Estrategia de confianza cero: Seguridad en la nube por diseño

Necesidad de cambio

Como hemos visto en los últimos 18 meses, la nube abre la puerta a la agilidad organizativa a una escala sin precedentes. Pero la seguridad es esencial para hacer realidad el potencial de la nube. Accenture, con nuestro tamaño, escala y complejidad, ha experimentado de primera mano el poder de la seguridad en la nube.

Hace seis años, Accenture inició la transición a la nube. Aunque nuestra reciente investigación ha identificado que los riesgos de seguridad y cumplimiento se consideran uno de los dos principales puntos débiles de la adopción de la nube, desde el primer momento teníamos claro que la seguridad en la nube sería un componente fundamental para satisfacer nuestras necesidades empresariales.

Pasar de una infraestructura local, donde teníamos un control total, a colaborar en la nube con proveedores y tener que confiar en su tecnología y entorno, supuso un gran cambio. La infraestructura y las nuevas capacidades de servicio en la nube son diferentes; no podíamos simplemente pasar lo que teníamos en las instalaciones directamente a la nube.

Teníamos que reinventar el enfoque de implementación de nuestro modelo de seguridad para aprovechar las capacidades de las soluciones nativas de la nube. Hemos desarrollado principios básicos de seguridad para cumplir los requisitos de funcionamiento en la nube. Hemos redefinido nuestras reglas de seguridad para adaptarlas a la infraestructura actualizada basada en la nube. Cuando analizamos nuestro enfoque de seguridad, pensamos más allá de la infraestructura y nos centramos en las aplicaciones, los datos y el código.

En la actualidad, la infraestructura de TI de Accenture se ejecuta en la nube híbrida y cuesta mucho menos que nuestros modelos de servicio heredados. Nuestra estrategia era proteger desde el primer momento, redefiniendo nuestra seguridad en términos de capacidades de nube, lo que nos ha ayudado a ver cómo nuestras soluciones de nube pueden respaldar todos los elementos de seguridad necesarios en la empresa.

Cuando la tecnología y el ingenio humano se juntan

Al principio de nuestra transición a la nube, reconocimos la necesidad de desarrollar nuestras prácticas de seguridad para acomodar nuestros valores de seguridad fundamentales para la nube. Queríamos contar con tecnología definida por software para proteger el código de nuestras aplicaciones e infraestructuras desde el primer momento. Incorporamos análisis basados en el comportamiento mediante análisis de comportamiento con inteligencia artificial (IA) automatizados para identificar anomalías más rápido y con mayor precisión al trabajar en nuestras plataformas de nube. Para nosotros, era importante no depender de ninguna nube concreta y estar preparados para un entorno multinube, de modo que el marco de seguridad y los principios se aplicaran a cualquier proveedor de nube con capacidad de auditoría.

Además, hemos incorporado una sólida defensa, confiando en múltiples capas de seguridad en diferentes profundidades: nube, red, acceso, datos y endpoints. Hemos centrado nuestra estrategia en un enfoque de confianza cero, que protege todos los aspectos de la transición a la seguridad en la nube y considera que todo es potencialmente inseguro. Al centrarnos en la confianza cero, seguimos un enfoque centrado en la identidad, basando todo el acceso en la identidad, donde cada solicitud se verifica explícitamente.

Cinco funciones principales han contribuido a que la transición a la seguridad en la nube fuera un éxito:

Hemos compartido responsabilidades. A medida que aumentamos nuestro consumo de software como servicio (SaaS) y plataforma como servicio (PaaS) en la nube, nos centramos en un modelo de responsabilidad compartida con nuestros proveedores de nube y confiamos en él. Al compartir la responsabilidad con nuestros proveedores de hiperescala en lugar de responsabilizarnos de ella, nos volvemos inherentemente más seguros. Nuestras asociaciones con los servicios en la nube de Microsoft, Amazon y Google aprovecharon su madurez en el mercado, sus amplias certificaciones de seguridad y el hecho de que valoran la seguridad tanto como nosotros.

Hemos buscado soluciones basadas en la nube. Los proveedores de nube están invirtiendo mucho en sus ofertas de innovación y seguridad. Al utilizar políticas, controles, procesos y tecnologías nativos y basados en la nube, pudimos aprovechar la agilidad y la escalabilidad inherentes a la hora de respaldar nuestra propia seguridad en la nube.

Hemos fomentado el cumplimiento. En colaboración con nuestros proveedores, nuestra estrategia de seguridad en la nube se basa en estándares reconocidos en el sector y se adapta continuamente a las necesidades empresariales. Cumplimos las políticas definidas por el sector, mediante alertas, siguiendo el principio de confianza cero y gestionando la seguridad mediante código para mantener el cumplimiento. Esto garantiza que nuestros servicios, usuarios, cargas de trabajo y datos estén seguros desde el primer momento y que estén protegidos frente al cambiante panorama de amenazas, así como que se puedan auditar para las validaciones por parte de terceros.

Hemos aumentado la visibilidad. Adoptamos un enfoque de varios niveles, mejorando la seguridad a través de la tecnología de los proveedores de nube y las soluciones avanzadas de detección de amenazas. Hemos ganado visibilidad no solo para nuestra propia gestión procesable, sino también para la auditabilidad externa.

Hemos integrado la confianza. Creemos que la identidad es el nuevo firewall. Nuestro enfoque centrado en la identidad significa que hemos adoptado una estrategia de confianza cero en la que integramos una validación de identidades adecuada y continua. Ahora, la confianza se va a basar fundamentalmente en la identidad y la función.

Una diferencia significativa

Hemos adoptado una visión completa de los diversos componentes de las operaciones en la nube para crear una estrategia de seguridad en la nube verdaderamente integral. A medida que implementamos este enfoque de transformación de la seguridad en una infraestructura multinube, podemos seguir aplicando políticas, recursos y servicios de seguridad muy eficaces.

Estas son algunas de las lecciones que hemos aprendido sobre la seguridad eficaz en la nube:

• Diseñar en términos de nube: una transición a la continuidad en la nube requiere un modelo operativo muy diferente al de cualquier solución local. Reimagina tus principios de seguridad en términos de la nube para hacer realidad el potencial de la seguridad en la nube y transformar tu empresa.

• Realizar el cambio cultural: reduce la brecha cultural que te separa de los servicios nativos de la nube de arriba abajo. La educación y la formación pueden ayudar a cambiar la mentalidad para que las personas comprendan las ventajas de la nube y por qué tu estrategia de seguridad es importante.

• Fomentar la colaboración: cualquier transición a la continuidad de la nube implica no solo ceder una cierta cantidad de control a terceros, sino también heredar la sofisticación de las soluciones en la nube. Es importante establecer relaciones de confianza con tus proveedores y considerar la seguridad como una responsabilidad compartida.

En el futuro, para proteger y gestionar los controles de acceso en un entorno multinube, tenemos la mirada puesta en la alineación multiplataforma para que todas las identidades se alineen en todas las plataformas y proveedores. Al utilizar los datos como factor clave, nuestra seguridad en la nube seguirá siendo exhaustiva a medida que nuestras capacidades de nube crezcan en todas las plataformas.

Y queremos descubrir nuevas soluciones y aumentar nuestra seguridad con IA para la detección de amenazas y el aprendizaje automático para corregir nuestro código y evitar posibles vulnerabilidades. Esto, combinado con nuestra estrategia de prevención, protección, detección y recuperación, puede fortalecer nuestro imperativo de confianza cero.