La ciberseguridad: una importante razón para elegir la nube

En los orígenes del cloud, hace más de 10 años, muchas empresas vieron los grandes beneficios que podía traer en reducción de costos, agilidad y capacidad de innovación. Los frenos estaban en el equipo de ciberseguridad, que no se sentía tranquilo teniendo cargas de trabajo fuera de su perímetro.

"Hoy en día, muchos de los equipos dedicados al área saben que los niveles de seguridad de los centros de datos en la nube, tanto en seguridad física, procesos y controles, como en sistemas de seguridad, son muy superiores a los que pueden alcanzar la mayoría de las organizaciones. Esto se convirtió en un motivador más para moverse a la nube", explica Mauricio Muñoz, gerente senior regional de Arquitectos Especialistas de Soluciones de Amazon Web Services (AWS).

Y es que los expertos en ciberseguridad representan el recurso más escaso en muchas organizaciones, agrega el ejecutivo. Tanto, que incluso disponiendo de los recursos para contratar a estos especialistas, les resulta muy complejo encontrarlos.

Por eso, entre los beneficios de la infraestructura cloud está poder implementar mecanismos de seguridad automatizados embebidos: en la nube que opera AWS, por ejemplo, el 96,4% de los incidentes de seguridad propios de la plataforma se resuelve automáticamente, sin intervención humana.

Responsabilidad compartida

En la nube existe un modelo de responsabilidad compartida que permite reducir las tareas administrativas en seguridad.

Muñoz detalla que, en el caso de AWS, al utilizar servicios de infraestructura, la compañía se encarga de la seguridad del centro de datos, el control de acceso, su refrigeración, energía redundante y de proteger los recursos de tecnología -servidores, equipos de red, equipos de almacenamiento-, junto con los procedimientos para el limpiado y destrucción de los mismos al ser necesario, y las tecnologías de virtualización para entregar una instancia (o máquina virtual) con el sistema operativo instalado con los últimos niveles de parches.

De esta manera, el cliente es responsable de actualizar el sistema operativo y de las aplicaciones que allí ejecute.

"Si utilizamos servicios gestionados, como por ejemplo Amazon RDS, un servicio que provee servidores de bases de datos administrados por AWS, la mayor responsabilidad queda del lado de AWS, ya que no sólo instala, actualiza y gestiona el sistema operativo, sino también la base de datos y todos los mecanismos de seguridad que requieren los estándares de seguridad en los que AWS está certificado", acota el ejecutivo.

Democratización

La nube puede ser un elemento clave para la democratización de la seguridad, es decir, que todos tengan acceso a ella, dice el especialista. "Nuestra infraestructura está diseñada para cumplir con los requerimientos de seguridad de militares, bancos globales y otras organizaciones donde la seguridad es crítica", agrega.

Así, la compañía usa los mismos componentes de hardware y software para construir todas sus regiones, "de modo que todos nuestros clientes se beneficien de cada control de seguridad que agregamos, y cuenten con un nivel que fue validado y aceptado para correr cargas top secret", afirma.

Lo anterior hace que todos los servicios estén disponibles sin importar el tamaño de la empresa, con un modelo de pago por uso que permite a las PYME acceder a ellos y no tener que correr riesgos debido a los costos que tienen las soluciones de seguridad, precisa Muñoz, detallando que muchas son gratuitas. Por ejemplo, dice, "AWS Shield Standard mitiga ataques de denegación de servicio que intentan saturar a sus aplicaciones, y AWS Systems Manager ayuda a gestionar parches entre muchas funcionalidades adicionales".

La escala de la nube es un gran valor en seguridad, afirma, ya que cuando un ataque afecta a algún cliente, todos pueden beneficiarse del patrón aprendido. La escala le permite también a AWS "invertir significativamente más en controles de seguridad y contramedidas que lo que casi cualquier organización podría solventar".

Cumplimiento regulatorio de cargas en la nube

"Para los clientes en la nube es mucho más sencillo pasar sus auditorías, ya que sólo deben demostrar cumplimiento en los controles que son de su responsabilidad (GAP Assessment)", dice Mauricio Muñoz.

En el caso de AWS, la escala de la nube también le ha permitido invertir para realizar los esfuerzos de cumplimiento regulatorio requeridos por la mayoría de los clientes en el mundo, de modo tal que "hoy contamos con más de 200 certificaciones y acreditaciones de seguridad y conformidad, como los controles de Cloud Security Alliance, ISO 27001, ISO 27017, ISO 27018, los procesos de seguridad con SOC 1, SOC 2, SOC 3. Los clientes pueden correr cargas de trabajo que requieran PCI-DSS, y se realizan más de 2.600 controles de seguridad anualmente".

Estas certificaciones están disponibles gratuitamente en el servicio AWS Artifact.

LinkedIn: https://www.linkedin.com/company/ amazon-web-services
Web: https://aws.amazon.com/es/ what-is-aws/