Por: Marcos Real, CISO en Cooperativa Jardín Azuayo.
A medida que la tecnología evoluciona, muchas organizaciones han encontrado en la nube una alternativa estratégica. Más allá de los beneficios en costos, los proveedores ofrecen estándares y buenas prácticas de seguridad y continuidad que representan ventajas operativas. La presencia de centros de datos distribuidos globalmente permite mayor disponibilidad y respaldo para los servicios de TI.
Sin embargo, la seguridad sigue siendo una responsabilidad compartida, y los controles deben ser aplicados y gestionados por quien contrata el servicio. La seguridad está presente, pero requiere ser activada, configurada y adaptada al contexto de cada organización.
Riesgos cibernéticos como ransomware, denegación de servicio (DoS), phishing, entre otros, afectan a cualquier servicio expuesto a Internet y no son exclusivos del entorno cloud. Por ello, resulta prioritario trabajar en procesos de hardening (endurecimiento de la infraestructura), mantener procedimientos de parcheo y actualización, asegurar respaldos permanentes y adoptar estándares de gestión de incidentes.
Con la adopción de arquitecturas híbridas, el monitoreo se ha extendido desde las infraestructuras locales hasta las nubes públicas o privadas. Esto ha derivado en entornos con múltiples consolas y herramientas, lo que puede dificultar la gestión operativa y aumentar el riesgo de brechas por falta de visibilidad consolidada.
Además, el trabajo con múltiples proveedores cloud genera nuevas exigencias para los CISO. Las responsabilidades no se limitan a los controles técnicos, sino que implican fomentar una cultura de colaboración, escuchar a las partes interesadas y alinear esfuerzos con los equipos de TI para diseñar controles y medidas preventivas en función del riesgo.
Actualmente, existe una amplia oferta de servicios cloud que garantiza operación, administración y seguridad, apoyándose en certificaciones como ISO 27001, ISO 27701, PCI DSS, entre otras. Sin embargo, lo que realmente marca la diferencia es el tipo de servicio contratado y el nivel de control que se requiere. Manejar múltiples entornos cloud puede aumentar la carga operativa, los costos y la necesidad de talento especializado, por lo que no siempre es recomendable.
Una estrategia efectiva contempla seguridad desde el diseño. Adoptar arquitecturas por perímetros, con medidas de protección por defecto —ya sea en nube o en sitio— permite establecer defensas robustas desde el inicio.
Además, una colaboración efectiva entre IT y seguridad constituye el punto de partida para una gestión que persigue un mismo propósito: proteger y potenciar el negocio y la experiencia del cliente. Para lograrlo, es necesario construir un marco de trabajo conjunto, priorizar acciones con base en riesgos, y establecer espacios de diálogo que clarifiquen roles. Mientras un área garantiza agilidad, flexibilidad y disponibilidad, la otra provee un entorno confiable, seguro y transparente.
La continuidad del negocio en la nube requiere una ciberseguridad activa, colaborativa y diseñada desde el origen.