Momento de asegurar la nube

Por: Diego Espitia*
Después de cinco meses donde el mundo empresarial realizo cambios inesperados en la forma como manejaba su información y como prestaban los servicios debido a la pandemia del Covid-19, el mundo empresarial debe empezar a plantear como va a ser la forma de trabajar en la era post-covid, no teniendo en cuenta únicamente el teletrabajo sino como modificar los procedimientos que estaban pensados para hacerse de manera presencial, cambiando la mentalidad de cómo sostener los negocios durante la pandemia, sino pensar qué se necesita cuando todo regrese a la normalidad.

Las empresas de tecnología más grandes del mundo ya anunciaron que sus trabajadores no volverán a sus oficinas hasta Julio del 2021 y en algunos casos han anunciado que algunos cargos se mantendrán de forma permanente como teletrabajadores. En una encuesta realizada por Forbes en Colombia, se calcula que cerca del 80% de los colombianos esperan que las labores empresariales continúen siendo remotas una vez se supere la emergencia sanitaria.

Al realizar un análisis de cuál es la tecnología que nos ha permitido continuar con la productividad empresarial durante una emergencia, se puede concluir que son los servicios en la nube (Cloud Computing) los que están soportado nuestros procesos, por lo tanto, es la tecnología que se requiere adaptar a las necesidades del negocio para en la época post-covid poder aprovechar en su máximo potencial.

Revisando las características más importantes que puede brindar la nube a la migración de los procesos empresariales encontramos la flexibilidad, disponibilidad, rendimiento y la escalabilidad, que son las que han permitido migrar acciones que cotidianamente eran presenciales a modelos virtuales con grandes beneficios, como lo son el poder tener reuniones con empleados, proveedores y clientes a través de servicios de videoconferencia, que el flujo de información se pueda gestionar de manera remota cumpliendo protocolos de seguridad sin importar la ubicación de los empleados o haber podido mantener a las empresas al día en sus obligaciones financieras y en el recaudo de sus ingresos con el uso de los sistemas de pago electrónicos, por solo mencionar algunas de las actividades laborales que hemos modificado en estos meses.

Por lo que es ahora el momento de que esos cambios que se generaron de forma no planeada, tengan un proceso de aseguramiento y de estabilización dentro de las funciones habituales de las organizaciones, para lo cual es indispensable tener claro que la seguridad de la información en la nube no se puede manejar de la misma forma que si estuviéramos dentro de las redes corporativas, pero si es posible usar lo aprendido en estas para llevarlo a los procesos de aseguramiento en la nube.

Lo primero que se tiene que tener en cuenta es que tipo de servicio en la nube tiene contratado, pues basado en que modelo sea es el porcentaje de su responsabilidad sobre el aseguramiento de la información y cuál es el porcentaje del proveedor del servicio. Lo que se explica claramente en la siguiente imagen.

Computing Security – Network Application Levels

Una vez se tiene definidas las responsabilidades se deben empezar a implementar las soluciones necesarias y suficientes que garanticen el cumplimiento de los estándares de seguridad y que se adapten a los establecidos por el proveedor de servicios. Para entender mejor esto, es mejor plantear un ejemplo práctico en un proceso de migración hacia la nube.

Cuando la empresa tiene todos los servicios implementados dentro de sus instalaciones o en un centro de datos (en modelo de colocación), tienen esquemas de monitoreo de los datos que se mueven dentro de la red de la empresa. Pero cuando los servicios se llevan a servicios en la nube este monitoreo debe persistir, pero modificando los objetivos del mismo, ya no validaran todo el comportamiento desde la red, sino validara desde cualquier conexión de Internet y solo enfocado en los datos.

Esto se logra con servicios de gestión de seguridad para nube, que aporten capas adicionales a las que ofrecen los proveedores o integradores de servicios en la nube, que adicionalmente permita poder tener un sistema integrado de gestión de seguridad sin importar en que proveedor de nube se encuentre la información.

Como pueden apreciar el proceso que deben tener en cuenta las empresas para la continuidad de los procesos en entornos virtualizados no es simple y requiere que los equipos técnicos estén bien acompañados y capacitados para no solo llevar la información a la nube, sino para adaptar o crear los procesos de ciberseguridad que se requiera para garantizar la disponibilidad, confiabilidad e integridad de los datos.

*Diego Samuel Espitia Montenegro
Chief Security Ambassador
ElevenPaths, Cibersecurity Company of Telefónica
@dsespitia

close
Comparte: