BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Seguridad en la nube
Lo básico Póngase al día con nuestro contenido introductorio.

Cómo evitar problemas de seguridad en la computación en la nube

Permitir a los departamentos demasiada libertad puede crear problemas de seguridad para la computación en nube dentro de toda una empresa.

Un reciente artículo que escribí en las consideraciones de tercerización de software como servicio (SaaS) y servicios en la nube ha provocado algunas conversaciones interesantes, sobre todo en el ámbito de las cuestiones de seguridad en la computación en nube. Sin embargo, la mayor parte de esta discusión no ha tocado lo que veo a ser una de las mayores áreas de posibles vulnerabilidades: las brechas evitables que se abren conforme las iniciativas departamentales debilitan el imperativo de la empresa.

Claro, el control de acceso, el cifrado y las ramificaciones en la política y similares son todos críticos, ¿pero qué sucede cuando se da a las unidades de negocio (o asumen) el derecho y la capacidad de hacer sus propias cosas? Nada bueno, le puedo decir.

Un nuevo giro en un viejo cuento

El empujar/tirar entre los departamentos y la empresa es una antigua dinámica, pregúntele a cualquiera que haya sido la víctima (o vencedor) de una guerra política corporativa. En el frente de tecnología, sin embargo, ahora es más fácil que nunca crear problemas, ya que la tecnología electrónica es mucho más accesible de lo que nunca ha sido.

Hace cien años –ok, 20– implementar sistemas era lo suficientemente complejo y caro como para requerir la participación de profesionales de TI capacitados, por lo que las iniciativas independientes eran difíciles de lograr. Pero conforme los viejos modelos de tiempo compartido se  transformaron en SaaS y la nube, y los motores de búsqueda de los consumidores y los dispositivos inteligentes ganaron fuerza, la gente se fue poniendo cómoda con la idea de hacer las cosas por su cuenta. Por lo tanto, lo que antes era una actividad empresarial ahora con frecuencia se lleva a cabo a nivel departamental.

Dependiendo de cuál sea el enfoque, esto puede ser bueno o malo.

No deje que esto le pase a usted

El niño del cartel para este tema bien podría ser una organización cliente de Holly Group, que creció como una serie de operaciones independientes y finalmente se estableció bajo un mismo techo corporativo. Esto no es raro, y no es necesariamente malo, pero, en este caso, las unidades de negocio siguieron disfrutando de la libertad de pedir, adquirir y desplegar tecnología electrónica.

La buena noticia es que se ha implementado un gran número de aplicaciones de alta calidad que maravillosamente satisface las necesidades de cada departamento. La mala noticia es que estos sistemas no interoperan con los de los otros departamentos. Y las peores noticias son que los ejecutivos de línea de negocio continúan sintiéndose en libertad de hacer cosas como (esta es una historia real) poner sus archivos PST de Outlook en la nube para permitir el acceso más fácil al correo electrónico mientras viajan.

¡Caramba!

La prevaleciente falta de interoperabilidad que ha surgido ha dejado las personas cuyos trabajos les obligan a cruzar líneas departamentales (por ejemplo, oficiales de registros y cumplimiento) a  confiar en el teléfono y el correo electrónico como una forma de solicitar y recibir información necesaria. No hace falta mucha imaginación para prever los riesgos de seguridad asociados con esto –que van desde imitaciones por teléfono a un envío accidental de correo electrónico a una dirección incorrecta– y el cliente ahora está trabajando duro para habilitar al menos un nivel mínimo de acceso y auditabilidad en línea.

A pesar de lo malo que es esto, la cultura de independencia que todavía existe es mucho peor, porque las personas que crean los riesgos no saben que hay algo malo en lo que están haciendo. Después de todo, dicen, "siempre lo hemos hecho de esta manera" y, para ser justos, ¿cómo pueden saber que está mal si nadie les ha dicho? El resultado es que los repositorios de mensajes de correo electrónico confidenciales enviados a la nube y (como también he visto) los equipos usados aparecen registrados en eBay sin haber sido autorizados para su liberación.

Pero espere, hay más

Más allá de la seguridad básica, otros tipos de riesgos también pueden surgir de este tipo de comportamiento:

  • La existencia continuada de feudos organizacionales hace que sea casi imposible lograr o mantener una visión empresarial de cualquier cosa, incluyendo la gestión de licencias de software, la eficacia de procesos de negocio y las métricas de desempeño de la tecnología.
  • La continua fragmentación de la infraestructura de la organización hace que sea casi imposible  alcanzar cualquier tipo de economía de escala a la hora de orquestar múltiples servicios SaaS/nube y desarrollar las políticas necesarias que rigen su adquisición y uso.
  • El intercambio de información restringida hace que sea casi imposible responder eficientemente a las auditorías de cumplimiento o desarrollar cualquier tipo de inteligencia de negocios significativa, ramificaciones gemelas que pueden atacar directamente al corazón del éxito de su organización.

Mira hacia atrás, ángel

Esta pieza se ha centrado principalmente en el departamento frente a la dinámica empresarial, conforme se relaciona con los problemas de seguridad en la computación en nube. Pero sería negligente no señalar que la cuestión es en gran parte lo mismo cuando se habla también de su infraestructura interna. La gran diferencia es simplemente dónde se encuentran sus servidores: ¿Están bajo el mismo techo corporativo, detrás del mismo firewall corporativo, conectados por la misma red corporativa? ¿O están en diferentes lugares, a cargo de diferentes organizaciones, utilizando diferentes conexiones?

De cualquier manera, queda aconsejado de asegurarse de que sus departamentos no están trabajando con objetivos opuestos a su estrategia empresarial. Si es necesario, comience a trabajar para cambiar la cultura de los feudos de la federación, e instituya y explique las políticas corporativas para dejar en claro cómo y por qué los riesgos de seguridad de la nube antes descritos son tanto inaceptables, como evitables.

Próximos pasos

Lea más sobre la seguridad en la nube:

Conozca las amenazas más críticas de seguridad en la nube

El proceso de modelado de amenazas de seguridad para la nube

Mantenga a raya a los hackers con gobierno y seguridad de la nube

Investigue más sobre Cloud computing (Computación en la nube)

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close