La seguridad de TI, o ciberseguridad, es un elemento clave para cualquier empresa o institución. Los datos son un activo que exige confidencialidad e integridad en los servicios de outsourcing, y la disponibilidad de datos y sistemas es crítica para la operación de los procesos de negocio. 

                           

Cada vez más, los procesos exigen que los sistemas tengan accesos externos o públicos a través de Internet. Al mismo tiempo, cada vez hay más amenazas en la red, tales como accesos indebidos, ataques de denegación de servicio y ransomware. Las amenazas se desarrollan a un ritmo tan frenético, que es muy difícil seguirles el paso implementando permanentemente nuevas medidas de protección. Ya no basta con un antivirus y un firewall; ahora es necesario implementar un marco de seguridad integral que proteja la infraestructura, las aplicaciones, los datos en reposo y en tránsito, los accesos de usuarios, las comunicaciones, etc. 

   

Afortunadamente hoy es posible acceder a tecnologías especializadas de seguridad, especialmente en los clouds públicos, como es el caso de AWS, a costos asequibles para cualquier cliente. Sin embargo, estas tecnologías sólo son las piezas básicas necesarias para montar un marco de seguridad adecuado a los requerimientos actuales. 

 

Qué se necesita para un ambiente TI seguro

 

Los elementos clave son los siguientes: 

 

   · Un marco de ciberseguridad que entregue estándares, pautas y mejores prácticas para gestionar el riesgo relacionado con la ciberseguridad. Por ejemplo: PCI DSS, ISO 27001/27002, CIS Critical Security Controls, o NIST Framework for Improving Critical Infrastructure Security. 

 

   · Políticas, prácticas y procedimientos definidos de acuerdo con el marco adoptado. 

   

   · Competencias profesionales para la implementación de la seguridad, y para su mejora continua. 

 

   · Tecnologías disponibles para implementar la seguridad. 

 

Cómo se puede lograr esto

 

Adoptar un marco de ciberseguridad, desarrollar políticas y procedimientos, contar con las competencias y las tecnologías necesarias supone un esfuerzo prácticamente inabordable para una empresa mediana o pequeña. Afortunadamente están disponibles dos elementos que permiten salvar esta situación:

 

   · Externalización de los servicios TI, con un proveedor que aporte, como parte de sus servicios, los elementos de seguridad tales como políticas, buenas prácticas, procedimientos; el conocimiento, la experiencia y las competencias necesarias. 

 

   · Un cloud público, como AWS (Amazon Web Services), que aporta una infraestructura como servicio (IaaS) de por sí segura (datacenter seguro, comunicaciones seguras, infraestructura física segura, virtualización segura, etc.) y servicios adicionales seguros (bases de datos seguras, control de acceso seguro, etc.), y además aporta las tecnologías necesarias para implementar la ciberseguridad en los niveles superiores, en los cuales el cliente es el responsable (datos, aplicaciones, etc.).

 

La ciberseguridad en los servicios externalizados

 

El servicio externalizado debe incluir un modelo de seguridad de responsabilidad compartida entre el cliente, el proveedor externo y el cloud público. Por ejemplo, AWS es responsable de la seguridad propia de la infraestructura y de los servicios de la nube; Novis es responsable de la seguridad de lo que se implementa sobre la nube (sistemas operativos, aplicaciones, redes) y el cliente es responsable de las políticas y estándares de seguridad de uso interno, en relación los usuarios, roles y autorizaciones de acceso a aplicaciones y datos, y de la seguridad de los dispositivos bajo su control (estaciones de trabajo, dispositivos móviles, comunicaciones, etc.).

 

El marco de ciberseguridad que contempla el servicio debe permitir 

 

   · Identificar los riesgos de seguridad; 

 

   · Proteger la infraestructura, sistemas y datos ante potenciales eventos de seguridad; 

 

   · Detectar la ocurrencia efectiva de eventos de seguridad; 

 

   · Responder a los incidentes de seguridad, con respuestas planificadas, comunicaciones, medidas de mitigación, análisis y mejoras; y 

 

   · Recuperar las operaciones normales mediante planes, medidas de contingencia, comunicaciones y mejoras. 

 

Herramientas para la ciberseguridad 

 

AWS provee una gama muy amplia de herramientas y servicios para implementar la seguridad. Sin embargo, es necesario saber cuáles son las más adecuadas y convenientes, tanto técnica como económicamente, y además es necesario saber cómo implementarlas. Los servicios de AWS se amplían permanentemente, por lo cual es necesario que el proveedor del servicio basado en AWS se mantenga en un proceso continuo de capacitación y entrenamiento. 

 

A modo de ejemplo, AWS provee hoy herramientas y servicios para 

 

   · Protección del borde del datacenter de ataques crecientemente más complejos, como ataques masivos de denegación de servicios (DDoS) o amenazas persistentemente avanzadas (APT) (seguridad perimetral). 

 

   · Encriptación de los datos en tránsito y en reposo, a lo largo de todo su ciclo de vida. 

 

   · Bitácora de eventos que permiten controlar y monitorear políticas e incidentes de seguridad en tiempo real y de manera automatizada (auditabilidad y trazabilidad). 

 

   · Más de 50 certificaciones y acreditaciones de conformidad (compliance) (ver figura 1) 

 

   · Múltiples herramientas con pago por uso para implementar seguridad en diferentes niveles (ver figura 2) 

Figura 1*

Figura 2*

Conclusión

 

La mejor solución disponible hoy para satisfacer los crecientes requerimientos de seguridad en los sistemas existentes es la externalización con un proveedor de servicio TI que incluya un modelo de seguridad avanzado como parte del servicio. 

 

Los servicios basados en el cloud público de AWS proveen los mejores niveles de seguridad disponibles hoy en el mercado, en la medida en que se cuente con un proveedor competente que domine las herramientas y los servicios, y en que las buenas prácticas estén incorporadas en los servicios entregados

 

De este modo el servicio externalizado no solo reemplaza a un servicio existente interno o externo, sino que agrega un tremendo componente de valor agregado, el cual es de primera necesidad en el actual entorno de TI de todas las empresas e instituciones. 

 

 Feedback/discusión con el autor: Glen Canessa, Director de Preventa de Novis