Por Cristian Rojas, Chief Technology Officer, BGH Tech Partner
Sabemos que la adopción de la Nube viene creciendo exponencialmente. Si bien esto es una excelente noticia por todas las ventajas que conlleva esta tecnología, algo curioso es que, muchas empresas se dedican a la seguridad de sus activos en cloud al final del camino, cuando ya es tarde para aprovechar la seguridad como variable de diseño.
Si bien migrar a un cloud resuelve problemas de dependencia de hardware y software, hay un número de vulnerabilidades que no están a la vista desde el inicio, y el hecho de darles visibilidad es el primer paso en el camino hacia la seguridad integrada. A tal fin, es necesario detenerse en las siguientes cuestiones:
- Riesgos de tecnología: cambiar tecnologías legacy al cloud puede ser una mala idea. Con el tiempo se vuelve más difícil encontrar plataformas compatibles y hay limitaciones de configuraciones en todos los cloud. Hay que evaluar desde dónde parte y el destino final de la tecnología para entender las limitaciones a largo plazo.
- Aplicaciones legacy: nos da una sensación de falsa seguridad el hecho de tener las aplicaciones en nuestro datacenter y, además, el problema se complejiza una vez que movemos código muy antiguo a un cloud. Para eso, es necesario escanear todo el código antes de ser migrado.
- Talento escaso: mantener código antiguo puede ser un gran desafío si no hay suficientes profesionales que dominen ese lenguaje en el mercado. Es importante tener un programa de re-skilling en los equipos de trabajo para poder mantener la tecnología actualizada y en un cloud.
- Disaster recovery y Business continuity: al adoptar la nube es importante considerar este cambio como una oportunidad para mejorar la resiliencia de sus activos. Utilizar parte de ella como un Disaster recovery site es una excelente forma de amortizar la inversión.
- Error humano: esto puede significar una puerta de entrada a una amenaza mayor a través del stack tecnológico. Por ende, es crítico implementar alguna solución de monitoreo de compliance que nos alerte cuando hay una nueva configuración que no ha sido homologada.
- Riesgos Regulatorios: es crucial entender toda la gama de certificaciones que el vendor de cloud posee. Hay casos muy sensibles dentro de la industria de salud, por ejemplo, que requiere un análisis exhaustivo previo.
- Privacidad de datos: los dos temas clave son la retención y responsabilidad de los datos recolectados por los sistemas de información.
- Riesgos heredados: dado que las cadenas de suministros comparten sus riesgos, es importante contar con alguna plataforma de medición de riesgo de proveedores y clientes que permita concientizar a toda la cadena de valor sobre los riesgos.
En conclusión, el abordaje de tecnologías cloud nos plantea una complejidad operativa ineludible. Si bien en el ambiente de data center privado es algo que uno puede ignorar, en este caso, al estar en un ambiente de nube pública esto se torna en un riesgo que es necesario gestionar. Para eso hay que entender todas las variables tecnológicas y no dejar nada librado al azar.
