Seguridad

8 pasos clave para una transición a la nube exitosa

Las nuevas tecnologías digitales están impulsando el cambio a un ritmo sin precedentes en todos los sectores. Para seguir siendo competitivas en este mundo tan cambiante, las organizaciones necesitan, sobre todo, velocidad y agilidad. Exactamente lo que prometen la infraestructura y los servicios basados en la nube.

Con sus economías de escala y sus precios flexibles basados en el uso, los servicios en la nube ofrecen acceso a tecnología de vanguardia con una escala global prácticamente ilimitada y sin la inversión de capital de una solución interna.

Sin embargo, aprovechar todo el potencial de la nube requiere cambios fundamentales, no sólo en la concepción, la prestación y el funcionamiento de los servicios de TI y OT, sino en la cultura y la estructura de toda la organización.

La ciberseguridad tiene un papel fundamental en esta transición: capacitar a la empresa para aprovechar esta oportunidad y garantizar que las propias ambiciones que impulsan la adopción de la nube no pongan en riesgo a toda la organización. Estar a la altura de este reto exige que los equipos de ciberseguridad realicen su propia transición a la nube. La tarea puede ser desalentadora, pero hay elementos clave que han demostrado ser esenciales para el éxito.

Abrazar la diversidad

La elección del entorno cloud preferido suele variar de un equipo a otro, en función de su familiaridad con plataformas específicas o de sus necesidades y objetivos particulares. Obligar a todos a utilizar una única opción seleccionada de forma centralizada, aunque sea más sencillo de gestionar, a menudo no es viable. Puede reducir la satisfacción del personal, requerir más tiempo para obtener resultados y limitar los beneficios potenciales que la empresa pretende conseguir con la nube.

Tiendo en cuenta que el 76% de las organizaciones que utilizan dos o más proveedores cloud, los equipos de ciberseguridad y de redes deben estar a la altura para apoyar a la empresa en este empeño proporcionando el mismo nivel de protección y conectividad necesario para asegurar e integrar una gama diversa de entornos cloud.

Estandarizar

La única manera de ofrecer esta protección consistente en plataformas cloud muy diferentes es a través de la estandarización. Al abstraer la seguridad del entorno subyacente, las organizaciones pueden garantizar que se obtenga la misma protección de nivel empresarial en una amplia gama de entornos. Esto proporciona a la empresa la libertad -y la confianza- de seleccionar la plataforma que desee.

Para los equipos, un marco de seguridad unificado y colaborativo simplifica su difícil tarea de ofrecer esta protección y obtener una profunda visibilidad en un panorama digital tan diverso y distribuido. Las operaciones son más sencillas, la entrega es más eficiente, la curva de aprendizaje es menor y la protección general aumenta. Si no se hace así, se corre el riesgo de tropezar con retos y barreras que pueden frenar la transición de la organización a la nube.

Adoptar prácticas DevOps

La integración de la seguridad en estos entornos ágiles de la nube exige que los equipos de seguridad y redes adopten prácticas, herramientas, cultura y mentalidad DevOps. La propia seguridad se convierte en código -algo llamado Infraestructura como Código (IaC)- o simplemente en un servicio que se consume. Se orquesta mediante herramientas DevOps, se valida en su propia canalización CI/CD (integración y distribución continuas), y se publica en los repositorios centrales para el acceso de todo el equipo.

Esta seguridad como código, o como servicio, debe ser autoservicio, flexible y modular. Debe integrar la ciberdefensa en tiempo real para mitigar proactivamente los riesgos -ya sea por ataques, vulnerabilidades o simples errores- y aprovechar la IA y el aprendizaje automático para minimizar la fricción. Fundamentalmente, los equipos de seguridad deben ofrecer la escala y la agilidad bajo demanda que son inherentes a un mundo DevOps. La automatización y las API son la clave.

La ventaja DevSecOps

Los equipos de seguridad y redes que dominan la nube y destacan en este mundo agile son capaces de ofrecer un verdadero valor empresarial a la organización. Un equipo integrado de Desarrollo, Seguridad y Operaciones (DevSecOps) aprovecha su experiencia multidisciplinar y alinea los objetivos para ofrecer mejores resultados empresariales más rápidamente, con menos riesgo y de forma más eficiente y eficaz.

Con la seguridad como elemento integral del entorno general -en cada etapa del ciclo de vida del software-, los riesgos se gestionan mejor y los diseños seguros se validan constantemente. Esto minimiza las sorpresas de última hora o los costosos rediseños a medida que el código pasa del desarrollo a las pruebas y a la implantación. Y como los entornos pueden diferir en las distintas etapas, un enfoque multiplataforma de la seguridad simplifica esta tarea. La abstracción y la automatización son de nuevo absolutamente vitales.

Invertir en la mejora de las competencias

Adaptarse a estas nuevas formas de trabajo, a los nuevos entornos y a las nuevas herramientas requiere que los propios individuos también se adapten. Ahora todo es código y cada entorno de nube es completamente único y propio. Los equipos deben entender cómo diseñar la seguridad en estos mundos, comprender los servicios y las diferentes opciones disponibles y decidir cuál es la mejor manera de utilizarlos. Esto se convierte en un reto aún mayor a medida que los equipos adoptan los microservicios.

Debemos aprovechar la experiencia del proveedor para acelerar este proceso. Estos tienen la experiencia de diseñar e integrar la seguridad en todos los diferentes entornos de nube para una amplia gama de escenarios de clientes. Sus diseños modulares probados proporcionan plantillas de referencia que pueden personalizarse y adaptarse para satisfacer cualquier necesidad específica. Muchos también proporcionan formación gratuita y pueden incluso ofrecer servicios profesionales y de consultoría cloud para ayudar a acelerar la transición de un equipo a la nube.

Aproveche al máximo la nube

Además de apoyar y asegurar la transición de otros equipos a la nube, los equipos de seguridad y redes también pueden beneficiarse de la nube para prestar sus propios servicios. A medida que se inician nuevos proyectos o se renuevan las soluciones de seguridad existentes, los equipos de seguridad y redes pueden aprovechar esta oportunidad para evaluar sus opciones del mismo modo que lo hacen sus colegas de aplicaciones.

Las preguntas son muy variadas: ¿Debemos construirla o simplemente consumirla como un servicio – Seguridad como Servicio (SecaaS)? Si lo construimos, ¿debe construirse en la nube o en las instalaciones? Si está en la nube, ¿en qué nube?  ¿Qué servicios en la nube podemos aprovechar para automatizar la gestión de riesgos, la defensa contra las amenazas y el cumplimiento de las normas?

La nube ofrece, por tanto, la oportunidad de transformar la forma en que se ofrece la seguridad y la conectividad

Crear un centro de excelencia en la nube

La transición a la nube no es una tarea sencilla. Exige que se disponga de las habilidades y la estructura adecuadas en toda la organización.  Requiere coordinación, alineación y acuerdo entre diversas funciones y equipos. Un Centro de Excelencia en la Nube (CCoE) es el enfoque de mejores prácticas para permitir esta transición.  

Este equipo multidisciplinar puede acelerar la adopción de la nube al reunir las habilidades y el talento clave capaces de ofrecer la estandarización y la automatización que son fundamentales para el éxito de la nube. No se trata de crear un equipo estático de expertos en tecnología. Se trata de una comunidad adaptativa de tecnología, finanzas, adquisiciones y partes interesadas del negocio que evoluciona en línea con las necesidades de la organización para lograr los objetivos empresariales de la nube y gestionar el riesgo.

Involucrar a la Junta Directiva

Realizar con éxito la transición a la nube exige nuevos procesos y estructuras organizativas, así como una importante actualización de la plantilla. El patrocinio ejecutivo es crucial. La buena noticia es que tanto la nube como la ciberseguridad son ahora temas clave en los consejos de administración. Esto crea una oportunidad que los profesionales de la ciberseguridad con conocimientos empresariales pueden aprovechar.

Para ello, es necesario aprender a comprometerse y comunicarse con los ejecutivos utilizando un lenguaje empresarial. Ser capaz de articular claramente el valor empresarial que la ciberseguridad y las nuevas estructuras ofrecen a la organización en términos de tiempo de valor, ventaja competitiva, valoración del negocio, riesgo gestionado y cumplimiento de la normativa. Esto puede resultar muy valioso a la hora de cambiar el papel que la seguridad desempeña dentro de la empresa y obtener apoyo para las iniciativas clave.

Cuando se lleva a cabo con éxito, la transición a la nube aporta velocidad, agilidad y servicios de vanguardia que preparan a la organización para el éxito digital. Para los equipos de ciberseguridad y redes, representa una oportunidad para transformar su papel dentro de la organización y posicionarse como facilitadores críticos de este éxito continuo.

La entrada 8 pasos clave para una transición a la nube exitosa aparece primero en Globb Security.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.