El desarrollo de la Nube en los últimos 15 años es una de las convergencias más importantes de las tecnologías informáticas y de comunicaciones de la historia. Proporciona agilidad y escalabilidad sin precedentes para las organizaciones, acceso inmediato a información y transacciones para los usuarios. Todo ello ha transformado nuestra economía global de manera similar a los smartphones y dispositivos IoT.

 

Estamos ante una de las transiciones tecnológicas más singulares de la historia. Tradicionalmente, cada vez que ha irrumpido una nueva tecnología, ya sea la máquina de vapor o Internet, ha habido una transición ordenada y a menudo rápida de herramientas antiguas a nuevas. La irrupción de la nube parecía mantener una trayectoria similar basada en la suposición inicial de que sería la mejor opción para toda la infraestructura de TI.

 

Sin embargo, según el reciente estudio realizado por la consultora independiente IHS Markit y promovido por Fortinet, la infraestructura, las aplicaciones y los datos se mueven continuamente de un lado a otro entre las redes físicas locales y las infraestructuras de Nube privadas / públicas a medida que las organizaciones intentan averiguar qué tipo de Cloud es el más adecuado. 

 

La multi-Cloud llegó para quedarse

 

De las 350 empresas encuestadas, el 74% había trasladado una aplicación a la Nube pública, y posteriormente, por distintas razones y circunstancias, decidió volver a subirla a su infraestructura local o a su nube privada. Esto no significa que revirtieron todas sus implementaciones en la Nube, solo que se están produciendo casos de movimiento bidireccional.

 

El 40% de los encuestados señaló que, en algunos casos, los despliegues en la Nube que revirtieron a su infraestructura se trataban de "planificaciones temporales". Esto podría deberse a variedad de factores, como la necesidad de establecer una infraestructura temporal durante una transición de TI asociada con una fusión o adquisición. Sin embargo, hay muchos otros asuntos que también podrían ser responsables, como las preocupaciones sobre la seguridad, la necesidad de gestionar los costes, el bajo rendimiento en la Nube, los cambios regulatorios, el desarrollo de nuevas aplicaciones y los cambios en las tecnologías subyacentes.

 

La necesidad de planificar los cambios

 

La realidad es que las fuerzas que impulsan estos cambios están en constante desarrollo, lo que hace que la dinámica multi-Cloud sea el nuevo entorno que muchas empresas necesitan. Las organizaciones que implementan aplicaciones y otros recursos en la Nube, y los proveedores de tecnología que los ayudan con la infraestructura, la gestión y la seguridad, deben considerar esta nueva realidad como una condición básica y crear productos y servicios teniendo en cuenta el movimiento bidireccional y la coexistencia.

 

Para aprovechar realmente lo mejor de la Nube, las organizaciones deben asegurarse de que las herramientas y tecnologías que utilizan ofrezcan capacidades robustas, con capacidad para automatizar las operaciones y con buena visibilidad en todos los entornos, lo que significa que deben operar en una variedad de Nubes públicas, así como en Nubes privadas y redes físicas locales. Al mover aplicaciones y servicios DevOps entre entornos en la Nube sin problemas y de manera directa, la seguridad puede ser un verdadero desafío.

 

¿Quién debe responsabilizarse de la seguridad en la Nube? 

 

El primer desafío es identificar quién es el dueño de la seguridad en caso de un incidente cibernético malicioso. Esta cuestión fue una de las preguntas que se analizó en el estudio, consultando a los encuestados sobre los factores que los llevaron a migrar de nuevo las aplicaciones a su infraestructura. Las dos respuestas más comunes, cada una seleccionada por el 52% de los encuestados, fueron el rendimiento y la seguridad.

 

¿Quién es el responsable? Si bien es probable que el rendimiento mejore con el tiempo a medida que las prácticas de creación de aplicaciones en la Nube se perfeccionan y las organizaciones establezcan mejor las expectativas, la seguridad sigue siendo un problema ya que muchas empresas no tienen claro quién es responsable de qué. En el mejor de los escenarios, en el que está claro quién debería ser responsable (como la existencia de una vulnerabilidad en la plataforma de virtualización / Nube), solo la mitad de los encuestados pudieron identificar el causante: la empresa que desarrolló o implementó la tecnología vulnerable. 

 

Por supuesto, es una respuesta cínica basada en la larga experiencia con tecnologías defectuosas plagadas de vulnerabilidades sobre las cuales los equipos de TI y seguridad aceptan su responsabilidad ya que, en la mayoría de los casos, han tomado la decisión de utilizar estas tecnologías. Por el contrario, un alto porcentaje de encuestados responsabilizó incorrectamente a su proveedor de la Nube de amenazas como las APT que afectan a los sistemas vulnerables que ellos eligieron implementar cuando, de hecho, es la propia organización la responsable.

 

Si bien las responsabilidades de seguridad se pueden dividir generalmente entre la infraestructura de Nube subyacente (que debe ser asegurada por el proveedor de la Nube) y el software, los datos y las aplicaciones que se ejecutan sobre esa infraestructura (que son responsabilidad del usuario), esas divisiones no están siempre bien definidas, especialmente cuando se trata de PaaS y FaaS. La mejor recomendación general es que cada usuario consulte cuáles son las buenas prácticas que cada proveedor de servicios en la Nube esté utilizando. Y espere que el proveedor de la Nube solo proporcione un entorno de trabajo aislado y disponible para ejecutar estos servicios. La Nube es una infraestructura compartida, y cuando se trata de la seguridad, es importante distinguir entre la responsabilidad de la organización y la del proveedor de la Nube para analizar el riesgo de manera efectiva.

 

El desafío tecnológico. En el estudio se pone en evidencia otro de los desafíos en el entorno en la Nube: las herramientas, funciones, políticas y protocolos de seguridad no funcionan de manera similar entre diferentes plataformas de Nubes públicas, Nubes privadas e infraestructuras físicas. Si bien mover una aplicación o servicio de un entorno a otro puede ser sencillo, muchas soluciones de seguridad requieren una cantidad significativa de recursos de TI para volver a implementar y validar una solución de seguridad, especialmente cuando los flujos de trabajo, las aplicaciones y los datos deben inspeccionarse y protegerse a medida que fluir entre diferentes ambientes.

 

Resolver este problema puede ser complicado. Comienza con la estandarización de un único proveedor de seguridad que proporcione soluciones que se ejecuten de manera consistente en el rango más amplio posible de la Nube pública, privada y en los entornos físicos. A continuación, estas herramientas deben ejecutarse de forma nativa en los diversos entornos de Nube pública para maximizar la eficiencia, al tiempo que traducen sin problemas las políticas, funciones y protocolos entre diferentes entornos utilizando alguna forma de capa de abstracción de objetos de Nube. Estos producirán los mejores resultados ya que el modelo operativo de seguridad existente sigue siendo aplicable en un entorno diverso y dinámico.

 

Conclusión

 

La transición a la Nube ha sido todo menos un proceso ordenado. Sin embargo, en un futuro, las aplicaciones y los servicios se moverán constantemente de un lado a otro entre diferentes entornos hasta que las organizaciones encuentren la combinación de soluciones públicas, privadas y locales que les funcionen mejor. E incluso entonces, seguirá habiendo muchas razones por las cuales las aplicaciones, la infraestructura y otros recursos deban trasladarse.

 

En este nuevo entorno dinámico, la seguridad no puede permitirse el lujo de ser algo adherido tras la implementación de múltiples herramientas dispersas. Este enfoque solo nos llevará a tener problemas como la expansión de proveedores, retrasos en la implementación y brechas de seguridad debido a cosas como incompatibilidades de configuración y diferencias en la funcionalidad y la aplicación de políticas entre las soluciones de seguridad implementadas en diferentes entornos.

 

Como consecuencia, en la nueva economía digital lo más recomendable es adoptar una estrategia de seguridad integrada que permita un modelo operativo de administración de seguridad optimizado, para ver y administrar dispositivos y políticas de seguridad en toda la red distribuida, que se ejecutan de forma nativa en diferentes entornos de Nube mientras se mantiene una aplicación consistente y que puede adaptarse a medida que la red continúa evolucionando.