bluebay2014 - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Entorno de TI híbrido requiere ciberseguridad híbrida

A medida que más organizaciones recurren a una combinación de sistemas basados ​​en la nube y locales, proteger los datos en un entorno de TI híbrido requiere una nueva mirada a la estrategia de ciberseguridad.

El auge de los entornos híbridos de TI, con su combinación de servicios basados ​​en la nube y locales, ha creado nuevos dolores de cabeza de seguridad para los ejecutivos.

Esto se debe a que los líderes tecnológicos y de seguridad deben enfrentarse no solo a las amenazas a sistemas basados ​​en la nube y locales, sino también a las vulnerabilidades que surgen cuando las organizaciones los utilizan juntos en el entorno híbrido de TI, dijeron expertos en seguridad.

"A medida que la complejidad se expande, ya que hay cada vez más ambientes diferentes en juego –y tenga en cuenta que estas cosas tienden a proliferar– más complejas se vuelven las operaciones y la gestión y la seguridad", dijo Ed Moyle, director de negocios emergentes y tecnología en ISACA, una asociación independiente, sin fines de lucro, global para los profesionales de gobernanza de TI.

Moyle y varios otros expertos en seguridad fueron claros: un entorno de TI híbrido requiere un programa de seguridad cibernética que ofrezca estrategias sólidas para sus componentes locales, así como maneras de proteger sus iniciativas en la nube.

Si hay algún consuelo para esta nueva dificultad en la planificación de la seguridad y el protocolo, es que la mayoría de las organizaciones son conscientes de los desafíos. Un informe reciente de la firma de software SolarWinds encontró que el 69% de los profesionales de TI dijeron que sus organizaciones usan hasta tres entornos de proveedores en la nube.

El reporte "Informe de tendencias de TI: Retrato de un entorno de TI híbrido", también encontró que el 62% de los encuestados de América del Norte dijo que el aumento de la complejidad de la infraestructura es un desafío, mientras que el 47% dijo que la "falta de control y visibilidad en la seguridad de la infraestructura basada en la nube" crea complicaciones.

El mismo informe, sin embargo, encontró que solo el 39% de los encuestados de América del Norte informó que sus organizaciones incluyen la seguridad en su estrategia de desarrollo de TI híbrida.

Responsabilidades compartidas y consistentes

Scott Laliberte, director general de la práctica global de seguridad de la información en la firma de consultoría Protiviti, dijo que los líderes de TI de la empresa deberían comenzar reconociendo que un entorno de TI híbrido requiere una división de responsabilidades de seguridad que no está presente en un escenario completamente local o puramente de nube.

"Ustedes tienen responsabilidades compartidas, tienen responsabilidades manejadas por los proveedores de la nube y [responsabilidades manejadas por] la propia organización; tal vez también algunos con los proveedores de aplicaciones de terceros", explicó.

En los contratos con los proveedores, depende de la empresa articular exactamente qué trabajo de seguridad absorberán los proveedores y qué recogerá la empresa, dijo Laliberte.

Muchas organizaciones de TI, en particular en las pequeñas y medianas empresas, no están dando este paso, dijo Richard White, autor de Cibercrimen: La Locura detrás de los Métodos.

"Ellos saltan con ambos pies y apenas tienen idea de que van a perder el control directo y la visibilidad de sus datos", dijo White, quien también es responsable del programa de seguridad cibernética y garantía de información en la University College de la Universidad de Maryland, y director gerente de Oxford Solutions.

"Ellos no entienden qué responsabilidades están en el nivel de nube o en los acuerdos de nivel de servicio. Dónde yace ese alcance de responsabilidad es muy ambiguo".

Dividir las responsabilidades de seguridad y documentar quién hace qué es solo una parte de lo que se necesita, dijeron expertos. El área de TI empresarial también debe especificar cómo van a supervisar y gestionar esas responsabilidades duales, y asegurarse de que ambas partes cumplan con estas responsabilidades.

"Es realmente comprender quién es responsable de cada pieza, y cuál es la debida diligencia que puede hacer sobre esos controles que no están en el control directo de la organización, y cómo obtener evidencia de cumplimiento", dijo Laliberte.

Una gran parte de la lucha para muchas organizaciones de TI es mantener políticas de seguridad consistentes en ambas partes de su entorno híbrido de TI, dijo un experto. Por ejemplo, herramientas tales como capacidades de prevención de fugas de datos y análisis de comportamiento del usuario final deben aplicarse e imponerse donde sea necesario, independientemente de dónde residan la aplicación y la infraestructura.

Laliberte dijo que los corredores de seguridad de acceso a la nube, o CASB, son útiles en esta área. Un CASB es una herramienta o servicio de software que se encuentra entre la infraestructura local de una organización y sus proveedores de nube, trabajando para asegurar que el tráfico que se mueve entre los dos puntos cumple con las políticas de seguridad establecidas.

Pero mientras que los CASB pueden ser útiles para crear consistencia en el monitoreo y métricas, no son remedios para todo. "Tiene contras. Puede ser otro punto de fracaso, y algunos pueden crear resiliencia potencial y otros problemas de seguridad", explicó Laliberté.

Más motivación para el buen gobierno

Los entornos de TI híbridos también requieren a menudo pasos de seguridad adicionales que un entorno puramente local o incluso una configuración solo de nube no necesitan.

Las organizaciones podrían tener que cifrar los datos que están en tránsito a medida que se mueven entre las instalaciones y la nube, donde tal vez no necesite hacerlo si permanece siempre en un entorno, señalaron los expertos. Además, un entorno híbrido añade consideraciones adicionales cuando se utiliza el cifrado en general.

"Algo que se pasa por alto es la gestión de las claves de cifrado", dijo Laliberte. "A menudo, eso es hecho por el proveedor de la nube y la organización no tiene control sobre eso. Lo mismo ocurre con la encriptación: el proveedor a menudo tiene control sobre el cifrado".

El riesgo de consecuencias no deseadas también se agrava en un entorno híbrido, con actualizaciones en un proceso que potencialmente afectan la seguridad en otros lugares, dijo Moyle.

Las complejidades adicionales de un entorno de TI híbrido también aumentan la necesidad de una gobernanza fuerte, de acuerdo con los líderes de ciberseguridad. Además, la gobernanza debe ser unificada; las organizaciones no deberían tener dos operaciones de gobernanza completamente separadas: una para las instalaciones y otra para la nube.

"La seguridad es bastante difícil. ¿Por qué hacerla más difícil teniendo dos políticas?", dijo Laliberte.

Otros coincidieron, diciendo que debido a que muchos detalles necesitan ser articulados, asignados y monitoreados, no se puede hacer bien sin una vigilancia diligente y dinámica. El aspecto de gobernabilidad, sin embargo, sigue siendo confuso para la gente, dijo Shawn Connors, socio de la firma de servicios profesionales de PwC.

"Los aspectos técnicos –cómo conectar todo junto– son bien entendidos. No tanto la aplicación de políticas y estándares y la comprensión de los roles y responsabilidades", dijo Connors. "Si tengo que hacer X, Y, Z de una política de gobernanza, necesito entender lo que es y escribirlo en mi contrato con los proveedores de nube y prescribir estándares. Eso todavía parece ser una pesadilla allí afuera".

Este artículo se actualizó por última vez en octubre 2017

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close