fbpx

Corporación Universitaria Empresarial de Salamanca

Preguntas críticas para responder durante el desarrollo de una estrategia de gestión de riesgo en la nube

Muchas organizaciones afirman tener una estrategia de nube. Pero, cuando se le pregunta a sus ejecutivos cuál es la estrategia, simplemente dicen: “Bueno, estamos en la nube”.

Desafortunadamente, llegar a la nube no es una estrategia, especialmente cuando se trata de proteger los ciberactivos que se están migrando allí.

Existe un vínculo entre la seguridad y tener un plan. Al igual que ahorrar para la universidad o para comprar una casa, se debe adoptar un enfoque estratégico y estructurado para garantizar el éxito. Sin esto, las organizaciones que utilizan la nube atraen un riesgo máximo, en lugar de gestionar eficazmente el riesgo.

Estamos entrando en un momento crítico para esto: para el próximo año la mitad de las organizaciones ejecutarán más del 40% de sus cargas de trabajo en la nube pública y casi un tercio ejecutará más del 60% de sus cargas de trabajo allí, según una encuesta de Cloud Security Alliance (CSA).

Agende una demostración.

Además, estas organizaciones están adoptando arquitecturas de nube cada vez más complejas, con un 66% que se compromete con un entorno de múltiples nubes (y un 35% que utiliza al menos tres proveedores de plataformas de nube) y un 55% que opera en un entorno de nube híbrida.

Sin embargo, entre las que adoptan plataformas de nube, la seguridad sigue siendo la principal preocupación, según señaló un 81% de los participantes en la encuesta de CSA, donde la filtración de datos sensibles al cliente/personal, el acceso no autorizado, la infiltración en áreas de red sensibles y la corrupción de datos inquietan a los departamentos de TI en estos días.

Para responder mejor a estos y a otros riesgos basados en la nube, estas son algunas de las preguntas que las organizaciones deben responder al desarrollar una estrategia de gestión de riesgo en la nube, y por qué son importantes las preguntas.

¿Qué departamentos de su organización están utilizando la nube? ¿Cómo la están utilizando?

Por qué esto es importante: A medida que las organizaciones adoptan despliegues híbridos y de múltiples nubes, existe un aumento exponencial en la complejidad de mantener la seguridad y garantizar el cumplimiento y la gobernanza. Para gestionar entornos en los que las cargas de trabajo están tanto en instalaciones como en entornos en la nube, es imperativo comprender quién está utilizando la nube y qué tipos de cargas de trabajo están llevando ahí. Sin embargo, muchas organizaciones consideran esto problemático, ya que las cargas de trabajo pueden ser dinámicas y algunas unidades de negocio que utilizan la nube pueden hacerlo sin aprobación o tener requisitos que cambian rápidamente y, por lo tanto, son difíciles de rastrear.

Para enfrentar esto, los directores de seguridad de la información (CISO, por su sigla en inglés) y sus equipos deben invertir en herramientas modernas de seguridad y cumplimiento que les permitan obtener automáticamente una visibilidad integral de lo que se está moviendo hacia la nube, cómo está cambiando y cómo pueden estar sujetas a las últimas vulnerabilidades y amenazas.

¿Quién supervisa la adquisición y utilización de la nube en estos departamentos?

Por qué esto es importante: las empresas que están experimentando una transformación digital y adoptando una estrategia de nube híbrida enfrentan el desafío excepcional de proteger una superficie de ataque cada vez mayor, así como mantener el cumplimiento con los requisitos regulatorios y de la industria. La naturaleza dinámica y de autoaprovisionamiento de los entornos de la nube privada y pública de hoy en día crea desafíos por la TI paralela que pueden conducir a riesgos cibernéticos y de cumplimiento.

Los CISO deben trabajar estrechamente con los líderes ejecutivos y de negocios de la alta dirección para evaluar quién liderará la transformación digital y quién supervisará la implementación diaria de ella. En algunas organizaciones, esto podría recaer en el director de informática o el director digital. En ambos casos, la seguridad en la nube es una responsabilidad compartida. Los CISO deben ayudar a fomentar una cultura que crea en esto, y que lo ponga en práctica.

¿Cuáles son los deberes esenciales de gestión de riesgo? ¿Cómo se desglosan y quién hace qué?

Por qué esto es importante: es fundamental incluir todos los “ingredientes” de la gestión de riesgo cibernético y de cumplimiento para la nube híbrida. Estos incluyen la gestión de vulnerabilidad, seguridad y operaciones, auditoría interna, gobernanza/cumplimiento y gestión de configuración. Un CISO debe establecer equipos especializados de operaciones de seguridad y de analistas, auditores internos y equipos de cumplimiento y gobernanza para cubrir estas áreas.

¿Cómo puede garantizar que la estrategia de gestión de riesgo de nube se ejecute apropiadamente, tanto a nivel de departamentos como a nivel de toda la empresa?

Por qué esto es importante: la alta dirección debe participar en las deliberaciones actuales y desarrollo de estrategias de gestión de riesgo, especialmente cuando se trata de un entorno híbrido de múltiples nubes. Las empresas también deben implementar un enfoque común basado en el Marco de gestión de riesgo para que todos los usuarios trabajen bajo un marco común para evaluar la efectividad de la estrategia de gestión de riesgo con métricas comunes.

Para mantener a los ejecutivos de la alta dirección y líderes de negocios informados y comprometidos en beneficio de una seguridad y cumplimiento óptimos, los CISO y sus equipos deben proporcionar métricas en tiempo real con un monitoreo continuo para la gestión de ciberseguridad y del cumplimiento, proporcionando tableros de control de nivel ejecutivo que reflejen la postura general de riesgo de cumplimiento y riesgo cibernético en toda la nube múltiple híbrida.

Queda claro que la migración de la nube no es estrictamente un “tema individual de un departamento”. No es estrictamente un tema de TI o un tema de los CISO, ni tampoco un tema de la alta dirección. Es una maniobra crítica que exige la contribución y participación constante de todos estos componentes de la organización.

Cuando todos se unen para determinar quién está migrando qué, y donde, junto con la asignación de roles relacionados con la inversión/supervisión de la nube, la seguridad, un marco común de gestión de riesgo y de gobernanza/cumplimiento, ya no están “volando a ciegas” en su búsqueda hacia la transformación digital. En cambio, están procediendo estratégicamente para maximizar el valor de la nube al tiempo que minimizan su riesgo, un plan exitoso y duradero.

Este artículo fue escrito por Kaus Phaltankar para Gestión de información y con licencia concedida a Bloomberg. Este artículo se publicó originalmente el 11 de febrero de 2020.

The post Preguntas críticas para responder durante el desarrollo de una estrategia de gestión de riesgo en la nube appeared first on Servicio Bloomberg Professional.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *