EncuentrosCloud

¿Están los CISO en la nube?

Los responsables de ciberseguridad llevan tiempo predicando sobre la importancia de incorporar por defecto la seguridad a todas las áreas de la empresa, pero ¿han tenido en cuenta los CISO los entornos complejos creados en la nube?

La cloud aporta una agilidad, escalabilidad y accesibilidad excepcional a los negocios, pero esto también influye en la creación de ecosistemas complejos, de rápido crecimiento y con un perímetro abierto difíciles de securizar. Los CISO de compañías de diversos sectores hablan sobre cómo afrontan la seguridad en los nuevos laberintos cloud en el encuentro de Computing, organizado junto a Check Point, Microsoft y T-Systems.

La migración a la nube avanza sin prisa pero sin pausa. La accesibilidad a los sistemas deslocalizados de las compañías con sedes en otros países ha aumentado exponencialmente gracias a la cloud. Este aumento “ha evitado la generación de cuellos de botella en los servicios centrales”, afirma Alberto López, IT & Cybersecurity Manager de Solaria Energía. “El entorno on premise está pasando a ser una extensión de la cloud. Estamos realizando despliegues en Azure, pero vamos muy despacio ya que a cada paso extendemos la seguridad de extremo a extremo”. La compañía cuenta con un CyberSoc, “cuyos sistemas están conectados a la red 24/7 y tenemos muy controlado el perímetro y los equipos que poseen cada uno de nuestros 135 empleados”.

El despliegue en la cloud es tan ágil que a veces aplicamos la seguridad de manera liviana

Existen empresas que no tienen oficinas internacionales, pero sí clientes que manejan sistemas de muy distinta naturaleza. “En Haya Real Estates nuestros principales clientes son entidades bancarias que poseen datos sensibles, diversos sistemas y aplicaciones y, además, están muy sujetas a la regulación, lo que nos obliga a actuar siempre acorde a la normativa”, cuenta Javier Sánchez, CISO de la compañía. “Los servicios de caja negra en cloud -de los que hay que tener muy controladas las entradas y salidas, es decir, su interfaz- los gestionamos nosotros. Sin embargo, otro tipo de servicios de los que hay que controlar más su funcionamiento interno y no tanto su forma de interactuar con los demás sistemas; los gestiona, en muchas ocasiones, un tercero”, explica el CISO. En Haya Real Estates no poseen sistemas heredados, “todo lo nuevo que vamos implantando lo hacemos mediante soluciones modernas en la nube con la seguridad por diseño y aplicando monitorización y regulación”.

El paso de on premise a la nube conlleva la convivencia de ambos modelos durante un periodo de tiempo, la mayoría de las veces indefinido, que los CISO han tenido que aprender a gestionar. “Durante los últimos seis años, en Roche hemos combinado las soluciones locales con las de la nube siguiendo los estándares de seguridad. Esto ha sido posible gracias al entrenamiento en esta nueva tecnología y la concienciación de todos los equipos de la compañía”, dice Jairo Serrano, IT Security Manager de Roche – Diabetes Care. Al igual que el sector financiero, el de Pharma está muy regulado, “un factor que obliga a someter las cajas negras creadas en la cloud a unos controles de seguridad muy específicos y que, muchas veces, retrasan la adopción de esta tecnología”.

Acceda al reportaje completo en PDF

Computing 805