Estrategia de cero confianza: seguridad diseñada en la nube

Una llamada al cambio

Como vimos en los últimos 18 meses, la nube abre la puerta a la agilidad organizacional en una escala sin precedentes. Pero la seguridad es esencial para aprovechar el potencial de la nube. Accenture, con nuestro tamaño, escala y complejidad, experimentó de primera mano el poder de la seguridad en la nube.

Hace seis años, Accenture inició la transferencia a la nube. Si bien en nuestra investigación reciente se identificó que el riesgo de seguridad y cumplimiento se considera uno de los dos principales puntos débiles de la adopción de la nube, desde el principio, nos dimos cuenta de que la seguridad en la nube sería un componente fundamental para apoyar las necesidades de nuestra empresa.

Pasar de una infraestructura local, donde teníamos un control total, a colaborar en la nube con proveedores y tener que depender de su tecnología y su entorno fue un gran cambio. La infraestructura y las nuevas capacidades de servicio en la nube son diferentes; no pudimos traducir lo que teníamos en las instalaciones directamente en la nube.

Debíamos repensar el enfoque de la implementación de nuestro modelo de seguridad para aprovechar las capacidades de las soluciones nativas de la nube. Desarrollamos principios fundamentales de guía de seguridad para cumplir con los requisitos de funcionamiento en la nube. Redefinimos nuestras reglas de seguridad para que se flexibilicen en torno a la infraestructura actualizada basada en la nube. Cuando analizamos nuestro enfoque de seguridad, pensamos más allá de la infraestructura y también tenemos en cuenta el nivel de las aplicaciones, los datos y el código.

Hoy en día, la infraestructura de TI de Accenture se ejecuta en la nube híbrida y cuesta mucho menos que nuestros modelos de prestación de servicios antiguos. Nuestra estrategia consistía en garantizar la seguridad desde el principio, replanteándonos nuestra seguridad en términos de capacidades en la nube, lo que nos ayudó a ver cómo nuestras soluciones en la nube pueden respaldar todos los elementos de seguridad necesarios dentro de la empresa.

Cuando la tecnología se une al ingenio humano

Al principio de nuestro recorrido en la nube, reconocimos la necesidad de evolucionar nuestras prácticas de seguridad para adaptarnos a nuestros valores de seguridad principales en la nube. Queríamos basarnos en el software definido, protegiendo nuestro código de aplicaciones e infraestructura desde el principio. Incorporamos análisis basados en el comportamiento, utilizando análisis de comportamiento automatizados con I para identificar anomalías más rápido y con mayor precisión al trabajar en nuestras plataformas en la nube. Para nosotros era importante ser independientes de la nube, adaptarnos a un entorno de múltiples nubes, de modo que el marco y los principios de seguridad se aplicaran a cualquier proveedor de nube con capacidad de auditoría.

Además, incorporamos una defensa sólida, que se basa en varias capas de seguridad a distintas profundidades: nube, red, acceso, datos y puntos finales. Centramos nuestra estrategia en un enfoque de confianza cero, protegiendo todos los aspectos de la seguridad en la nube al tratar todo como no confiable. Con el enfoque en la confianza cero, seguimos un método centrado en la identidad, basando todo el acceso en la identidad y verificando explícitamente cada solicitud.

Cinco funciones principales contribuyeron a un proceso exitoso de seguridad en la nube:

Compartimos responsabilidades. A medida que aumentamos nuestro consumo de software como servicio (SaaS, del inglés software as-a-service) y plataforma como servicio (PaaS, del inglés platform as-a-service) en la nube, nos centramos y confiamos en un modelo de responsabilidad compartida con nuestros proveedores de nube. Al compartir la responsabilidad con nuestros hiperescaladores en lugar de asumirla nosotros mismos, nos volvemos inherentemente más seguros. Nuestras asociaciones con los servicios en la nube de Microsoft, Amazon y Google aprovecharon su madurez en el mercado, sus amplias certificaciones de seguridad y el hecho de que valoran la seguridad tanto como nosotros.

Buscamos soluciones basadas en la nube. Los proveedores de servicios en la nube están realizando grandes inversiones en sus ofertas de innovación y seguridad. Mediante el uso de políticas, controles, procesos y tecnologías basadas en la nube y nativas de la nube, pudimos aprovechar una agilidad y escala inherentes para respaldar nuestra propia seguridad en la nube.

Habilitamos el cumplimiento. Al asociarnos con nuestros proveedores, nuestra estrategia de seguridad en la nube se ajusta a los estándares reconocidos por la industria y se adapta continuamente a las necesidades empresariales. Respetamos las políticas definidas por la industria, mediante alertas, siguiendo el principio de confianza cero y administrando la seguridad a través del código para mantener el cumplimiento. Esto garantiza que nuestros servicios, usuarios, cargas de trabajo y datos estén seguros desde el primer día y permanezcan protegidos contra el panorama de amenazas en constante cambio, así como auditables para la validación de terceros.

Aumentamos la visibilidad. Tomamos un enfoque de varias capas para mejorar la seguridad mediante la tecnología de los proveedores de nube y las soluciones avanzadas de detección de amenazas. Obtuvimos visibilidad no solo para nuestra propia administración procesable, sino también para la auditabilidad externa.

Nos basamos en la confianza. Creemos que la identidad es el nuevo servidor de seguridad. Nuestro enfoque centrado en la identidad significa que adoptamos una estrategia de confianza cero en la que incorporamos una validación de identidad adecuada y continua. La confianza ahora se va a basar fundamentalmente en la identidad y el rol.

Una diferencia valiosa

Tomamos una visión integral de los diversos componentes de funcionamiento en la nube para crear una estrategia de seguridad de la nube verdaderamente holística. A medida que implementamos este enfoque transformador de seguridad en una infraestructura de varias nubes, podemos seguir aplicando políticas, recursos y servicios de seguridad altamente eficaces.

Estas son algunos de nuestros aprendizajes en torno a la seguridad eficaz en la nube:

• Diseño en términos de la nube: La transición al continuo de la nube requiere un modelo operativo muy diferente al de cualquier solución local. Repiensa tus principios de seguridad en términos de la nube para liberar el poder de la seguridad en la nube y transformar tu empresa.

• Cambio cultural: Salva la brecha cultural con los servicios nativos de la nube desde arriba hacia abajo. La educación y la formación pueden ayudar a cambiar la mentalidad para que las personas comprendan las ventajas de la nube y la importancia de su postura de seguridad.

• Promoción de asociaciones: Cualquier proceso de continuidad de la nube implica no solo entrega una cierta cantidad de control a terceros, sino que también hereda la sofisticación de las soluciones de nube. Es importante construir relaciones de confianza con sus proveedores y considerar la propiedad de la seguridad como compartida.

En adelante, para asegurar y gestionar los controles de acceso en un entorno de múltiples nubes, tenemos como objetivo la alineación entre plataformas para que todas las identidades se alineen en todas las plataformas y proveedores. Al utilizar los datos como el impulsor clave, nuestra seguridad en la nube seguirá siendo integral a medida que nuestras capacidades en la nube crecen a través de las plataformas.

Queremos descubrir nuevas soluciones y aumentar nuestra seguridad con IA para que la detección de amenazas y el aprendizaje automático corrijan nuestro código y evitar así posibles vulnerabilidades. Esto, en combinación con nuestra estrategia para prevenir, proteger, detectar y recuperar, puede fortalecer nuestra obligación de confianza cero.