Principios de seguridad en la nube híbrida

Cuando hablamos de cómo transformar nuestra organización a una infraestructura híbrida segura, HPE se centra en cuatro principios fundamentales. Éstos son los mismos independientemente del proveedor de servicios Cloud, y ofrecen una base muy buena para entender la seguridad en la nube.

Estándares de seguridad

Los estándares hacen todo más sencillo, especialmente la interoperabilidad. Cuando elige un proveedor de soluciones de seguridad en la nube, es importante trabajar con un socio que admita los distintos estándares de seguridad.

Responsabilidad compartida

La responsabilidad de la seguridad de la información no puede ser subcontratada, especialmente en un entorno de nube. En última instancia, el coste es siempre de la propia organización. El proveedor puede ofrecer las mejores soluciones de seguridad en su clase, pero el usuario final debe definir las políticas de seguridad adecuadas para proteger su modelo de negocio y administrarlas desde la nube, siguiendo las mejores prácticas del sector.

Defensa en profundidad

No hay una solución definitiva para la seguridad, ninguna solución dará respuesta a todos sus problemas de seguridad. Especialmente en un entorno de nube, es importante proporcionar varias capas de controles de seguridad, creando redundancias en la protección ofrecida. Por ejemplo, se pueden desplegar controles de infraestructura en tándem con la protección del servidor, al igual que los controles de aplicación y las herramientas de seguridad de datos.

Cumplimiento y debida diligencia

Además de los aspectos ampliamente discutidos sobre la confidencialidad y la disponibilidad del dato, es importante investigar adicionalmente el impacto de la conformidad con regulaciones: ¿Qué normas de cumplimiento son relevantes para su negocio? ¿Está realizando transacciones con tarjetas de crédito? Consulte los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS). ¿Almacenamiento de datos personales de los ciudadanos en la UE? Conozca el Reglamento General de Protección de Datos (GDPR).

Dado que muchas de estas regulaciones imponen sanciones monetarias considerables por incumplimiento y pueden responsabilizar personalmente a los directores de la compañía, es vital comprender los requisitos de cumplimiento antes de adoptar la nube.

Con estos principios en mente, HPE recomienda un enfoque integrado de seguridad, donde se puedan utilizar algunas de las mismas herramientas para proteger la nube pública, la nube privada y el TI tradicional, lo que permite ahorrar costes y reducir la complejidad de la infraestructura híbrida.

En un modelo de despliegue en la nube, es posible externalizar la administración de operaciones y la administración de los datos, pero nunca es posible subcontratar el riesgo que una organización introduce al mover sus cargas de trabajo y datos en un entorno de nube. Para cualquier movimiento planeado a la nube, se debe seguir un enfoque basado en el riesgo extremo a extremo para evaluar las implicaciones que conlleva.

Con el objetivo de conseguir esta aproximación integrada, HPE ha diseñado una metodología llamada HPE ISSM (HPE Information Security Service Management) que desde HPE Consulting se utiliza para definir programas de seguridad en los clientes. Esta metodología incluye un modelo, conocido como HPE P5, basado en el hecho de que una arquitectura de nube híbrida segura necesita mucho más que productos de seguridad. Además de la tecnología (Product), también se requiere la seguridad de las personas (People), la definición de procedimientos y política (Policy), despliegue de procesos (Process), y asegurar el cumplimiento (Proof).

Félix Martín
EMEA Consulting Security Lead de Hewlett Packard Enterprise