Sin seguridad no hay transformación cloud

La computación en cloud se ha convertido en el entorno preferido a la hora de trasladar procesos, gestionar aplicaciones y delegar ciertas capas de responsabilidad sobre los Proveedores Cloud (CSP, por sus siglas en inglés), aunque siempre con atención, dado que la seguridad no es una de ellas.

Los CSP no son los únicos responsables de la seguridad de los activos, y datos, del Cloud, y dependiendo del modelo de consumo: Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), o Software-as-a-Service (SaaS); los niveles de responsabilidad varían y podemos encontrarnos con la casi entera responsabilidad de garantizar la protección y defensa del entorno Cloud. En este sentido, no importa el tamaño de la empresa, sino tener claro el alcance de las responsabilidades; y desde un punto de vista de seguridad, el contar con una estrategia, una arquitectura de seguridad, y las capacidades adecuadas para llevar a cabo una correcta transformación, despliegue y operación en el Cloud.

Con el fin de ayudar a las empresas a alcanzar sus objetivos, Capgemini cuenta con un Portfolio de servicios en ciberseguridad adaptados a los retos planteados por la adopción y estabilización del Cloud; ofreciendo un enfoque end-to-end orientado a los diferentes estados y tipologías de entornos (híbridos, pure-cloud, multi-cloud), independientemente de la localización (público, privado, multi).

Somos conscientes de la necesidad del mercado de gestionar las preocupaciones de ciberseguridad en relación con los entornos Cloud, incluyendo: la visión y control de los diferentes activos, el despliegue y validación de controles de seguridad, las necesidades de cumplimiento internas y externas, y la cobertura de elementos específicos como la protección de redes y datos, niveles accesos a recursos e información, y la gestión de riesgos.

En relación con este último punto, entre los riesgos más comunes se encuentra el de errores o fallos de configuración producidos durante y tras una migración, que pueden suponer el incremento del nivel de riesgo conjunto y crear nuevas amenazas no contempladas previamente en entornos on-premise. Para hacer frente a riesgos de este tipo, entre otros, debe asegurarse el contar con un proveedor de servicios de confianza, con el conocimiento y experiencia necesarios para hacer frente a este tipo de retos, y aumentar el nivel de seguridad.

Combinar servicios de calidad con buenas prácticas, permiten a nuestros clientes mantener una postura de seguridad robusta en sus entornos Cloud, aprovechando las diferentes capacidades nativas de seguridad, y complementarlas con soluciones adaptadas a necesidades concretas, como pueden ser la gestión de identidades, tecnologías y capacidades de monitorización y respuesta, y reforzar el cumplimiento regulatorio.

Otro factor a tener en cuenta es tener la posibilidad de beneficiarse de una seguridad Cloud escalable en función del nivel de madurez de una empresa y sus necesidades, asegurando así una respuesta eficiente al panorama de amenazas en constante evolución. Igualmente, el generar conversaciones y análisis partiendo de inquietudes y tendencias, que deriven en acciones concretas que permitan reducir los gap (brechas) en estrategia, riesgos y cumplimiento; es clave y diferencial a la hora de seleccionar un proveedor de servicios.

Destacar asimismo que en Capgemini tenemos contacto directo y contamos con el soporte de los principales Cloud Security Providers, lo que nos permite estar a la vanguardia y disponer de capacidades diferenciales. Por supuesto también trabajamos con los principales fabricantes para ofrecer siempre las últimas tecnologías, ya sean complementarias o alternativas a las soluciones nativas, con el fin de permitir adaptarse a la complejidad particular de ciertos entornos y sectores. Capgemini evoluciona de manera constante el portfolio de servicios de seguridad Cloud manteniéndose en la vanguardia de la industria (p.ej. contenedores, serverless, vaults, …).

Además, testeamos e incorporamos las últimas funcionalidades y soluciones nativas o alternativas de seguridad en nuestros servicios, y mantenemos los niveles de cumplimiento adecuados para asegurar la protección de datos y alineamiento con regulaciones de seguridad, como son GDPR, PCI DSS, HIPAA, entre otros. Todo ello derivado de nuestra filosofía ‘piensa como un atacante’ que permite ofrecer servicios diferenciales y adaptados a través de una combinación de arquitecturas Cloud robustas, analítica avanzada, prevención y detección de incidentes, y un modelo de servicio de delivery altamente industrializado y automatizado.

Autor

Guillermo Hernández Oliván

CyberSec Operations Lead