UNIR Revista
La expansión del uso de la nube y el trabajo en remoto han puesto el foco en el uso de la tecnología Cloud. Analizamos cómo está evolucionando, su relación con la seguridad y las opciones profesionales.
Javier Pozo, director del Experto en Cloud Computing de UNIR
“El impacto y la sofisticación de los ciberataques ha crecido exponencialmente. Dos de los objetivos principales de los criminales han sido los servicios ofrecidos al cliente final desde sistemas Cloud y los servicios utilizados por los propios empleados de las organizaciones, potenciados por la proliferación del trabajo en remoto”, estos datos del informe de Defensa Digital de Microsoft son, para Javier Pozo, director del Experto en Cloud Computing de UNIR y CIO de Santander Universidades y Universia, una muestra de la relevancia del cloud.
En su opinión, “la facilidad de uso del cloud computing para crear aplicaciones rápidamente, también exige que las inversiones en seguridad se prioricen. Una situación que reclama profesionales cualificados”.
Pero, ¿por qué es tan importante la cloud? ¿Cómo afecta a un negocio? ¿Hacia dónde camina? Javier Pozo entrevista a tres destacados expertos para conocer más de cerca este atrayente campo.
Jorge Valenzuela Jiménez, profesor del Experto en Cloud Computing. Arquitecturas y soluciones (AWS y Azure) de UNIR y senior cloud solutions architecture manager en Microsoft; Manuel Abellán, higher education industry executive en Microsoft; y Enrique Corrales Garcia, chief information security officer de Santander Universidades analizan, de la mano de Pozo, la realidad del cloud.
Antes de entrar en materia, me gustaría que ofrecierais una definición clara de lo que es el cloud computing.
Manuel Abellán (M.A.) Supone un modelo de consumo de tecnologías de la información en el que los recursos están disponibles a través de internet en un proveedor que presta estos servicios. Las empresas, en vez de tener que montar una infraestructura física de centro de datos, pasan a utilizar la infraestructura y servicios del proveedor de nube pagando por el uso que hacen de los mismos. De esta forma, pueden trasladar sus cargas de computación al proveedor de nube, que proporciona una infraestructura de computación, almacenamiento y red, que se conoce como IaaS (Infraestructura como Servicio).
Manuel Abellán, higher education industry executive en Microsoft
La nube también es capaz de proporcionar muchos más servicios, como son PaaS (Plataforma como Servicio) y SaaS (Software como servicio). Con PaaS, las empresas pueden acceder a una serie de herramientas disponibles para el desarrollo de aplicaciones y herramientas como pueden ser servicios de realidad virtual, inteligencia artificial, machine learning, big data, blockchain, chatbots o IoT, entre otros. Con SaaS, el software está disponible para ser consumido y el proveedor proporciona un servicio completo de principio a fin, incluyendo actualizaciones automáticas.
Desde esta definición de cloud, demos un paso más. ¿Por qué es tan importante para las empresas tener conocimiento y empezar a desplegar sistemas en Cloud?
M.A. Realmente la cloud se ha vuelto imprescindible. La mayoría de las aplicaciones que consumimos están ahí. La cloud permite a las empresas predecir mejor los costes a futuro. Esto posibilita a las organizaciones centrarse en desarrollar las aplicaciones que les aportan valor y no tanto en gestionar la infraestructura. Pueden abordar las necesidades de los clientes con un personal más centrado en generar valor. La cloud permite escalar, adaptarse a la demanda y colaborar mucho más fácilmente.
Esta realidad pone sobre la mesa la necesidad de perfiles especialistas, que además sean profesionales enfocados a la parte del negocio, porque cada vez más nos cuesta encontrar empresas que no hayan dado el paso a entornos Cloud.
Jorge Valenzuela (J.V.) Nos encontramos con una mezcla bastante interesante. Por un lado, hay empresas que han nacido directamente utilizando la tecnología de Cloud, que llamaríamos Cloud Native. Esto significa hacer uso de las tecnologías Cloud más avanzadas, como la flexibilidad y predictibilidad de costes. Es algo común en empresas del mundo start-up, que no tienen un gran legado tecnológico.
Jorge Valenzuela Jiménez, profesor del Experto en Cloud Computing. Arquitecturas y soluciones (AWS y Azure) de UNIR
Por otro lado, la mayoría de las empresas llevan utilizando durante años aplicaciones y sistemas en sus propios data centers y no pueden empezar en un modelo Cloud Native, sino que van migrando piezas de ese legado que tan buen resultado les ha dado y esperan que siga así en los siguientes años. Lo que estamos comprobando es que una vez que empiezan a utilizar los entornos en nube, las empresas incrementan el ritmo en cuanto a modernización.
Si hablamos de Cloud tenemos que hacerlo de CISO ¿Qué hace un CISO en una organización?
Enrique Corrales (E.C.) Básicamente un CISO ( Chief Information Security Officer) es el responsable máximo en ciberseguridad dentro de la organización. Su objetivo principal es la definición de una estrategia alineada con los objetivos propios del negocio. La ciberseguridad no puede ir por su cuenta, tiene que estar cerca del valor que se quiere dar o qué es lo que está vendiendo la propia empresa.
¿Qué reto os supone a los CISO la seguridad en los entornos Cloud?
E.C. El Cloud trae ventajas en cuanto a la velocidad de entrega de valor, pero también conlleva retos relacionados con la ciberseguridad. Por ejemplo, pequeñas empresas de reciente nacimiento utilizan servicios de la Cloud pública en los que, por error, consideran que ya son servicios seguros de por sí. Lo que quiero recalcar es que la seguridad es compartida. Es decir, cuando tú como empresa empiezas a utilizar un servicio en la nube, la responsabilidad del propio proveedor se queda en la capa de hipervisor o en la capa física, pero lo que se despliegue en esta Cloud es responsabilidad del propio cliente.
Hagamos un pequeño juego de palabras. ¿Cloud Computing es clave para la ciberseguridad o la ciberseguridad es clave para el Cloud Computing?
M.A: La seguridad de la Cloud es indispensable para garantizar su continuidad al estar muy expuesta. Por otro lado, el Cloud Computing es clave para la ciberseguridad, porque la Cloud cuenta con recursos de seguridad física y lógica que no son accesibles para la mayoría de las empresas, por lo que requieren. Por ejemplo, los controles para acceder a una instalación de un Data Center (centro de datos) o la cantidad de personal especializado en seguridad para monitorizar la información en tiempo real… Estos sistemas, por escala, solo podrían estar disponibles para compañías muy grandes y, en cambio, ahora mediante proveedores de Cloud, están disponibles para todo tipo de organizaciones.
Hay una evolución en el uso de la Cloud, porque hay servicios que se consumen directamente en Cloud y para las empresas supone la eliminación del mantenimiento y soporte. Este modelo es positivo para el cliente y para el proveedor. ¿Qué servicios estáis viendo que son entregados directamente en Cloud?
E.C. Han nacido herramientas de CSPM (gestión de la postura de seguridad en la nube) que automatizan la gestión de la ciberseguridad. Dan visibilidad a los activos desplegados y permite detectar o descubrir amenazas potenciales.
Enrique Corrales Garcia, chief information security officer de Santander Universidades
También hay otras, tipo SAST (Static Application Security Testing), que se centran en el análisis del código para evitar bucles infinitos, claves expuestas o malas configuraciones. O los SCA (Software Composition Analysis), para verificar que los componentes de la aplicación y las librerías no tengan vulnerabilidades.
Hablando de ciberseguridad, os lanzo una de las preguntas más habituales ¿cómo descubre uno que ha sido ciberatacado en Cloud?
E.C. Lo normal es contar con sistemas de prevención como son los SIEM (Security Information and Event Management). Estos analizan los logs (registros) que “escupen” las aplicaciones o servicios y te permite de forma preventiva saber que hay alguien que está intentando hacer algo sospechoso. De esta manera pongo medios para evitarlo. Cuando ya se ha producido un ciberataque, en algunas ocasiones, te enteras por la persona dueña del negocio o producto. En estos casos, lo que hay que tener es mecanismos de respuesta, ser capaz de restaurar el servicio a un estado anterior si ha sido modificado de alguna forma.
Cuando hablamos de buenas prácticas en ciberseguridad se suele mencionar que hay que poner foco en la protección, en la detección y, últimamente, se hace mucho énfasis en la concienciación, porque muchos problemas de seguridad vienen de los propios empleados.
E.C Exactamente. La ciberseguridad es una responsabilidad de todos y nosotros como expertos tenemos el rol de formar al resto de compañeros de la empresa.
¿Qué nuevos retos aparecen en este mundo 100% conectado donde gestionamos múltiples sistemas, cosas y personas? ¿Cómo sobrevivimos en este escenario aparentemente caótico?
M.A. Yo creo que el último gran reto que ha aparecido es el trabajo híbrido o teletrabajo. Con el teletrabajo, el perímetro de la organización se extiende a todos los usuarios y cobra vital importancia proteger su identidad y la de los dispositivos. Como decía Enrique, aumentar la concienciación de los usuarios, es una barrera muy importante de autodefensa de las empresas.
En este escenario en el que podemos tener miles de sistemas interconectados, ¿qué podemos hacer en cuanto a ciberseguridad? Porque parece que los riesgos y los potenciales puntos de ataque pueden crecer exponencialmente. ¿Cómo atajamos estos riesgos?
E.C. En primer lugar, la concienciación. Después, tener perfiles específicos dentro de la organización, no contratar perfiles de ciberseguridad tras un incidente sino desde el primer momento tener muy clara la importancia de este tema.
J.V. Totalmente alineado con Enrique, añadiría que el hardware es muy importante cuando hablamos del ámbito IoT. El que tengamos cierta seguridad de lo que estás conectando en el otro lado, es fundamental.
E.C. Añadir que entre el 30% o 40% de las notificaciones de estos sistemas que detectan vulnerabilidades suelen ser falsos positivos, pero preferimos pasarnos que quedarnos cortos.
Son muchos los retos tecnológicos que surgen. Retos en los que, como Jesús Pozo destaca, la ciberseguridad no se está quedando atrás y en los que la Cloud ofrece muchas soluciones. “Es importante saber qué tecnologías hay e integrarlas, persiguiendo una automatización de los procesos desde dentro. Teniendo en cuenta un aspecto esencial, que tanto en Cloud Computing como en ciberseguridad o en la confluencia de ambos, hace falta muchísimo talento y profesionales trabajando en estos ámbitos”. Por ello, el Experto en Cloud Computing de UNIR es una gran oportunidad de desarrollo profesional.