“Los directores de innovación (CIOs) deben asegurarse de que sus equipos de seguridad no están frenando las iniciativas en la nube con preocupaciones infundadas sobre la seguridad de la nube”, dice Jay Heiser, vicepresidente analista de Gartner. “Los temores exagerados pueden provocar la pérdida de oportunidades y un gasto inadecuado”.
Los directores de innovación (CIOs) deben cambiar su línea de planteamiento de “¿es la nube segura?” a “¿estoy usando la nube de forma segura?”. Utiliza estas recomendaciones para desarrollar una estrategia de nube y predicciones para el futuro de la seguridad de la nube con el objetivo de encontrar las respuestas apropiadas a esta pregunta.
Desarrollo de una estrategia de nube empresarial
En primer lugar, obtén el consenso del equipo directivo. Todos los miembros deben estar de acuerdo en que la computación en la nube se ha convertido en algo indispensable y que debe gobernarse mediante planificación y políticas adecuadas. Este es el paso más importante para garantizar los niveles adecuados de seguridad de la nube.
Las empresas que toman decisiones ejecutivas explícitas sobre su estrategia de nube están proporcionando mucha más orientación al negocio y a las TI. Una mayor orientación permite:
- Un mejor análisis de requisitos
- Una planificación arquitectónica más sofisticada
- Procesos de aceptación de riesgos más flexibles
La estrategia empresarial debe definir las expectativas de la empresa en cuanto a forma, importancia y control de la nube pública. Esto da a los directores de innovación (CIO) un evidente mandato para influir en el uso de las nubes públicas en nombre de las unidades de negocio. La estrategia también debe incluir orientación en cuanto a qué datos pueden colocarse en qué nube y en qué circunstancias.
Más información: 5 preguntas que hay que responder al crear una estrategia de nube
Aplicación de prácticas de gestión del riesgo para apoyar las decisiones sobre la nube
La protección de seguridad perfecta no existe. Aceptar algún riesgo es necesario para aprovechar los servicios en la nube pública, pero ignorar estos riesgos puede ser peligroso. Al formular una estrategia de computación en la nube, las empresas deben tomar decisiones calculadas sobre lo que harán y lo que no harán para reducir los riesgos de la nube, basándose en el presupuesto y el apetito de riesgo. Esto debería formar parte de la estrategia de nube internacional.
Un modelo de tratamiento de riesgos puede proporcionar una visión transparente de los niveles de riesgo de la nube, ayudando a los responsables de TI a tomar decisiones apropiadas sobre el uso de la nube. El modelo de riesgo para la nube pública debe basarse en cinco dominios:
- Agilidad: La capacidad del CSP para satisfacer necesidades futuras imprevistas
- Disponibilidad: Interrupciones del servicio y pérdida de datos
- Seguridad: Confidencialidad y control de datos
- Proveedor: Cambios en el modelo de negocio del proveedor de la nube o en su viabilidad
- Cumplimiento: Requisitos reglamentarios y otros requisitos legales
El empleo de estos dominios como estructura permite sopesar cuidadosamente los riesgos frente a los beneficios antes de presentar cualquier decisión sobre la nube. Esto ayudará a los directores de innovación (CIOs) a establecer expectativas con las demás partes del equipo directivo en torno a la seguridad de la nube. Aceptar los riesgos de la nube es una decisión empresarial legítima, pero solo si se hace de forma consciente, con una aceptación explícita de la responsabilidad.
Actúa en las predicciones sobre la nube.
Hasta 2025, el 90 % de las empresas que no controlen el uso de la nube pública compartirán datos sensibles de forma inapropiada.
Las estrategias de nube suelen ir por detrás del uso de la nube. Esto deja a la mayoría de las empresas con una gran cantidad de uso no sancionado, e incluso no reconocido, de la nube pública, y crea una exposición innecesaria al riesgo. Los directores de innovación (CIOs) deben desarrollar una estrategia de empresa integral antes de implantar la nube o de arriesgarse a las consecuencias de una nube pública incontrolada.
Hasta 2024, la mayoría de las empresas seguirán teniendo dificultades para medir adecuadamente los riesgos de seguridad de la nube.
Las preguntas sobre la seguridad de los servicios en la nube pública son válidas, pero sobrestimar los riesgos de la nube puede provocar la pérdida de oportunidades. Sin embargo, si bien las empresas tendían a sobrestimar el riesgo de la nube en el pasado, ha habido un cambio reciente: muchas empresas están ahora subestimando los riesgos de la nube. Esto puede resultar tan perjudicial, o más, que una sobreestimación del riesgo. Una estrategia de gestión del riesgo bien diseñada, alineada con la estrategia de nube internacional, puede ayudar a las empresas a determinar dónde tiene sentido el uso de la nube pública y qué medidas pueden tomarse para reducir la exposición al riesgo.
Hasta 2025, el 99 % de los errores de seguridad de la nube serán consecuencia de fallos del cliente.
Los directores de innovación (CIOs) pueden contrarrestar esta situación implementando y haciendo cumplir las políticas sobre responsabilidad, aceptación de riesgos y propiedad de la nube. También deben asegurarse de seguir un enfoque de ciclo de vida para la gobernanza de la nube y poner en marcha planes de gestión y supervisión centrales para cubrir la complejidad inherente al uso de la multinube.
Este artículo ha sido actualizado respecto al original, publicado el 23 de enero de 2017, para reflejar nuevos acontecimientos, condiciones o investigaciones.