Pocas empresas a día de hoy no tienen alguna aplicación, servicio o herramienta en la nube. El cloud ha inundado nuestras vidas mostrándose como una alternativa para democratizar la tecnología en las pequeñas empresas pero también como un reto a la hora de trazar a la estrategia de seguridad cloud. En esto último es donde, como partners, podemos ofrecer todo nuestro valor.
Los datos corporativos se encuentran en constante movimiento entre múltiples servicios, alojados en jurisdicciones geográficas dispares, siendo utilizados y analizados por numerosas partes, tanto dentro de la organización como entre los socios, e incluso potencialmente informando a terceros. Situaciones ya comunes en las compañías que necesitan unos pasos para que estén controlados.
Según desgranan desde Netskope, las empresas invierten aproximadamente cuatro días en verificar un servicio cloud, por lo que una compañía que de media utilice más de 1.200 aplicaciones en la nube, destinaría 13 años -en horas/hombre- en evaluarlas y crear manualmente una lista negra o blanca. Y este cálculo no tiene en cuenta el hecho de que un proveedor de servicios cloud puede, de la noche a la mañana, cambiar los protocolos de seguridad.
Ya no es realista esperar que los equipos internos puedan seguir el ritmo de las evaluaciones de seguridad. Las tecnologías actuales de protección de datos deben combinarse con el conocimiento de las amenazas. La Cloud Security Alliance (CSA) emite criterios objetivos para la evaluación de la seguridad de las aplicaciones y servicios en la nube.
Sin embargo, hay ciertos permisos y acciones que deben continuar activándose de forma manual para que, por ejemplo, se pueda saber que los responsables del departamento de recursos humanos pueden acceder y modificar las nóminas de todos los trabajadores desde la herramienta de gestión, pero no el resto de empleados.
De ahí que sea necesario trazar un plan de acción ofreciendo diferentes grados de seguridad a diferentes aplicativos en la nube. Un proceso que necesita conocer bien la compañía y sus procesos.
El acceso remoto y móvil es algo que los profesionales de TI han tenido que afrontar recientemente, pero los servicios en la nube añaden otro nivel. El 50% del acceso a los servicios cloud proviene actualmente de dispositivos móviles, por lo que muchas organizaciones pueden decidir abordar diferentes políticas de seguridad en la nube para dispositivos corporativos frente a dispositivos personales, o conexiones de red o ubicación IP.
Cada empresa tendrá diferentes niveles de comodidad y, aunque los modelos de mejores prácticas pueden ser útiles, una vez empiecen a ser implementados, los sistemas de protección de datos deberán conocer y responder a algo más que a las categorías de personas y datos.
Los riesgos y la seguridad de los servicios cloud van mucho más allá de los servicios SaaS, que se introducen en las organizaciones como si fueran Shadow TI. Realmente, el uso de soluciones IaaS como Amazon Web Services, Google Cloud Platform o Microsoft Azure se está disparando lo que promueve nuevos desafíos.
A la luz de este impulso, ya no tiene sentido gestionar políticas de protección de datos individualmente para cada IaaS, PaaS o incluso administrar las políticas de SaaS y Web por separado. Lo inteligente es contar con una estrategia de protección de datos que permita que una organización diseñe políticas granulares a nivel de usuario, dispositivo o actividad y que puedan aplicarse y gestionarse fácilmente en todas las plataformas.