nobeastsofierce - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Director de seguridad de SAP habla sobre tendencias de nube y seguridad

Los problemas de seguridad siguen siendo una de las principales preocupaciones al trasladarse a la nube. El CSO de SAP, Justin Somaini, destaca las preguntas que deben formularse a los proveedores de la nube para asegurarse de que los datos de la empresa estén protegidos.

En su papel como director de seguridad de SAP, Justin Somaini dijo que lo más importante de su agenda era "impulsar un modelo de seguridad avanzado que se adapta a las diversas tecnologías que tenemos, que en última instancia asegura a nuestros clientes, ya sea en los locales o en la nube". Para llegar allí, Somaini dijo que cuando se les pregunta a los proveedores de la nube sobre sus estándares de seguridad, las empresas no deberían rehuir de tener una discusión sobre una estrategia de salida si las cosas no funcionan.

Durante una conversación reciente, el jefe de seguridad de SAP destacó otras preguntas clave que deberían surgir durante esas conversaciones con los proveedores de la nube, que dijo que también deberían incluir conversaciones sobre cómo el proveedor asegurará la cadena de suministro. En esta sesión de preguntas y respuestas, también analiza cómo la industria de la seguridad está experimentando una transformación significativa impulsada por el desarrollo ágil y la transformación digital.

Nota del editor: La siguiente entrevista ha sido editada para mayor claridad y duración.

¿Cuáles son algunas de las preguntas relacionadas con la seguridad que las empresas deberían hacerle a sus proveedores de servicios en la nube?

Justin Somaini: El primero es realmente acerca de la cadena de suministro: ¿Cuál es la cadena de suministro? ¿Usa proveedores externos? ¿Cómo los evalúa y cuáles son los modelos de evaluación de estándares de la industria? ¿Es NIST u [Organización Internacional de Normalización] u otros?

Justin Somaini, SAP.

En segundo lugar, creo en la transparencia y le pido a ese proveedor de la nube: ‘Oye, queremos, para nuestra comodidad, comprender tu modelo de seguridad y cómo lo conduces, más allá de los estándares’. ¿Cuál es la arquitectura? ¿Cómo se procesan los datos? Creo que los proveedores de la nube son una extensión de sus clientes y necesitan actuar en consecuencia. Ser muy transparente y muy abierto con respecto a la seguridad es de importancia crítica para mí, y es por eso que esa sería la segunda pregunta.

En tercer lugar, que es un poco táctico, no es la inscripción en el servicio, sino qué pasa si la empresa toma la decisión de que quiere mudarse. ¿Cómo se mudan? ¿Qué tan difícil es recuperar sus datos y migrarlos a otro servicio?

¿Se puede usar el enfoque DevSecOps para proteger la nube?

Somaini: Esta es probablemente una nueva conversación para la industria de la seguridad. Debe asegurarse de que los equipos de desarrollo sean increíblemente conscientes de la seguridad, estén facultados y habilitados. Más importante aún, y de manera más realista, asegúrese de que las personas de seguridad estén integradas y tal vez incluso informen a los propios equipos de desarrollo.

Lo que va más allá es que el individuo de seguridad realmente está codificando soluciones o arreglando vulnerabilidades; son parte operacional del equipo de desarrollo, lo que le da a la función de seguridad una agilidad increíble, una flexibilidad increíble para poder resolver problemas de manera inmediata y no utilizar una hoja de ruta de seis meses de un plan, por ejemplo.

¿Cuáles son algunas de las tendencias de seguridad que está viendo?

Somaini: En primer lugar, estamos atravesando una gran transformación en la industria de seguridad que ha sido impulsada por el desarrollo ágil y la transformación digital en general. Lo que está sucediendo ahora es que los equipos de seguridad se están transformando desde lo que yo llamo gobernanza y asesoramiento, y gobernanza y estándares, hacia gobernanza y entrega de productos.

Usted está viendo que los equipos de seguridad tienen más desarrolladores que nunca, creando análisis criptográficos, de registro y este tipo de funciones para que el resto del negocio los pueda consumir y poseer. Esto es para impulsar la agilidad. Esto es para impulsar un mayor nivel de seguridad, para impulsar la escalabilidad en toda la empresa, y ese es un servicio organizacional significativo, así como el cambio del conjunto de habilidades en nuestros equipos.

Más allá de eso, creo que la seguridad siempre ha estado ligada al uso técnico subyacente o las olas técnicas que vemos; la contenedorización es la última.

Este artículo se actualizó por última vez en agosto 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close