Los desajustes empresariales de COVID-19 aceleraron el movimiento de las empresas hacia la nube. Los servicios informáticos basados en la web permitieron a los empleados trabajar a distancia, estabilizaron las cadenas de suministro y ofrecieron nuevas experiencias digitales a consumidores inesperadamente confinados en casa.
Era inevitable que algunos ejecutivos con aversión al riesgo empezaran a preguntarse por la exposición asociada a toda esa migración de datos. De hecho, la encuesta de PwC sobre el Negocio de la nube en EE.UU., publicada este año, reveló que la mitad de los líderes de las empresas encuestadas consideran los riesgos de la computación en la nube como una barrera importante para obtener valor de ella.
Sin embargo, Michael Corey, líder de ciberseguridad en tecnología, medios de comunicación y telecomunicaciones de PwC US, ve potencial para replantear la conversación sobre la nube en torno al riesgo.
"La ciberseguridad puede ayudar a acelerar la innovación empresarial", afirma. "La seguridad nativa de la nube y las herramientas de monitorización han creado un mundo en el que el talento de la ingeniería de seguridad de la nube completa puede acelerar la adopción con un tiempo de salida al mercado más rápido y menores costos."
"Pero primero", dijo Corey, "las organizaciones deben planificar su estrategia de nube en las necesidades específicas en torno a la ciberseguridad, así como el cumplimiento."
Los ciberdelincuentes explotan las vulnerabilidades temporales, pero las empresas tienen que estar atentas a las situaciones grandes y pequeñas
Los profesionales de la seguridad en la nube deben entender cómo la expansión de las huellas en la nube se traduce en riesgo, dijo Corey.
Consideremos los rápidos cambios hacia la informática basada en la web que se produjeron inmediatamente después de las políticas de trabajo a distancia aplicadas en respuesta a COVID-19. Con la movilización de los planes de trabajo a distancia por parte de muchas empresas prácticamente de la noche a la mañana en marzo de 2020, los servidores y las aplicaciones utilizadas para la gestión de la identidad, la planilla y la administración de los recursos humanos -funciones que tradicionalmente habían estado confinadas a las redes corporativas internas- quedaron repentinamente expuestas a Internet, dijo Corey.
Al mismo tiempo, la implantación masiva de aplicaciones de software como servicio permitió a los trabajadores colaborar a través de videoconferencias y compartir documentos. Las interfaces de programación de aplicaciones de estos servicios conllevan sus propias complejidades, lo que aumenta las posibilidades de que se produzcan desconfiguraciones de seguridad.
Son precisamente esas desconfiguraciones las que los malhechores exploran en busca de un agujero para aprovecharse, dijo Corey. Señaló una "sensación de asimetría" entre el trabajo de los equipos de seguridad y los delincuentes: Una parte debe vigilar innumerables dispositivos, mientras que la otra sólo necesita encontrar una vulnerabilidad.
Los delincuentes de la ciberseguridad practican la llamada ingeniería social, como el uso de mensajes influidos por la pandemia para conseguir que la gente haga clic en un enlace de suplantación de identidad y desencadene involuntariamente un malware.
"No es que los malhechores estén innovando más que las empresas innovadoras", dijo Corey. "Pero tienen la capacidad de cambiar su atención en función de la situación con la intención de ir a por la fruta más fácil. En otras palabras, la forma más probable de comprometer el sistema de su blanco".
También existe la percepción errónea de que el único riesgo asociado a la migración a la nube es la exposición de datos sensibles. Hay otros riesgos, dijo Cameron Whittfield, líder de tecnología, medios de comunicación y telecomunicaciones de PwC Red Legal Global (PwC Australia). Entre ellos están "la falta de transparencia y control, el aumento de la complejidad (sobre todo cuando se gestionan múltiples proveedores y ecosistemas de TI), los riesgos de compatibilidad, los riesgos de los proveedores externos y los riesgos de transición", dijo.
Cómo el cumplimiento de la nube puede ayudar a las empresas a prepararse
"Entre los posibles obstáculos para la migración a la nube se encuentran los requisitos de cumplimiento y los costos asociados", dijo Whittfield.
El incumplimiento, cuando una empresa no cumple con sus obligaciones reglamentarias, puede dar lugar a investigaciones de la normativa, daños a la reputación y, posiblemente, responsabilidad regulatoria y legal. Algunas empresas, que ya han sufrido pérdidas a lo largo de 2020, pueden decidir que los costos de cumplimiento no valen la pena de la migración a la nube.
Whittfield entiende esta preocupación. Pero considera que el laberinto de cumplimiento de la nube es manejable -y, en última instancia, valen la pena- una vez que una organización consigue que las personas, los procesos y la tecnología trabajen juntos.
"Para el cumplimiento interno del día a día, se puede aprovechar la tecnología y la automatización", dijo Whittfield. "Sin embargo, esto sólo es tan eficaz como la capacidad humana para definir los requisitos de supervisión del cumplimiento y responder a las áreas de incumplimiento".
Cada sector tiene una relación distinta con la nube, y con los problemas de seguridad y cumplimiento que presenta. Whittfield señaló que los sectores de la venta al por menor, los bienes de consumo y las telecomunicaciones están más avanzados en la adopción de la nube, mientras que los sectores de los servicios financieros y la administración pública tienden a atraer capas adicionales de escrutinio.
Cree un proyecto de nube, y no tenga miedo de empezar poco a poco
"Solemos ver que los clientes están preocupados por la complejidad de mantener el cumplimiento de la normativa cuando operan en la nube, y hay que reconocer que puede ser complejo", reconoció Whittfield.
Para gestionar las complejidades, recomienda desarrollar lo que él llama una función de gobernanza de la nube como parte del plan general de la nube de una empresa. Esto permite una gestión oportuna y precisa de las actividades de riesgo y cumplimiento, a través de una mezcla de flujo de trabajo gestionado por personas y automatización dirigida por software.
La mejor manera de evaluar el riesgo y el cumplimiento es según lo que Whittfield llama una matriz de responsabilidad compartida, para garantizar que haya varios ojos en la seguridad de los datos en la empresa, el proveedor de servicios en la nube y otros terceros aplicables. También se pueden potenciar las herramientas integradas para crear y simplificar los programas de cumplimiento.
Por último, subrayó que está perfectamente bien empezar de a poco, con lo que se conoce como "nube mínima viable", una versión centrada en la nube del modelo de "producto mínimo viable" de desarrollo de software o productos que hace despegar un proyecto.
"Las empresas pueden querer empezar con una nube mínima viable y crear memoria muscular en torno a ella", dijo. "Algunas organizaciones tienen requisitos únicos, y la adopción de la nube no tiene por qué ser un 'big bang' desde el principio".
"Dadas las implicaciones que surgen de una migración a la nube en términos de personas, procesos y tecnología, vale la pena considerar un enfoque ágil e iterativo, identificando lo que funciona para cada organización individualmente".
Y aunque las exigencias de cumplimiento pueden hacer que los ejecutivos sientan que es demasiado fácil dar un paso en falso, Whittfield dijo que vale la pena recordar a quién está diseñada esta supervisión para salvaguardar.
"En última instancia, se trata de proteger al cliente, al consumidor y a la comunidad", dijo. "A fin de cuentas, las regulaciones relacionadas con la nube existen para sostener y construir la confianza en un entorno digital al tiempo que proporcionan seguridad y confianza".
Este artículo fue creado por Insider Studios con PwC. El artículo original puede encontrarse aquí.
Autores: Michael Corey, Socio de Ciberseguridad, Privacidad & Forense, PwC Estados Unidos, y Cameron Whittfield, Socio Líder de Media & Telecomunicaciones, Socio de la Red Legal Global, PwC Australia.
