Estrategia de cero confianza: Seguridad en la nube desde el diseño

Un llamado al cambio

Como hemos visto en los últimos 18 meses, la nube abre la puerta a la agilidad organizacional en una escala sin precedentes. Pero la seguridad es esencial para aprovechar el potencial de la nube. Accenture, con su tamaño, escala y complejidad, ha experimentado de primera mano el poder de la seguridad en la nube.

Hace seis años, Accenture inició la transferencia a la nube. Si bien nuestra investigación reciente ha identificado que el riesgo de seguridad y cumplimiento se considera uno de los dos principales puntos débiles de la adopción de la nube, desde el principio, tuvimos claro que la seguridad en la nube sería un componente fundamental para satisfacer las necesidades de nuestra empresa.

Pasar de una infraestructura local, donde teníamos un control total, a colaborar en la nube con proveedores y tener que depender de su tecnología y su entorno fue un gran cambio. La infraestructura y las nuevas capacidades de servicio en la nube son diferentes; no podíamos simplemente trasladar lo que teníamos en las instalaciones directamente a la nube.

Necesitábamos reimaginar el enfoque de la implementación de nuestro modelo de seguridad para aprovechar las capacidades de las soluciones nativas de la nube. Hemos desarrollado principios rectores básicos de seguridad para cumplir con los requisitos del funcionamiento en la nube. Redefinimos nuestras reglas de seguridad para que se flexibilicen en torno a la infraestructura actualizada basada en la nube. Cuando analizamos nuestro enfoque de seguridad, pensamos más allá de la infraestructura y también tenemos en cuenta el nivel de las aplicaciones, los datos y el código.

Hoy en día, la infraestructura de TI de Accenture se ejecuta en la nube híbrida y cuesta mucho menos que nuestros modelos de entrega antiguos. Nuestra estrategia era estar seguros desde el principio, reformulando nuestra seguridad en términos de capacidades de nube, lo que nos ha ayudado a ver cómo nuestras soluciones en la nube pueden apoyar cada elemento de seguridad necesario dentro de la empresa.

Cuando la tecnología se junta con el ingenio humano

Al principio de nuestro recorrido hacia la nube, reconocimos la necesidad de evolucionar nuestras prácticas de seguridad para adaptarnos a nuestros valores de seguridad principales en la nube. Queríamos basarnos en el software definido, protegiendo nuestro código de aplicaciones e infraestructura desde el principio. Incorporamos análisis basados en el comportamiento, utilizando análisis de comportamiento automatizados con inteligencia artificial (IA) para identificar anomalías con mayor rapidez y precisión al trabajar en nuestras plataformas en la nube. Para nosotros era importante ser independientes de la nube, adaptarnos a un entorno multinube, de modo que el marco y los principios de seguridad se aplicaran a cualquier proveedor de nube con capacidad de auditoría.

Además, incorporamos una defensa sólida, que se basa en varias capas de seguridad a distintas profundidades: Nube, red, acceso, datos y terminales. Centramos nuestra estrategia en un enfoque de confianza cero, protegiendo todos los aspectos de la seguridad en la nube al tratar todo como no confiable. Con el enfoque en la confianza cero, seguimos un enfoque centrado en la identidad, basando todo el acceso en la identidad y verificando explícitamente cada solicitud.

Cinco funciones principales contribuyeron a un proceso exitoso de seguridad en la nube:

Compartimos las responsabilidades. A medida que aumentamos nuestro consumo de software como servicio (SaaS) y plataforma como servicio (PaaS) en la nube, nos centramos y confiamos en un modelo de responsabilidad compartida con nuestros proveedores de nube. Al compartir la responsabilidad con nuestros hiperescaladores, en lugar de asumirla nosotros mismos, nos volvemos inherentemente más seguros. Nuestras asociaciones con los servicios de nube de Microsoft, Amazon y Google aprovecharon su madurez en el mercado, sus amplias certificaciones de seguridad y el hecho de que valoran la seguridad tanto como nosotros.

Buscamos soluciones basadas en la nube. Los proveedores de nube están invirtiendo en gran medida en sus ofertas de innovación y seguridad. Mediante el uso de políticas, controles, procesos y tecnologías basadas en la nube y nativas de la nube, pudimos aprovechar una agilidad y una escala inherentes cuando se trataba de apoyar nuestra propia seguridad en la nube.

Habilitamos el cumplimiento. Al asociarnos con nuestros proveedores, nuestra estrategia de seguridad en la nube se ajusta a los estándares reconocidos por la industria y se adapta continuamente a las necesidades empresariales. Cumplimos con las políticas definidas por la industria, mediante alertas, siguiendo el principio de confianza cero y administrando la seguridad a través del código para mantener el cumplimiento. Esto asegura que nuestros servicios, usuarios, cargas de trabajo y datos estén seguros desde el primer día y permanezcan protegidos contra el panorama de amenazas en constante cambio, así como auditables para la validación de terceros.

Aumentamos la visibilidad. Tomamos un enfoque de varias capas para mejorar la seguridad mediante la tecnología de los proveedores de nube y las soluciones avanzadas de detección de amenazas. Obtuvimos visibilidad, no solo para nuestra propia administración procesable, sino también para la auditabilidad externa.

Nos basamos en la confianza. Creemos que la identidad es el nuevo firewall. Nuestro enfoque centrado en la identidad significa que hemos adoptado una estrategia de confianza cero, en la que incorporamos una validación de identidad adecuada y continua. La confianza ahora se va a basar fundamentalmente en la identidad y el rol.

Una diferencia valiosa

Hemos tomado una visión integral de los diversos componentes de funcionamiento en la nube para crear una estrategia de seguridad de la nube verdaderamente holística. A medida que implementamos este enfoque transformador de seguridad en una infraestructura de varias nubes, podemos seguir aplicando políticas, recursos y servicios de seguridad altamente eficaces.

Estas son algunas de nuestras lecciones aprendidas en torno a la seguridad eficaz en la nube:

• Diseño en términos de la nube: La transición continua hacia la nube requiere un modelo operativo muy diferente al de cualquier solución local. Reimaginá tus principios de seguridad en términos de la nube, para liberar el poder de la seguridad en la nube y transformar tu empresa.

• Realizá el cambio cultural: Salvá la brecha cultural con los servicios nativos de la nube desde arriba hacia abajo. La educación y la formación pueden ayudar a cambiar la mentalidad para que las personas comprendan las ventajas de la nube y la importancia de su postura de seguridad.

• Promover la asociación: Cualquier transición continua hacia la nube implica no solo entregar una cierta cantidad de control a terceros, sino también heredar la sofisticación de las soluciones de nube. Es importante construir relaciones de confianza con tus proveedores y considerar la propiedad de la seguridad como compartida.

De ahora en adelante, para asegurar y gestionar los controles de acceso en un entorno de múltiples nubes, tenemos como objetivo la alineación entre plataformas para que todas las identidades se alineen en todas las plataformas y proveedores. Al utilizar los datos como el controlador clave, nuestra seguridad en la nube seguirá siendo integral a medida que nuestras capacidades en la nube crecen a través de las plataformas.

Queremos descubrir nuevas soluciones y aumentar nuestra seguridad con IA para la detección de amenazas y el aprendizaje automático para corregir nuestro código, a fin de evitar posibles vulnerabilidades. Esto, en combinación con nuestra estrategia de prevenir, proteger, detectar y recuperar, puede fortalecer nuestra exigencia de confianza cero.