La Seguridad pieza clave en el proceso de Transformación Digital

Gracias por Compartir

QUITO

Seguridad en la estrategia de migración a la nube

Migrar de on premise a cualquier modalidad de nube es una decisión estratégica según criterios de evaluación costo-beneficio. Mientras en algunas empresas ecuatorianas, representadas en el conversatorio, evalúan el uso de nubes híbridas o nubes privadas con control de acceso directo a aplicaciones y módulos de control de aplicaciones, análisis de riesgo, otras empresas han subido sus aplicaciones a la nube.

RubénSuquillo,DOS;AndrewOteiza,F5;OscarBenavidez;JanethMartínez;Juan Carlos Moreno; Diego Cevallos; Alexandre Abascal; Anavela Herrera; Paúl Caicedo, Andrea Vivanco; Marcelo Moya; Geovanny Torres; Nicolai Moscoso y Bolívar Garrido, DOS.

El criterio generalizado para migrar a la nube es la seguridad, definir como primer paso los niveles de responsabilidad compartida entre el cloud provider y las empresas que realizarán la migración. Una vez que las aplicaciones se mueven a servidores de nube se necesita mantener la consistencia y los niveles de seguridad acostumbrados de forma local.

Para Oscar Benavidez, director de Colegio Menor San Francisco de Quito, quien compartió su experiencia de migración de aplicaciones a la nube, señaló el esquema de seguridad aplicado, por un lado, el esquema de seguridad del proveedor del enlace, reforzamiento de la seguridad perimetral, además de una consola de administración que la gestiona directamente cumpliendo los niveles de seguridad según política establecidas por la organización.

En el cambio hacia una nube híbrida también se deben resolver algunos desafíos como autenticar en un solo punto, manejar el segundo factor de autenticación, uso de APT. Aunque, independientemente, del tipo de nube a implementar, cada empresa debe crear políticas de seguridad con el respaldo de la alta gerencia, pero sobre todo, clasificar la información y establecer un análisis de las aplicaciones que deben ir o no a la nube.

Conclusiones:

  • Para ir a la nube hay que garantizar los niveles de seguridad de las aplicaciones
  • Los esquemas funcionales de seguridad dependen del modelo de negocio y debe ser segmentada.
  • Definir los objetivos estratégicos y sobre aquello desarrollar una estrategia de seguridad con la participación de la alta dirección y el escalamiento hacia toda la organización.
  • En la transformación digital hay que ayudar a entender el retorno del valor, el Business Continuity Plan y la rentabilidad del negocio adaptándolo a las nuevas generaciones.
  • Hay que realizar una clasificación de activos críticos y análisis de riesgo para llegar a un sponsor que apoye los proyectos de seguridad.

GUAYAQUIL

La nube y microservicios agiliza la transformación digital

La transformación digital implica la disponibilidad de servicios y el diseño de aplicaciones desarrolladas desde sus inicios con conceptos de seguridad. En el conversatorio de Guayaquil se compartieron algunas prácticas relacionadas con la previsibilidad y seguridad.

Arriba:RubénSuquillo,DOS;AndrewOteiza,F5;MiguelFuentes; BolívarGarrido,DOS y Luis Rodríguez . Abajo: Alí Macías; Danny Maruri; Leonardo Martínez; Laura Ureta; Patricia Tapia; José Peralta y José Luis Loaiza.

La concientización y el apoyo del equipo gerencial y los requerimientos de las áreas del negocio permiten establecer los aspectos mínimos que la compañía debe adoptar para proyectos convencionales, sin embargo, para los estratégicos y transversales el análisis es más puntual. Para ir a la nube es importante identificar cuáles son esos temas básicos que se deben cubrir con el equipo de IT y luego con el proveedor de servicios.

En la transformación digital, los servicios digitales y el consumo de aplicaciones móviles se incrementan aceleradamente y el desafío es proteger la infraestructura del consumo de aplicaciones de terceros con contenido malicioso. Además, de la infraestructura segura, es necesario analizar las aplicaciones, y si están listas para ir a la nube y los riesgos sobre posibles ataques.

La protección de microservicios no se puede contrarrestar con los tradicionales métodos de seguridad, pero se puede incorporar el diseño seguro y la capacitación no solo del equipo técnico o de desarrollo sino de toda la organización. Por ejemplo, el área de procesos que debe tener claro las funcionalidades de la aplicación y pensar también en control y seguridad. Si no se capacita y tiene claro el concepto de acceso a seguridad todo lo que se haga será arar en el mar, indicaron.

En el conversatorio se mencionó que aunque los costos operativos de IT se reducen al ir a la nube, éstos se trasladan al de seguridad.  Algunas opiniones coincidieron en que se ahorra en “fierros” pero aumenta los costos de licencias, servicios, productos. “Te olvidas el día a día de infraestructura y aparece el día a día de seguridad”.

Sin embargo, todos están conscientes que hay una tendencia de ir hacia la nube y hay que tener claro un modelo de seguridad que permita saber hasta dónde va el soporte de un tercero y de qué manera lo hacen.

Conclusiones

  • La seguridad debe ser paralela al desarrollo de las aplicaciones a través de un trabajo permanente de tecnología y estrategia.
  • Cooperar entre las áreas de negocio y equilibrar la propuesta de valor de seguridad para obtener aprobación de alta administración.
  • Se debe mejorar aún la seguridad casa adentro antes de ir hacia la nube. Es necesario promocionar hacia la alta dirección una propuesta de migración a la nube considerando la seguridad y la mejora continua de la misma.
  • Los líderes de seguridad deben cumplir con los retos corporativos e implementar y definir la mejor inversión para cada línea de negocio.
  • Definir una estrategia de estándares y requisitos mínimos para que todas las unidades trabajen de manera simultánea con ellos.
  • El desafío del fabricante es entregar soluciones, entender las prioridades del negocio, sus problemáticas y ofertar soluciones para cada caso.

CUENCA

La elasticidad de la nube y acceso a aplicaciones

Para las empresas adscritas al estado ecuatoriano y consideradas como estratégicas una migración a la nube no solo depende de los costos sino además de restricciones regulatorias que limitan una migración extendida a nubes públicas. Aunque algunas empresas del sector eléctrico y retail ya han migrado algunas aplicaciones puntuales, pero no aquellas consideradas del core del negocio.

Arriba: Pablo Esquivel; Agustín Quevedo; RubénSuquillo,DOS; FreddyMorales;Paulino Quinde; Andrew Oteiza, F5; Hugo Gómez. Abajo: Anavela Herrera; Flavio Rodríguez; César Calle, DOS; Daniela Álvarez; Tania Palacios y Fernando Illescas.

En el sector educativo en cambio las alianzas con proveedores de nube con organismos como Cedia permiten un acceso a infraestructura y la posibilidad trasladar aplicaciones on premise con costos accesibles.

La nube es una aliada en la transformación digital por su elasticidad y el potencial de crecimiento. De manera general, se mencionó que en los esquemas de infraestructura bajo servicio la mayoría de empresas evalúan un contexto híbrido entre nubes privadas, granjas de virtualización o nube pública.

Andrew Oteiza, gerente de Soluciones Cloud para Latinoamérica de F5 mencionó el caso de uso de nubes públicas de entes gubernamentales a nivel regional, señalando que utilizan la nube pública para el desborde de los servidores de front end con aplicaciones que transaccionan pero los motores de base de datos siguen estando en on premise. De modo que el dato sensible reside en on premise. Comentó que la mayoría de clientes adoptan tecnología de virtualización y contenedores y ven a la nube con sus atractivos de acceso a recursos, escalabilidad, acceso a aplicaciones, etc.

En general, en la actualidad las aplicaciones que van a la nube son aquellas con nuevos conceptos de desarrollo de software que no es el tradicional cliente-servidor sino de aplicaciones livianas transaccionales.

Para los ejecutivos de IT y seguridad de Cuenca, uno de los mayores desafíos que presentan los entornos cloud y multi-cloud es la protección de las aplicaciones. Cuando se tiene un data center propio, la seguridad está concebida según las definiciones del propietario de ese data center, pero en un entorno de nube pública existe una responsabilidad compartida. Los proveedores de servicio gestionan una matriz de responsabilidad de la infraestructura pero la seguridad de las aplicaciones es responsabilidad del usuario.

En esa medida, el desafío al adoptar IaaS, SaaS o una nube pública es mantener los mismos niveles de seguridad que en el servidor de aplicaciones on premise y trabajar para que en las organizaciones de forma simultánea convivan nubes públicas, híbridas y on premise mejorando los temas de seguridad.

Conclusiones

  • El activo más valioso es la información y los temas de seguridad están atados al ROI
  • La seguridad es parte del negocio y genera valor.
  • El plan estratégico de tecnología apunta al objetivo pero se olvida de la seguridad de la información.
  • Las aplicaciones que van a la nube pública generalmente están diseñadas bajo nuevos conceptos de desarrollo de software que mejoran la usabilidad y facilitan el camino para que las empresas decidan ir a la nube.
  • Hay limitaciones gubernamentales para iniciativas de migración a la nube. En otros países las leyes facultan a las entidades gubernamentales abrir los datos en capas de aplicaciones de nube pública.
  • Nuevas metodologías de desarrollo de aplicaciones mejoran la usabilidad y habilita que las empresas vayan a la nube.

Crecimiento de microservicios

La transformación digital impulsa nuevas arquitecturas de aplicaciones, y el cambio de metodología de desarrollo de sus aplicaciones basada en contenedores y microservicios.

Andrew Oteiza, gerente de Soluciones Cloud para Latinoamérica de F5 compartió unas cifras sobre el incremento de los microservicios, que en la actualidad representan el 80% del tráfico en internet. Las aplicaciones, dijo, empiezan a moverse de servidores locales a la nube buscando asegurarlas con la consistencia de contar con los niveles de seguridad acostumbrados de forma local.

En el conversatorio se pudo conocer la experiencia de empresas que trabajan con microservicios quienes conectan las aplicaciones con el core del negocio donde se establecen mecanismos de seguridad de las aplicaciones desplegadas en nube. Además, las aplicaciones basadas en microservicios promueven nuevas metodologías que las habilitan para los entornos de la nube favoreciendo la experiencia del usuario sin que la latencia sea un problema.

 

 

Gracias por Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *