La nube se ha convertido en el motor de la transformación, pero el grado de velocidad y complejidad que añade plantea retos adicionales relacionados con la seguridad de las organizaciones. Los nuevos modelos de consumo exigen que esta disciplina se adapte de forma personalizada a los proyectos y servicios de cada empresa y, para ello, los proveedores tecnológicos constituyen un gran aliado. Sobre este contexto hemos hablado con Juan Carlos Pascual, mánager de Ciberseguridad en Capgemini.
Aunque el camino hacia los modelos en la nube es una tendencia clara y generalizada en todo tipo de organizaciones, durante los últimos meses —fruto, seguramente, del confinamiento que hemos vivido— estos planes se han acelerado de forma evidente, lo que se ha traducido en una mayor demanda de este tipo de servicios.
Adoptar cualquier tecnología de una forma más o menos precipitada puede hacer que se tiendan a priorizar aquellas funcionalidades que se deben cubrir con más urgencia, poniendo, tal vez, menos atención en ámbitos como la seguridad. Según Juan Carlos Pascual, “muchas veces, la seguridad responde a los denominados requisitos no funcionales, es decir, aspectos que no se tienen en cuenta como parte de las funciones que debe desarrollar una aplicación o un sistema, pero que es evidente que son necesarias”.
Otro aspecto que hay que considerar es que, ahora mismo, el escenario más común entre las empresas es contar con un entorno híbrido, en el que se conjuga el uso de diferentes nubes con modelos on-premise. “Ahí es donde está la verdadera complejidad. Los proveedores de nube tienen sus propios sistemas de seguridad, que funcionan muy bien, pero cuando se plantean arquitecturas híbridas y se adaptan las soluciones al negocio, es cuando se ve que la seguridad que proporciona cada hyperscaler para sí mismo no es suficiente. Ahí es donde tiene que entrar un integrador, un especialista”.
La nube como foco de ataques
Es evidente que la ciberdelincuencia ha multiplicado su actividad durante los últimos meses. Son muy conocidos algunos problemas de seguridad que han sufrido empresas referentes en sus sectores, tanto a nivel nacional como mundial. Y la nube ha sido la protagonista en todos ellos.
«Aunque podría pasar igual en un contexto on-premise, la nube es mucho más permeable, tiene más capilaridad y facilita la propagación”
“Esto es lógico si se tiene en cuenta que la mayoría de las empresas están trabajando mayoritariamente en cloud. Aunque podría pasar igual en un contexto on-premise, la nube es mucho más permeable, tiene más capilaridad y facilita la propagación”.
En algunos de estos ataques, que son públicos, los ciberdelincuentes han conseguido instalar un ransomware que no solo cifraba los datos —lo que ocasionaba que los empleados no pudieran desarrollar su trabajo— sino que, además, fue capaz de cifrar los sistemas e, incluso, en un caso conocido por todos, los criminales llegaron a apropiarse de información confidencial.
“Es evidente que está aumentando el número de ataques y también su peligrosidad. Las empresas están demandando cada vez más soluciones de gestión de seguridad multicloud, y también la implantación de tecnologías zero trust, combinando factores como la gestión de identidades, del cifrado, de los dispositivos o del perímetro. Hay mucho temor a que un empleado abra un malware y este se propague por toda la organización”.
Seguridad “a medida”
Hay que tener en cuenta que, tecnológicamente, estamos en cambio continuo. Es el entorno en el que nos movemos. A esto hay que sumar una alta demanda de profesionales en todo lo relacionado con la transformación digital, especialmente en ámbitos como los servicios cloud o la ciberseguridad, y, además, está la necesidad de que esos perfiles actualicen constantemente sus conocimientos.
“Esta falta de talento afecta tanto a las consultoras tecnológicas como a las empresas finales. De hecho, junto con la creciente complejidad de los entornos, esta es una de las claves por las que cada vez es más necesaria la participación de los proveedores cuando se trata de gestionar entornos cloud híbridos y la seguridad correspondiente”.
Cada vez cobra mayor importancia aclarar en qué medida el proveedor se alineará con las políticas de seguridad de la empresa
Además, en lo que respecta a la seguridad también se ha producido un cambio muy importante: la cada vez más necesaria personalización de todos estos servicios. Según nos cuenta Juan Carlos Pascual, antes se demandaba un proveedor tecnológico que simplemente cumpliera una serie de estándares (por ejemplo, la ISO 27000). Con esto, en teoría, bastaba para poder acometer los proyectos de seguridad de las empresas. Ahora está cobrando una importancia creciente aclarar en qué medida el proveedor se alineará con las políticas de seguridad de la empresa, cómo se adaptarán los procesos para que sean seguros —pues no son estáticos, sino que se deben definir en consonancia con herramientas y recursos— y cómo se definirán los controles para garantizar este alineamiento.
“No se trata solo de hacer las cosas seguras o de una forma normalizada. La ciberseguridad no puede ser de talla única. No podemos quedarnos en la ISO 27000. Cada vez más, la seguridad se relaciona con los KPI de los proyectos tecnológicos y los SLA de los servicios. Debemos establecer una serie de controles, procedimientos y procesos que se tienen que adaptar para cumplir el nivel que demanda el cliente”.
Además, otro punto que el directivo ha destacado es el valor adicional que aporta la especialización, una experiencia que les ayuda a entender mejor los servicios y el negocio de las empresas en determinados sectores tales como la industria, el retail, los seguros o la banca.
“Para conseguir una buena optimización de la seguridad es básico entender el negocio del cliente. Por ejemplo, tenemos mucha experiencia en entornos de ciberseguridad industrial, derivada de una amplia presencia en empresas de este tipo. La división DEMS (Digital Engineering & Manufacturing Services) lleva acompañando a varias compañías del sector industrial y aeronáutico desde hace muchos años”.
Oficina de seguridad
Dentro de ese “alineamiento” de la seguridad con los procesos de negocio del cliente desempeña un papel importante la Oficina de Seguridad, que normalmente surge a demanda de la propia empresa. A grandes rasgos, “busca alinear nuestras capacidades en cuanto a seguridad con las expectativas del cliente. A partir de aquí se generan una serie de políticas o guías que sirven para preparar los necesarios procedimientos operativos de seguridad”.
Nuestra apuesta se basa en acompañar al desarrollo de las aplicaciones, los sistemas o los servicios
Pero, insiste Juan Carlos Pascual, lo importante es no quedarse ahí, “hay que ver si se cumplen esos procedimientos operativos estableciendo controles, una auditoría y un seguimiento para asegurar que lo que estamos haciendo sirve para para que el producto final sea seguro”.
Evidentemente, no es necesario que exista una oficina de seguridad para todos los proyectos. Normalmente se implanta en aquellos que tienen una mayor envergadura. Cuando se trata de otros de menor tamaño o alcance, lo que normalmente se hace es buscar el apoyo de expertos para cubrir necesidades puntuales, como la redacción de un plan de seguridad, de procedimientos de operaciones, etc.
“Es importante balancear la dedicación de estos recursos. Lo lógico es desestimar la implantación de Oficinas de Seguridad, con los costes asociados, en proyectos que no requieren este tipo de servicios. En cualquier caso, nuestra apuesta se basa en la seguridad desde el diseño, acompañando al desarrollo de las aplicaciones, los sistemas o los servicios”.
