68 / 84
Estrategia corporativa del uso
seguro del ‘cloud’ y las ‘Apps’
E
n
los
últimos
cinco
o
seis
años,
todos los CISO (directores y responsa-
bles de seguridad) han experimentado
la irrupción del
cloud
en sus tecnológi-
camente seguras vidas, han asistido al
crecimiento de la oferta, del disco en
cloud
, a los servidores
cloud
, bases de
datos
cloud
, aplicaciones, etc.
Según Gartner, la adopción del
cloud
por parte de las grandes empre-
sas ha pasado del 10 por ciento en
2013 al 30 por ciento actual y el previ-
sible más del 50 por ciento en menos
de cinco años. En definitiva, el
cloud
está en el ADN de la transformación
digital de todas las compañías, no
solo en las pymes, sino también en
las grandes empresas, especialmente
en éstas.
¿Y cuál ha sido la reacción ante
esta nueva oleada tecnológica de los
CISO? Principalmente negativa (eso
sí, razonadamente porque razón no
les falta). Hay problemas de legis-
lación, hay riesgo de robo de datos
–tanto interno, como externo–, los
contratos de SLA y disponibilidad no
son claros, no hay indemnización, en
algunos casos no hay ni opción de
roll-back
y un largo etcétera de razo-
nes y fundamentos técnicos. Todos
muy lógicos para negarse a una
adopción del
cloud
tan rápida como
impuesta, sin un análisis de riesgos
y sus correspondientes medidas de
seguridad.
Bien, hasta aquí todo correcto,
¿o no? Realmente no, la realidad
es que las áreas de negocio lidera-
das por marketing, comercial y nue-
vos servicios ven el
cloud
como una
gran oportunidad para desarrollar
aplicaciones y nuevos canales de
comunicación con el usuario, más
directos, más rápidos y, sobre todo,
más económicos; lo cual es corro-
borado por el otro actor clave en la
"telenovela" del
cloud
que es el CIO
o director de sistemas en sus diferen-
tes versiones. Al CIO, adicionalmente
a la presión del negocio y a la alta
adopción del
cloud
(todos tenemos
un ejecutivo en la compañía que
nos pregunta por Dropbox, Google
Drive, o Amazon), se le suman nue-
vos actores como Microsoft, SAP,
Oracle, Saleforce.com, etc., que nos
facilitan la utilización de todas sus
herramientas
premium
en
cloud
(ojo,
solo en
cloud
y pago por uso) con
descuentos del 30, 40 o 50 por cien-
to, e incluso más.
Estamos de acuerdo en que, desde
la alta dirección (a la que el
cloud
le suena ahora
cool
y vanguardista)
cuenta con el cien por cien del apoyo
de la dirección de sistemas, que se
aprovecha de los ahorros para exten-
der su presupuesto.
Bien, ahora tenemos al CISO en
contra de la alta dirección, de la
dirección de sistemas, negocio y mar-
keting y, en general, del 90 por ciento
de la compañía; salvo el área legal,
riesgos y auditoría (vamos, los más
cool
). El dilema es (como se muestra
en la figura superior de la siguiente
página) la negativa de la adopción
del
cloud
por sus riesgos de seguri-
dad –ciertos, aunque controlados–,
frente a las oportunidades de nego-
cio, expansión y recorte de costes
que representan; siempre dentro del
contexto en el que "no es oro todo lo
que reluce".
El CIO-CISO
Si a esto le sumamos la enorme
variedad de tecnologías, fabricantes
y protocolos que debemos manejar
para evaluar la idoneidad de la
cloud
en nuestras empresas al abordar un
proyecto con seguridad, se requiere
la creación de un nuevo tipo de pro-
fesional que aúne lo mejor del CIO y
el CISO, la mutación del CIO-CISO.
Un profesional que analice con obje-
tividad la tecnología, los costes y la
adecuación al negocio, que sepa
analizar las mejores herramientas
para cada departamento y que, ade-
más, sea consciente de que no todo
vale y que dentro de unos márge-
nes de riesgo razonable –definido y
medido– se pueden adoptar nuevos
servicios de
cloud
para IT, incluyendo
servicios de seguridad.
Uno de los primeros retos que
debe abordar este nuevo profesional
CIO-CISO es la irrupción con fuer-
za de los grandes de Internet en el
68 red seguridad segundo trimestre 2017
opinión
seguridad en cloud
monográfico
Juan Miguel Velasco
Presidente de la Comisión Seguridad
y Confianza en la Nube en Cloud
Community Europe-Eurocloud