CambioDigital-OL

0

7 estrategias de mitigación de riesgos para la nube

CloudThunderLos servicios en la nube llegaron para quedarse y están asumiendo más funciones empresariales cada año. Donde antes los servicios en la nube se limitaban al almacenamiento simple o la administración de contactos, las funciones básicas como ERP ahora se han trasladado a la nube. Y con una amplia gama de servicios esenciales que cambian cada vez más a la nube, los líderes de TI deben estar atentos a los riesgos inherentes en el entorno actual de la nube, y tomar medidas preventivas para mitigarlos.

A continuación, se detalla qué debe hacer su organización para evaluar y mitigar los riesgos de la computación en la nube.

Evalúe su apetito por el riesgo en la nube
En la industria bancaria es común establecer un apetito por el riesgo para guiar las decisiones de la organización. Por ejemplo, un apetito por el riesgo conservador llevaría a uno a rechazar préstamos lucrativos, pero altamente inciertos. Un mayor apetito por el riesgo de “punta de lanza” puede ofrecer mayores rendimientos durante los auges. ¿La desventaja? Su banco puede recibir grandes golpes durante la próxima crisis.

Desde la perspectiva de la administración de TI, su apetito por el riesgo brindará información a sus medidas de prevención, monitoreo continuo y voluntad de invertir en la reducción del riesgo. Por ejemplo, puede establecer un enfoque escalonado para la mitigación de riesgos con el fin de optimizar el uso de sus recursos limitados. El riesgo de fallar en el servicio en la nube del “Nivel 1” puede reducirse mediante la capacitación de personal (por ejemplo, tener un administrador de relaciones dedicado), las pruebas periódicas y el pago por el soporte de proveedores de primer nivel.

Revise la cultura del uso de la nube
A los proveedores de nube les gusta enfatizar la facilidad de uso y la flexibilidad. Y una vez que las organizaciones experimentan la facilidad de la nube, pocas tienen el deseo de volver a mantener su propia infraestructura previa. Pero una actitud casual hacia los servicios en la nube puede llevar a los empleados a tomar riesgos absurdos.

“Los servicios en la nube a menudo fomentan el ‘uso casual’ de datos; yo puedo recopilar, buscar y almacenar cualquier cosa en cualquier lugar es el gancho”, afirma John Hodges, vicepresidente de estrategia de producto en AvePoint. “A menudo vemos esto en sistemas como Box, Dropbox o OneDrive, donde existe un verdadero peligro de uso mixto en la forma en que se almacena y comparte el contenido”. ¿La solución simple? Prohibir los servicios donde el uso mixto probablemente sea un problema.

Prohibir los servicios en la nube de mayor riesgo ayuda, pero no elimina el problema por completo. “Con las cuentas proporcionadas por la empresa, como los canales Slack o Microsoft Teams u otros sistemas, los usuarios siempre toman la ruta más conveniente para compartir datos. Es posible que ese comportamiento no se alinee con las políticas de retención de registros o las restricciones sobre el intercambio de datos”, explica Hodges. La aplicación incoherente de políticas de retención de registros puede causar dolores de cabeza si su empresa está sujeta a un litigio o a una investigación similar.

Use modelos de confianza nula para reducir el riesgo
La confianza nula es una estrategia de seguridad de TI en la que una organización requiere que cada usuario, sistema o dispositivo dentro o fuera de su perímetro sea verificado y validado antes de conectarse a sus sistemas. ¿Cómo se puede usar un modelo de confianza nula para mitigar el riesgo de la nube? Para Insurity, una organización que se especializa en software y servicios de seguros de propiedad y accidentes, un enfoque de confianza nula significa restringir el acceso en gran medida.

“Nosotros brindamos acceso lógico al conjunto mínimo de usuarios con un conjunto mínimo de derechos y privilegios alineados conjuntamente a los requisitos de la función de trabajo. Este control es auditado internamente por nuestro equipo de Seguridad Empresarial y externamente como parte de nuestra auditoría SOC anual”, afirma Jonathan Victor, CIO de Insurity.

Examine regularmente los niveles de acceso de los usuarios y pregúntese si tienen sentido. ¿Necesita docenas de usuarios con acceso administrativo? Cada súper usuario agrega un riesgo adicional.

Aprenda de las fallas de TI en las noticias
Tomarse el tiempo para estudiar noticias de la industria sobre fallas relacionadas con la nube le ayudará a mitigar el riesgo de la nube. La naturaleza compleja y cambiante del uso de la nube en las empresas actuales, significa que siempre hay algo que aprender de los incidentes de alto perfil.

“Nos enfocamos en la pérdida de datos, por lo que vemos lecciones importantes en incidentes como la pérdida de datos de Meraki en agosto del 2017, cuando los sistemas on-premisesfallaron al hacer una copia de seguridad de los datos en el servicio de nube, de la forma en que estaba diseñado”, afirma Rich Petersen, cofundador y presidente de JetStream Software.

Cisco admitió que el error de configuración de la nube causó pérdida de datos y pérdida de productividad. Como The Register informó, “el incidente es un gran desastre para Cisco, porque Meraki se promociona sobre la base de que su servicio de soporte en la nube elimina gran parte del trabajo pesado requerido para desplegar redes y sistemas de voz. El hecho de que el equipo de Meraki cometió un error tan sustancial -y aparentemente carecía de herramientas de protección de datos para cubrir tal eventualidad- es una mancha negra muy grande en su reputación».

Replantee su combinación de estrategias de administración en la nube manuales en comparación a las automatizadas
La automatización, los asistentes virtuales y el procesamiento de datos pueden ayudar a las empresas a vender no solo más productos, sino también a administrar sus servicios en la nube. Para Barracuda Networks, la escala del trabajo de seguridad manual ha disminuido significativamente desde que comenzó a automatizar los procesos para la nube.

“Hemos dejado de realizar comprobaciones de seguridad manuales y hemos pasado a los escaneos automatizados, porque las amenazas crecientes y continuas requieren vigilancia 24x7x365 para garantizar la integridad del sistema, la protección de datos y los requisitos de control de cumplimiento regulatorio», afirma Greg Arnette, director de estrategia de plataforma de protección de datos en Barracuda Networks.

Sin embargo, el impulso para automatizar tiene límites significativos cuando se trata de mitigar los riesgos de la nube. Después de todo, no puede automatizar una evaluación de riesgos de un proveedor de la nube. Pero si usa más herramientas automatizadas para detectar problemas y estandarizar la configuración en la nube, puede concentrar más tiempo del personal en problemas complejos, como la capacitación y la administración de sus relaciones con los proveedores de la nube.

Solicite los derechos de auditoría para sus proveedores más sensibles
La posibilidad de tener derecho a auditar a sus proveedores en la nube es un tema muy popular. Si sus contratos y acuerdos carecen de esta disposición, sus manos pueden estar atadas si es que ocurre un incidente. Por otro lado, los grandes proveedores de nube están rechazando estos requisitos.

“En cuanto a las auditorías, muchas empresas en la nube están presionando a las organizaciones y no les dan los derechos para auditar sus centros de datos y sus procesos, procedimientos y medidas de seguridad”, afirma Ted Rogers, líder de consultoría de ejecución de proyectos en UpperEdge. “¿Por qué? Dudan que un tercero se presente y realice una auditoría. En su lugar, el proveedor afirma que cumplen con el reglamento o le dice que no se preocupe de esto, porque si no cumplen, estarán en problemas por otras razones bajo el contrato, como un evento de irrupción”.

Una solución es evaluar críticamente la metodología de auditoría desarrollada por el proveedor de la nube. Rogers sugiere la siguiente alternativa: “Acceda a la documentación de auditoría del proveedor de la nube. Específicamente, busque si han realizado actualizaciones ahora que salieron a la luz las dificultades de Facebook con la privacidad de los datos. Algunos de estos proveedores de la nube dicen que son solo un procesador de datos. Afirman que no tocan los datos y no los regalan”. Eso simplemente plantea la pregunta: ¿cómo saber si el proveedor está cumpliendo su palabra?

Si un proveedor de servicios en la nube se resiste a otorgar derechos de auditoría a su empresa, todavía existen formas de mitigar este riesgo. Puede solicitar informes más sólidos y enfatizar los principales indicadores de riesgo. También puede pedirle a su departamento de auditoría interna que le brinde información durante las discusiones del contrato.

Repensar la evasión como una estrategia de mitigación de riesgos
Por último, la piratería y la seguridad no son los únicos riesgos a considerar. También existe el riesgo de quedarse atrás.

“Un riesgo comercial significativo para algunos de nuestros clientes menos maduros es no ser lo suficientemente agresivos a la hora de ir tras la transformación de la nube y los servicios. La nube no es solo una nueva tecnología: Ha cambiado el paradigma comercial y operativo de muchas industrias. Se trata de transformar el negocio para que sea más ágil y competitivo”, afirma Tony Buffomante, líder de los Servicios de Seguridad Cibernética de KPMG en Estados Unidos.

Además, pocas organizaciones tienen el presupuesto o la inclinación para construir centros de datos y desarrollar todo su software e infraestructura on-premises. De hecho, las empresas con una capacidad de TI más pequeña pueden beneficiarse de las capacidades de gestión de riesgos de los grandes proveedores de la nube.

“En nuestra experiencia, la capacidad de los proveedores en la nube a gran escala como Amazon, Microsoft y Google para proporcionar entornos de TI seguros opaca a la de las configuraciones de centros de datos personalizados u on-premises. Creemos firmemente que evitar la nube supondría un riesgo significativo para nuestro negocio”, afirma Keith Cerny, director de tecnología de ACL. “Nuestra experiencia directa ha sido que un entorno de nube bien estructurado afronta nuestros requisitos de seguridad, privacidad y disponibilidad en un nivel que no podríamos alcanzar a través de otros medios. En el 2016, cuando trasladamos nuestra sede a una nueva ubicación, nos dimos cuenta de la gran ventaja de no experimentar períodos de inactividad empresarial. Nuestros empleados pudieron trabajar de forma remota utilizando nuestros servicios en la nube, lo que la convierte en una transición perfecta”.

Bruce Harpham, CIO.com

Ordenado por: Nube Tags: 

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 1976 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB