Trasladar el entorno de TI de una empresa a la nube es un desafío con múltiples dimensiones. Es un proceso que afecta, por un lado, a la infraestructura, las plataformas, las aplicaciones y los procesos y, por otro, a las prácticas organizacionales, culturales y laborales de la compañía. Es, probablemente, el mayor cambio transformacional al que pueda enfrentarse una organización.
La nube permite colaborar de manera más eficaz, crear productos y servicios más personalizados y ser mucho más ágil. La migración puede transformar todos los aspectos de las operaciones y reducir los gastos fijos, aunque es posible que estos beneficios no se materialicen inmediatamente.
Todos estos factores resultan en importantes ventajas competitivas, pero para poder disfrutarlas es necesario contar con un sistema de defensa eficiente. Las operaciones de seguridad, al igual que todas las demás, requieren de un enfoque nuevo cuando se trasladan a la nube. Veamos a qué se debe.
De la seguridad perimetral a la confianza cero
Al pasar de un modelo de negocio centrado en las operaciones internas a otro que es esencialmente colaborativo, no se puede seguir confiando en procesos que solo protejan el perímetro local de la organización. Este enfoque tradicional, donde los sistemas internos se escudan tras altos muros (con seguridad física y lógica) inaccesibles para el exterior, no sirve en un mundo donde la colaboración ha pasado a ser la forma habitual de trabajar. En el nuevo entorno es necesario adoptar un enfoque de seguridad basado en transacciones, en el que los datos, sistemas y procesos se compartan con los socios y clientes únicamente en determinadas condiciones.
Esta es la razón por la que las empresas en la nube utilizan una estrategia de seguridad de confianza cero.
La confianza cero es lo contrario de la seguridad perimetral. Es un nuevo planteamiento donde nada se da por sentado y todas las comunicaciones, transacciones e interacciones se tratan como acciones individuales e independientes que deben protegerse de principio a fin. En el ámbito de la seguridad, la nube ha supuesto un cambio radical en las reglas del juego.
Ahora hay empresas de todo tipo que utilizan plataformas de desarrollo conjunto para crear, probar y lanzar rápidamente servicios y productos, en procesos donde participan equipos de varios partners cuyos miembros pueden estar en cualquier rincón del mundo. También es común que los clientes finales puedan definir sus propios servicios, para así permitir configuraciones rápidas e individualizadas, y es frecuente que ambas partes utilicen herramientas automatizadas en los procesos de contratación.
Estos son solo algunos ejemplos de la capacidad de la nube para agilizar el trabajo, pero a pesar de sus muchas prestaciones, hay una desventaja innegable: nunca es posible proteger un entorno al 100 %. Aun así, para acercarse lo más posible a este objetivo, hay que crear vías seguras para el acceso de los usuarios y el desarrollo de los servicios. Todas ellas deben contar con una defensa profunda, alertas tempranas de amenazas y respuesta continuada.
Partners expertos en seguridad en la nube
La confianza cero es ahora la base de la ciberseguridad para todas las actividades en la nube. Pero implementar estrategias de este tipo no es sencillo y requiere un alto grado de especialización, algo que no todo el mundo está en condiciones de ofrecer. Para optimizar la seguridad, es imperativo contar con partners que cumplan con requisitos como los siguientes.
- Capacidades múltiples. Para que una estrategia de seguridad basada en la nube sea eficiente, es necesario dominar todos los elementos del futuro modelo de negocio: infraestructuras, plataformas, procesos, software, diseño y transformación. Sin embargo, la mayoría de las empresas de consultoría e integración de sistemas solo son especialistas en ciertas áreas, no en todas. Puede que sean expertas en IaaS o PaaS, por ejemplo, pero que no dominen el SaaS o las redes. En NTT DATA trabajamos con todos los elementos del entorno de red inteligente en la nube, algo de vital importancia.
- Proyectos integrales. La migración es un proceso de transformación que requiere apoyo de principio a fin, desde el modelo actual hasta el futuro. Para garantizar una transición segura y fluida al nuevo espacio virtual, las empresas necesitan acompañamiento en todas las etapas, incluso en la creación de la “zona de aterrizaje” inicial. Hay pocos partners tecnológicos a nivel global que cuenten con las capacidades y la envergadura suficientes para prestar apoyo a lo largo de todo del proceso y el ciclo de vida del proyecto. NTT DATA es uno de ellos.
- Planteamiento DevSecOps. Un factor clave para monetizar la migración a la nube es poder trabajar en proyectos colaborativos de desarrollo en ella. Para que este proceso sea seguro, es necesario pasar de un planteamiento de DevOps (o de operaciones de desarrollo, algo que muchas empresas encuentran ya difícil) a uno de DevSecOps, donde la seguridad es un componente básico. Esto significa crear un entorno seguro desde cero, normalmente trabajando con proveedores de nube a hiperescala como Microsoft Azure. NTT DATA es uno de los pocos integradores de sistemas con capacidad para ayudar a las organizaciones a empezar desde cero (lo que se conoce como enfoque clean slate) y pasar a un entorno de desarrollo completamente seguro, de manera eficiente y sin concesiones.
- Integración. Por último, la seguridad en la nube requiere la interacción y coordinación de todos los componentes tecnológicos y de los procesos en entornos online complejos de gran tamaño. Para ello, es necesario contar con servicios de consultoría del más alto nivel como los que NTT DATA proporciona habitualmente a las grandes empresas globales más exigentes.
En el proyecto de migración de una empresa alemana del sector de la automoción, implementamos una innovadora solución de seguridad basada en una estrategia de confianza cero, para la que creamos un diseño personalizado que permite gestionar cualquier recurso, dato o activo de la nube en todo momento y en todos los procesos. Por su alcance, envergadura y complejidad, este ejemplo pone de manifiesto las exigencias propias de la seguridad en la nube.
Buenas prácticas
En un entorno en constante cambio, el trabajo de NTT DATA consiste en crear soluciones optimizadas para las operaciones en la nube, con el objetivo de facilitar procesos ágiles y colaborativos que cumplan con todas las exigencias de las normativas en vigor:
- Identificación, para saber qué activos deben protegerse, dónde se encuentran y cómo se gestionan los accesos.
- Protección, que proporciona defensas eficientes para los activos e interacciones a distintos niveles, frenando los ataques y eliminándolos antes de que se produzcan problemas.
- Detección, que permite la identificación temprana de posibles ataques o fallos de seguridad, incluso de los que están cuidadosamente encubiertos y pueden escapar a las primeras medidas de seguridad.
- Respuesta, para una rápida movilización de recursos cuando se intenta penetrar las defensas, con alertas inmediatas y comunicación fluida en todas las etapas.
- Recuperación, con la eliminación sistemática de todas las amenazas una vez que se ha rechazado el ataque y el aprendizaje de medidas a implementar de cara a infracciones similares.
En NTT DATA aplicamos un enfoque de defensa en profundidad que garantiza que nunca se dependa de un único punto de fallo, y ofrecemos soluciones que tienen en cuenta todos los factores humanos, culturales y organizacionales relevantes. Además, aplicamos un planteamiento de confianza cero de principio a fin, que abarca todo el ámbito de actuación y el ciclo de vida del entorno empresarial, por extenso que sea. NTT DATA ofrece servicios de:
- Consultoría. Asesoramiento en todos los aspectos de gestión de la seguridad, incluida una evaluación integral del estado actual del entorno, para llegar a un acuerdo sobre los objetivos del proyecto y recomendar buenas prácticas.
- Diseño e implementación. Diseño de planes al detalle para los entornos de seguridad y desarrollo e implementación de los mismos, tanto en nubes de hiperescala como en infraestructuras híbridas.
- Servicios gestionados. Atendemos todo tipo de necesidades especializadas, desde análisis forenses, respuesta a incidentes y gestión de redes de confianza cero hasta la administración de identidades digitales de confianza o la seguridad de las aplicaciones de
El entorno de la nube y las amenazas que este presenta cambian constantemente, y nuestra respuesta debe evolucionar al mismo paso. Por eso, trabajar con expertos de experiencia demostrada es la mejor forma de proteger las operaciones de la empresa y garantizar su eficiencia, agilidad y capacidad de colaboración sin incurrir en riesgos innecesarios.
La seguridad en la nube depende de la tecnología, las personas, los controles y los accesos, pero también de no bajar la guardia en ningún momento. NTT DATA se compromete a hacer de la nube inteligente en red un entorno seguro donde las empresas del siglo XXI puedan trabajar, hacer negocios y prosperar. Con nuestras soluciones de seguridad, podrás llevar tu empresa a la nube y, con ello, al éxito