5 REVELACIONES DE SEGURIDAD EN LA NUBE DESDE 2017

Y ejemplos de qué están haciendo al respecto los proveedores cloud, SaaS, almacenamiento e interconexión.

Larry Hughes, Arquitecto Principal de Seguridad Cloud en Equinix

La seguridad en la nube siempre ha sido un tema candente entre las empresas, y con más del 90 % de las compañías utilizando algún tipo servicio en la nube pública, el debate entre los profesionales de seguridad sigue vigente. La seguridad en el entorno cloud tanto privado y público es una tecnología en evolución, y nos gustaría cubrir algunas de las principales revelaciones que hemos visto en el sector en 2017.

Revelación 1: la nube es más inteligente y más segura que tu data center

A pesar de los fallos más sonados en seguridad cibernética empresarial en 2017, las principales plataformas de nube pública mostraron una capacidad prometedora para mantener la seguridad en las aplicaciones y los datos empresariales. La inteligencia artificial y el machine learning constituyen el núcleo de muchas de las nuevas funcionalidades que los principales proveedores de servicios en la nube están utilizando para ofrecer a sus clientes un servicio de seguridad más intuitivo y dinámico. Por ejemplo, en su última conferencia AWS re:Invent, Amazon Web Services (AWS) anunció funcionalidades de seguridad que aprovechan la inteligencia artificial para identificar direcciones IP maliciosas y detectar anomalías. También utilizan el machine learning para identificar actividades o comportamientos que evidencian amenazas, como por ejemplo un agente perjudicial que escanea servidores web en busca de vulnerabilidades conocidas de aplicaciones. La inteligencia artificial y el machine learning continúan desempeñando un papel importante en la seguridad cibernética en la nube, por ello nosotros apostamos por trabajar con múltiples proveedores de servicios en la nube para implementar interconexión directa y segura para comunicaciones de máquina a máquina (M2M) y e impulsar sus interacciones con los usuarios del sistema de seguridad a través de nuestra ECX Fabric.

Revelación 2: hay seguridad en los números –  gestión de claves de identidad en entornos híbridos y multicloud

La mayoría de los proveedores de servicios en la nube ofrecen soluciones de gestión de claves de identidad a sus clientes para ayudarles a administrar el acceso a aplicaciones y datos dentro de una única solución en la nube. Sin embargo, el creciente número de infraestructuras híbridas y multicloud empresariales ha creado un requisito de soluciones de gestión de claves que ofrezcen cobertura en múltiples nubes y/o infraestructuras locales. En Equinix, anunciamos recientemente una versión beta pública para nuestra solución SmartKey HSM como servicio, un módulo de seguridad de hardware (HSM, por sus siglas en inglés) independiente de la nube basado en el Software Guard Extensions (SGX) de Intel®. SmartKey proporciona servicios de gestión de claves seguras y escalables para abordar los requisitos de rendimiento y gobernanza, riesgo y cumplimiento (GRC) en múltiples proveedores de la nube e infraestructuras híbridas, tales como Azure Stack o las soluciones de almacenamiento privado de NetApp.

Revelación 3: el perímetro de seguridad se ha desplazado al límite y más allá, lo que requiere controles de seguridad para estar más cerca de aquello que necesita protección

A medida que el perímetro IT corporativo de la empresa se difumina, está más diseminado o presenta un mayor alcance, las empresas necesitan modificar su enfoque para implementar más controles de seguridad, y no sólo en el entorno cloud. El digital edge de una empresa, donde confluyen partners, centros de población y ecosistemas digitales, debe estar preparado para aplicaciones multicloud y flujos de datos que presten servicio a usuarios y objetos mediante múltiples redes globales y servicios en la nube. Al situar las políticas de seguridad de la nube en el digital edge y adoptar una estrategia de seguridad de «no confiar en nadie» se garantiza que se puedan implementar protecciones críticas donde sean más efectivas y no tengan impacto en el rendimiento o en la calidad de la experiencia del usuario.

Revelación 4: reglas de GRC: como la gobernanza, el riesgo y el cumplimiento impulsan las estrategias de seguridad en la nube

El término «gobernanza, riesgo y cumplimiento», o GRC, describe un conjunto de actividades que abarca todos los departamentos y funciones de una organización, permitiendo a la empresa alcanzar sus objetivos comerciales, abordar la incertidumbre y actuar con integridad. Además, también puede incluir funcionalidades de protección y gestión del rendimiento frente a esos objetivos comerciales. Según Scott Wisniewski, director general de la consultora a nivel mundial Protiviti, el aumento extraordinario en la cantidad de datos que las organizaciones necesitan analizar, junto con la adopción generalizada de las tecnologías móviles y cloud, implica que la mayor recopilación, colaboración e intercambio de información impulsa a las organizaciones a «replantear toda su infraestructura de GRC». El cliente de Equinix, ServiceNow, es un ejemplo de una compañía que ofrece una plataforma de automatización de IT basada en la nube que aprovecha el análisis dinámico y predictivo para monitorizar y administrar la gobernanza, el riesgo y el cumplimiento en su negocio, así como en los negocios de sus clientes, incluyendo a Equinix.

Revelación 5: una filtración de datos es cuestión de cuándo, no de si va a ocurrir

Este año nos ha dado dolorosas lecciones de seguridad a una escala sin precedentes. Se han pirateado, literalmente, miles de millones de cuentas en línea y se han expuesto datos personales confidenciales de cientos de millones de personas. Incluso peluches bonitos, adorables e «inteligentes» han sido cómplices en la filtración de millones de grabaciones de audio entre padres e hijos. La gente y las empresas necesitan ser conscientes de que cualquier tecnología en línea puede verse comprometida. Aplicar lo que hemos aprendido de las revelaciones del n.º 1 al 4 será más crucial que nunca en 2018.

Para obtener más información sobre cómo implementar una estructura interconectada segura y privada para apoyar tus estrategias de seguridad en la nube, lee nuestra Ficha técnica de estructura de ECX.