Mitigación de riesgos y comunicación de valor en entornos multinube



Más empresas están adoptando un enfoque multinube como parte de sus esfuerzos de transformación digital para respaldar a los equipos distribuidos que trabajan en modelos híbridos y remotos. Y así como los entornos de trabajo híbridos llegaron para quedarse, el enfoque multinube se ha afianzado. Gartner predice que los ingresos globales de la nube alcanzarán $ 474 mil millones en 2022con 90% de las empresas ya está trabajando hacia una estrategia multinube.

Cuando se aprovecha correctamente, una estrategia multinube puede hacer que muchos procesos sean más eficientes. También ofrece una mayor resistencia a las interrupciones y más flexibilidad del proveedor que una estrategia de nube única. Las ventajas adicionales incluyen:

  • Evitar el bloqueo de proveedores con un proveedor de nube. Una organización con presencia world y datos especializados puede seleccionar la ubicación del centro de datos con el menor impacto para su negocio. Por ejemplo, Microsoft Azure actualmente es líder en Oriente Medio desde la perspectiva de la ubicación del centro de datos.
  • La capacidad de aprovechar las características distintivas que ofrece cada proveedor de la nube, como soluciones de base de datos únicas en Google Cloud o la capacidad de administrar sus recursos locales y en la nube de manera mucho más fluida en Microsoft Azure.
  • Mejores costos y resiliencia comercial, con servicios específicos menos costosos a través de un proveedor específico y protecciones contra interrupciones del servicio. Ambos requieren diseñar sus servicios para aprovechar los beneficios, pero una vez establecida, su organización puede recuperar su inversión en dos o tres años, lo que resulta en ahorros de costos a largo plazo.

Sin embargo, estas ventajas tienen un costo. Puede ser un desafío garantizar que los datos y la infraestructura de la nube estén seguros y alineados con sus obligaciones y controles cuando se alojan entornos dispares a través de múltiples proveedores. Contar una historia unificada sobre los datos, la configuración y la seguridad dentro de esos entornos puede ser casi imposible.

Los CISO que están adoptando un enfoque de datos multinube debe centrarse en dos preocupaciones principales de seguridad: administrar los riesgos que plantean los proveedores y sus diferentes modelos operativos en la nube, y demostrar el valor de sus controles y estrategias de seguridad frente al aumento de los costos de operación en un mundo multinube.

Gestión de riesgos en las nubes

El impacto y la frecuencia de los ataques cibernéticos ha crecido en paralelo con el creciente enfoque en las estrategias multinube. Los ataques de ransomware, las violaciones de datos y las principales interrupciones de TI encabezaron la Barómetro de riesgos de Allianz este año por segunda vez en la historia de la encuesta, y los ejecutivos los clasificaron como más preocupantes que la interrupción de la cadena de suministro, los desastres naturales y la pandemia. Las empresas tienen razón al mostrar preocupación: las organizaciones de todo el mundo experimentaron 50% más ciberataques semanales en 2021, en comparación con 2020.

Los líderes empresariales se están poniendo al día sobre la importancia de los ataques cibernéticos, pero la mayoría no está bien informada sobre los riesgos que plantean sus socios proveedores. En PwC’s»Encuesta World wide de Perspectivas de Confianza Electronic 2022«, el 57 % de los líderes empresariales dijeron que anticipan un salto en los ataques a los servicios en la nube, pero solo el 37 % dijeron que entienden los riesgos de la nube. El enfoque y los modelos operativos de seguridad varían entre los proveedores de la nube, y la protección contra el riesgo es una responsabilidad compartida que solo se vuelve más complejo a medida que agrega servicios en la nube comunes que utilizan diferentes enfoques, como la administración de identidad y acceso (IAM) o servidores virtualizados.

Por ejemplo, diferentes proveedores de la nube tienen su propio enfoque para el acceso basado en funciones. Amazon World-wide-web Expert services maneja la identidad adjuntando políticas de IAM directamente a un servidor digital, lo que otorga al servidor la capacidad de realizar acciones. La oferta de Google Cloud, por el contrario, se enfoca en crear cuentas de servicio (usuarios) y luego adjuntar esas cuentas al servidor para que pueda interactuar con otro recurso. Estas pequeñas diferencias se suman a escala empresarial, lo que impulsa la complejidad de la seguridad para garantizar el mínimo de privilegios y otros requisitos de seguridad en ambas nubes.

Debido a que los servicios en la nube no están diseñados para integrarse con sus competidores, aprender a usar las herramientas de seguridad para cada proveedor de la nube es solo el comienzo. Los equipos de TI deberán centralizar su monitoreo de seguridad con una herramienta de administración de eventos de información de seguridad (SIEM), junto con otras herramientas de terceros para aumentar la interoperabilidad de los servicios en la nube. Estos sistemas adicionales requieren capacitación y recursos adicionales y quizás incluso individual de TI adicional para garantizar la experiencia en cada plataforma en la nube. y cómo esas plataformas funcionan juntas.

Además de estas diferencias integradas entre sus servicios, la mayoría de los proveedores de nube priorizan sus propias ofertas de seguridad específicamente diseñadas. Esto genera una serie de complicaciones que afectan a la seguridad en la nube. Por ejemplo, se puede usar un firewall de aplicaciones world-wide-web (WAF) en la nube para proteger su purple, pero solo funcionará con un proveedor de servicios en la nube específico y no se puede expandir a múltiples ofertas en la nube. Duplicar estas funcionalidades para diferentes proveedores requiere duplicar equipos para respaldar y administrar estas herramientas de seguridad clave o comprar un servicio independiente de la nube, lo que agrega otro proveedor a la mezcla.

Este riesgo y costo adicional, que generalmente no se descubre hasta el last de la implementación de un modelo multinube, puede retrasar los plazos, aumentar el costo y desencadenar hallazgos de auditoría. La falta de planificación y mitigación de estos riesgos puede dejar a una empresa prone a pérdidas financieras, acciones regulatorias, litigios y daños a la reputación.

Comunicar valor con cuantificación de riesgos

Gartner estima que para 2023, 30% de la efectividad de los CISO dependerá de su capacidad para demostrar valor. A medida que las estrategias de datos multinube se vuelven la norma y aumenta el costo de los controles de seguridad dentro de esa estrategia, la cuantificación del riesgo puede ayudar a los líderes a comunicar su valor de manera consistente expresando la postura de riesgo multinube en valores monetarios claros.

Según PwC, las organizaciones que reportaron la mejora más significativa en los resultados de confianza de datos tenían dos cosas en común: predijeron un aumento en su gasto en seguridad cibernética e incorporaron inteligencia empresarial y análisis de datos en sus modelos operativos, incluida la cuantificación de riesgos.

Para evaluar los riesgos financieros de una estrategia multinube, los CISO deben tener en cuenta los costos de cada plataforma frente a los riesgos percibidos. Esas consideraciones deben incluir la administración de datos y las prácticas de seguridad cibernética de todos los proveedores de la nube que está considerando, junto con cualquier herramienta y plataforma independiente de la nube que usará para el monitoreo conjunto.

Con tantos factores en juego, no puede darse el lujo de depender de escalas de medición imprecisas e intuitivas como «bajo, medio, alto» y «rojo, amarillo, verde». Expresar los datos de riesgo en términos financieros es una herramienta poderosa porque ofrece un lenguaje común para comunicar prioridades de riesgo cambiantes, mejorar la alineación entre los CISO y la junta, y facilitar decisiones de gestión de riesgos mejor informadas.

Aquí hay un ejemplo: un CISO está analizando el valor financiero asociado con los diversos riesgos de la arquitectura multinube. Al comparar tácticas para mitigar un incidente de seguridad cibernética, encuentran que mejores controles sobre los privilegios administrativos reducen el costo financiero del evento mucho más que implementar un programa de capacitación en seguridad cibernética. Si bien el CISO comprende los detalles técnicos del riesgo cibernético dentro de la arquitectura multinube, el resto del C-suite se beneficiará de la claridad de los valores monetarios asociados con cada riesgo y táctica de mitigación. Al empoderar a los CISO para que expongan su caso ante sus colegas y la junta directiva, la cuantificación del riesgo brinda más transparencia a las muchas partes móviles de una estrategia multinube.

Según Gartner, más del 85 % de las organizaciones funcionarán primero en la nube para 2025, y no podrán realizar completamente sus estrategias digitales sin utilizar tecnologías nativas de la nube. Un líder de Gartner lo expresó de esta manera: «No hay estrategia empresarial sin una estrategia en la nube».

Es imperativo que los líderes empresariales busquen estrategias para salvaguardar sus datos y comunicar sus prioridades multinube, alineándose en toda la organización con un lenguaje común de valor.



Enlace a la noticia primary