en el entorno de la nube actual y tomar medidas preventivas para mitigarlos.
A continuación, se detalla qué debe hacer una organización para evaluar y mitigar los riesgos de la computación en la nube:
Evaluar el apetito de riesgo en la nube
En la industria bancaria, es común establecer un apetito de riesgo para guiar las decisiones de la organización. Por ejemplo, un apetito de riesgo conservador llevaría a uno a rechazar préstamos lucrativos pero altamente inciertos.
Desde la perspectiva de la administración de TI, su apetito por el riesgo informará su debida diligencia, el monitoreo continuo y la voluntad de invertir en la reducción del riesgo. Se puede establecer un enfoque escalonado para la mitigación de riesgos para hacer el mejor uso de sus recursos limitados. El riesgo de fallar en el servicio en la nube del “Nivel 1” puede reducirse mediante la dotación de personal, las pruebas periódicas y el pago por el soporte de proveedores de primer nivel.
Revisar la cultura de uso de la nube
A los proveedores de la nube les gusta enfatizar la facilidad de uso y la flexibilidad. Es común que cuando las organizaciones experimentan la facilidad de la nube, pocas tienen el deseo de volver a mantener su propia infraestructura heredada. Sin embargo, una actitud casual hacia los servicios en la nube puede llevar a los empleados a tomar riesgos innecesarios.
“Los servicios en la nube a menudo fomentan el ‘uso casual’ de datos. Puedo recopilar, buscar y almacenar cualquier cosa en cualquier lugar es el gancho. A menudo vemos esto en sistemas como Box, DropBox o OneDrive, donde existe un verdadero peligro de uso mixto en la forma en que se almacena y comparte el contenido”. ¿La solución simple? Prohibir los servicios donde el uso mixto probablemente sea un problema”, explicó John Hodges, vicepresidente de estrategia de producto para AvePoint.
Prohibir los servicios en la nube de mayor riesgo ayuda, pero no elimina el problema por completo. “Con las cuentas proporcionadas por la empresa, como los canales Slack o los equipos de Microsoft u otros sistemas, los usuarios siempre toman la ruta más conveniente para compartir datos. Es posible que ese comportamiento no se alinee con las políticas de retención de registros o las restricciones sobre el intercambio de datos”, agregó Hodges.
Usar modelos de cero confianza
La cero confianza consiste en una estrategia de seguridad de TI en la que una organización requiere que cada usuario, sistema o dispositivo dentro o fuera de su perímetro sea verificado y validado antes de conectarse a sus sistemas.
¿Cómo se puede usar un modelo de cero confianza para mitigar el riesgo de la nube? Para Insurity, una organización que se especializa en software y servicios de seguros de propiedad y accidentes, la cero confianza significa restringir el acceso estrechamente.
“Brindamos acceso lógico al conjunto mínimo de usuarios con un conjunto mínimo de derechos y privilegios en línea con los requisitos de la función de trabajo. Este control es auditado internamente por nuestro equipo de Seguridad Empresarial y externamente como parte de nuestra auditoría SOC anual “, aseguró Jonathan Victor, CIO de Insurity.
Aprender las fallas de TI de las noticias
Tomarse el tiempo para estudiar noticias de la industria sobre fallas relacionadas con la nube lo ayuda a mitigar el riesgo de la nube. La naturaleza compleja y constante evolución del uso de la nube en la empresa actual, significa que siempre hay algo que aprender de los incidentes de alto perfil que salieron mal.
“Nos enfocamos en la pérdida de datos, por lo que vemos lecciones importantes en incidentes como la pérdida de datos Meraki en agosto de 2017, cuando los sistemas locales fallaron al hacer una copia de seguridad de los datos en el servicio en la nube como estaba diseñado”, expuso Rich Petersen, cofundador y presidente de JetStream Software.
Replantear la combinación de estrategias de administración en la nube manuales contra las automatizadas
La automatización, los asistentes virtuales y el procesamiento de datos pueden ayudar a las empresas a vender no solo más productos sino también a administrar sus servicios en la nube.
Sin embargo, el impulso para automatizar tiene límites significativos cuando se trata de mitigar los riesgos de la nube. Después de todo, no puede automatizar una evaluación de riesgos de un proveedor de la nube. Pero si usa más herramientas automatizadas para detectar problemas y estandarizar la configuración en la nube, se podría concentrar más tiempo del personal en problemas complejos, como son la capacitación y la administración de sus relaciones con los proveedores de la nube.
Solicitar derechos de auditoría para los proveedores sensibles
Tener derecho a auditar a los proveedores en la nube es un tema sensible. Si los contratos y acuerdos carecen de esta disposición, las manos pueden estar atadas en caso de un incidente. Por otro lado, los grandes proveedores de nube están haciendo retroceder estos requisitos.
“En cuanto a las auditorías, muchas empresas en la nube están presionando a las organizaciones y no les permiten auditar los derechos para auditar sus centros de datos y sus procesos, procedimientos y medidas de seguridad, ¿Por qué? Dudan que un tercero se presente y realice una auditoría. En su lugar, el vendedor dice que cumple o dice que no le preocupe, porque si no lo hacen, estarán en problemas por otras razones bajo el contrato, como un evento de incumplimiento”, precisó Ted Rogers, líder de consultoría de ejecución de proyectos en UpperEdge.
Si un proveedor de servicios en la nube se resiste a otorgar derechos de auditoría a su empresa, existen maneras de mitigar este riesgo. Se pueden solicitar informes más sólidos y enfatizar los principales indicadores de riesgo. También pedirle al departamento de auditoría interna que brinde información durante las discusiones contractuales.
Repensar la evitación como una estrategia de mitigación de riesgos
Por último, la piratería y la seguridad no son los únicos riesgos a considerar. También existe el riesgo de quedarse atrás.
“Un riesgo comercial significativo para algunos de nuestros clientes menos maduros no es perseguir la transformación de la nube y los servicios lo suficientemente agresivos. La nube no es solo una nueva tecnología: ha cambiado el paradigma comercial y operativo de muchas industrias. Se trata de transformar el negocio para que sea más ágil y competitivo “, declaró Tony Buffomante, líder de los servicios de seguridad cibernética de KPMG en Estados Unidos.
Además, pocas organizaciones tienen el presupuesto o la inclinación para construir centros de datos y desarrollar todo su software e infraestructura en las instalaciones. De hecho, las empresas con una capacidad informática más pequeña pueden beneficiarse de las capacidades de gestión de riesgos de grandes proveedores de servicios en la nube.
Comments