• Ante el escenario actual en el que Gartner estima que los ingresos correspondientes al mercado mundial de servicios en public cloud crecerán un 17,3% en 2019, hasta alcanzar los 206,2 mil millones de dólares, surge más que nunca la necesidad de plantearse la definición de una estrategia corporativa de ciberseguridad enfocada al public cloud.
• José Giraldo, Operations Director Ackcent Cybersecurity

Al abordar la definición de la estrategia, podemos encontrarnos dos posibles escenarios:

• Organizaciones nativas en public cloud.

• Organizaciones que migran del mundo on-premise al public cloud manteniendo, o no, parte de su plataforma tecnológica on-premise (o un hosting tradicional). En este caso la estrategia de ciberseguridad, aunque sea correcta para el escenario on-premise, probablemente no pueda ser reutilizada para aspectos inherentes del public cloud, como Autoescalado (escalabilidad conforme al crecimiento de la demanda de recursos) y DevOps (ciclos cada vez más cortos de desarrollo, prueba, implementación y despliegue que permiten reducir drásticamente el time-to-market de nuevas funcionalidades).

Debemos de concebir la ciberseguridad como rol habilitador y generador de negocio

En ambos escenarios, se deberán tener en cuenta los siguientes aspectos en la definición de la estrategia corporativa de ciberseguridad:

• • Involucrar desde el primer momento al C-level de la organización y asegurar que se cuenta con la aprobación y el respaldo del management.

• • Establecer hitos realistas, no sólo a medio y largo plazo sino también a corto plazo, que permitan presentar resultados tangibles y medibles para seguir contando con el respaldo de la organización.

• • Concebir la ciberseguridad como rol habilitador y generador de negocio, alineada con los objetivos de negocio. Se deben establecer – según al estamento de la organización al que vaya dirigido el mensaje – distintas formas de explicar y demostrar este hecho. Una estrategia basada en causar miedo a largo plazo no funciona y es contraproducente. Se debe optar por hacer tangible el retorno de la inversión realizada, enfocando la ciberseguridad como medio para generar confianza en el cliente, generando así nuevas oportunidades de negocio.

• • Considerar la ciberseguridad como un proceso de mejora continua, que se adapta conforme a las necesidades cambiantes de la organización y del mercado. Establecer para ello indicadores a monitorizar para la detección temprana de posibles desviaciones sobre los objetivos marcados.

• • Orientación basada en el riesgo de la organización y sus proveedores, la estrategia de tratamiento del riesgo, el nivel de apetencia de riesgo y la posibilidad de aparición de nuevos riesgos que deberán ser analizados y evaluados periódicamente, junto con los ya existentes, para poder gestionarlos.

• • Enfoque de seguridad by default y by design.

• • Dar la misma importancia a las medidas de seguridad organizativas – como la formación y la concienciación periódicas – que, a las técnicas, ya que el factor humano es el eslabón más débil (ataques basados en ingeniería social y errores humanos, intencionados o no, en las iteraciones DevOps).

• Evaluar periódicamente la adopción de nuevos servicios de ciberseguridad, conforme son liberados por los proveedores de public cloud, de soluciones de terceros que permitan alcanzar los objetivos establecidos con mayor eficacia y eficiencia, monitorizar el nivel de cumplimiento conforme a las políticas de seguridad de la organización y los estándares de seguridad y cumplimiento que le sean de aplicación, además de la implementación en las iteraciones desde un enfoque SecDevOps.

Como conclusión, a modo de resumen se muestran a continuación una serie de tips para tener en cuenta durante la definición de la estrategia de ciberseguridad.