Más empresas están adoptando un enfoque multinube como parte de sus esfuerzos de transformación digital para respaldar a los equipos distribuidos que trabajan en modelos híbridos y remotos. Y así como los entornos de trabajo híbridos llegaron para quedarse, el enfoque multinube se ha afianzado. Gartner predice que los ingresos globales de la nube alcanzarán $474 millones de dólares en 2022, con las 90% de las empresas ya está trabajando hacia una estrategia multinube.
Cuando se aprovecha correctamente, una estrategia multinube puede hacer que muchos procesos sean más eficientes. También ofrece una mayor resistencia a las interrupciones y más flexibilidad del proveedor que una estrategia de nube única. Las ventajas adicionales incluyen:
- Evitar el bloqueo de proveedores con un proveedor de nube. Una organización con presencia global y datos especializados puede seleccionar la ubicación del centro de datos con el menor impacto para su negocio. Por ejemplo, Microsoft Azure actualmente es líder en Oriente Medio desde la perspectiva de la ubicación del centro de datos.
- La capacidad de aprovechar las características distintivas que ofrece cada proveedor de la nube, como soluciones de base de datos únicas en Google Cloud o la capacidad de administrar sus recursos locales y en la nube de manera mucho más fluida en Microsoft Azure.
- Mejores costos y resiliencia comercial, con servicios específicos menos costosos a través de un proveedor específico y protecciones contra interrupciones del servicio. Ambos requieren diseñar sus servicios para aprovechar los beneficios, pero una vez establecida, su organización puede recuperar su inversión en dos o tres años, lo que resulta en ahorros de costos a largo plazo.
Sin embargo, estas ventajas tienen un costo. Puede ser un desafío garantizar que los datos y la infraestructura de la nube estén seguros y alineados con sus obligaciones y controles cuando se alojan entornos dispares a través de múltiples proveedores. Contar una historia unificada sobre los datos, la configuración y la seguridad dentro de esos entornos puede ser casi imposible.
Los CISO que están adoptando un enfoque de datos multinube debe centrarse en dos preocupaciones principales de seguridad: administrar los riesgos que plantean los proveedores y sus diferentes modelos operativos en la nube, y demostrar el valor de sus controles y estrategias de seguridad frente al aumento de los costos de operación en un mundo multinube.
Gestión de riesgos en las nubes
El impacto y la frecuencia de los ataques cibernéticos ha crecido en paralelo con el creciente enfoque en las estrategias multinube. Los ataques de ransomware, las violaciones de datos y las principales interrupciones de TI encabezaron la Barómetro de riesgos de Allianz este año por segunda vez en la historia de la encuesta, y los ejecutivos los clasificaron como más preocupantes que la interrupción de la cadena de suministro, los desastres naturales y la pandemia. Las empresas tienen razón al mostrar preocupación: las organizaciones de todo el mundo experimentaron 50% más ciberataques semanales en 2021, en comparación con 2020.
Los líderes empresariales se están poniendo al día sobre la importancia de los ataques cibernéticos, pero la mayoría no está bien informada sobre los riesgos que plantean sus socios proveedores. En PwC's “Encuesta Global de Perspectivas de Confianza Digital 2022”, el 57 % de los líderes empresariales dijeron que anticipan un salto en los ataques a los servicios en la nube, pero solo el 37 % dijeron que comprenden los riesgos de la nube. El enfoque y los modelos operativos de seguridad varían entre los proveedores de la nube, y la protección contra el riesgo es una responsabilidad compartida que solo se vuelve más compleja a medida que agrega servicios de nube comunes que utilizan diferentes enfoques, como la administración de identidad y acceso (IAM) o servidores virtualizados.
Por ejemplo, diferentes proveedores de la nube tienen su propio enfoque para el acceso basado en funciones. Amazon Web Services maneja la identidad adjuntando políticas de IAM directamente a un servidor virtual, lo que otorga al servidor la capacidad de realizar acciones. La oferta de Google Cloud, por el contrario, se enfoca en crear cuentas de servicio (usuarios) y luego adjuntar esas cuentas al servidor para que pueda interactuar con otro recurso. Estas pequeñas diferencias se suman a escala empresarial, lo que impulsa la complejidad de la seguridad para garantizar el mínimo de privilegios y otros requisitos de seguridad en ambas nubes.
Debido a que los servicios en la nube no están diseñados para integrarse con sus competidores, aprender a usar las herramientas de seguridad para cada proveedor de la nube es solo el comienzo. Los equipos de TI deberán centralizar su monitoreo de seguridad con una herramienta de administración de eventos de información de seguridad (SIEM), junto con otras herramientas de terceros para aumentar la interoperabilidad de los servicios en la nube. Estos sistemas adicionales requieren capacitación y recursos adicionales y quizás incluso personal de TI adicional para garantizar la experiencia en cada plataforma en la nube. y cómo esas plataformas funcionan juntas.
Además de estas diferencias integradas entre sus servicios, la mayoría de los proveedores de nube priorizan sus propias ofertas de seguridad específicamente diseñadas. Esto genera una serie de complicaciones que afectan a la seguridad en la nube. Por ejemplo, se puede usar un firewall de aplicaciones web (WAF) en la nube para proteger su red, pero solo funcionará con un proveedor de servicios en la nube específico y no se puede expandir a múltiples ofertas en la nube. Duplicar estas funcionalidades para diferentes proveedores requiere duplicar equipos para respaldar y administrar estas herramientas de seguridad clave o comprar un servicio independiente de la nube, lo que agrega otro proveedor a la mezcla.
Este riesgo y costo adicionales, que generalmente no se descubren hasta el final de la implementación de un modelo multinube, pueden retrasar los plazos, aumentar los costos y desencadenar hallazgos de auditoría. La falta de planificación y mitigación de estos riesgos puede dejar a una empresa susceptible a pérdidas financieras, acciones regulatorias, litigios y daños a la reputación.
Comunicar valor con cuantificación de riesgos
Gartner estima que para 2023, 30% de la efectividad de los CISO dependerá de su capacidad para demostrar valor. A medida que las estrategias de datos multinube se vuelven la norma y aumenta el costo de los controles de seguridad dentro de esa estrategia, la cuantificación del riesgo puede ayudar a los líderes a comunicar su valor de manera consistente expresando la postura de riesgo multinube en valores monetarios claros.
Según PwC, las organizaciones que reportaron la mejora más significativa en los resultados de confianza de datos tenían dos cosas en común: predijeron un aumento en su gasto en seguridad cibernética e incorporaron inteligencia empresarial y análisis de datos en sus modelos operativos, incluida la cuantificación de riesgos.
Para evaluar los riesgos financieros de una estrategia multinube, los CISO deben tener en cuenta los costos de cada plataforma frente a los riesgos percibidos. Esas consideraciones deben incluir la administración de datos y las prácticas de seguridad cibernética de todos los proveedores de la nube que está considerando, junto con cualquier herramienta y plataforma independiente de la nube que usará para el monitoreo conjunto.
Con tantos factores en juego, no puede darse el lujo de depender de escalas de medición imprecisas e intuitivas como "bajo, medio, alto" y "rojo, amarillo, verde". Expresar los datos de riesgo en términos financieros es una herramienta poderosa porque ofrece un lenguaje común para comunicar prioridades de riesgo cambiantes, mejorar la alineación entre los CISO y la junta, y facilitar decisiones de gestión de riesgos mejor informadas.
Aquí hay un ejemplo: un CISO está analizando el valor financiero asociado con los diversos riesgos de la arquitectura multinube. Al comparar tácticas para mitigar un incidente de seguridad cibernética, encuentran que mejores controles sobre los privilegios administrativos reducen el costo financiero del evento mucho más que implementar un programa de capacitación en seguridad cibernética. Si bien el CISO comprende los detalles técnicos del riesgo cibernético dentro de la arquitectura multinube, el resto del C-suite se beneficiará de la claridad de los valores monetarios asociados con cada riesgo y táctica de mitigación. Al empoderar a los CISO para que expongan su caso ante sus colegas y la junta directiva, la cuantificación del riesgo brinda más transparencia a las muchas partes móviles de una estrategia multinube.
Según Gartner, más del 85 % de las organizaciones funcionarán primero en la nube para 2025, y no podrán realizar completamente sus estrategias digitales sin utilizar tecnologías nativas de la nube. Un líder de Gartner lo expresó de esta manera: “No hay estrategia comercial sin una estrategia en la nube”.
Es imperativo que los líderes empresariales busquen estrategias para salvaguardar sus datos y comunicar sus prioridades multinube, alineándose en toda la organización con un lenguaje común de valor.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
