Los entornos multinube son el nuevo estándar de las administraciones públicas, ya que el 81 % utilizan actualmente más de una plataforma de nube. El uso de la nube permite a las organizaciones de todos los sectores compartir, colaborar y trabajar de una forma mucho más eficiente y flexible, sobre todo ahora que el trabajo remoto tiene tanta importancia. Sin embargo, los entornos de nube (y los multinube en particular) pueden ser muy difíciles de organizar, gestionar y proteger. Por eso no es de extrañar que el 75 % de las organizaciones estén bastante o muy preocupadas por la seguridad de la nube, en especial porque la probabilidad de que se produzcan fugas de datos es mucho mayor cuando no se dispone de la seguridad adecuada.
Esto plantea interrogantes sobre la forma en que las administraciones públicas protegen sus datos, así como sobre las medidas que deben adoptar para lograr unos niveles adecuados de visibilidad, control, escalabilidad y resiliencia. En este artículo, repasaremos las prácticas recomendadas de seguridad en los entornos multinube que las administraciones públicas pueden adoptar en la actual crisis de la covid-19 y posteriormente. El objetivo es asegurar que la información crítica en la nube esté protegida y que los empleados públicos puedan acceder de manera segura a las aplicaciones y datos de la nube desde cualquier dispositivo y en cualquier lugar.
¿Por qué las administraciones públicas están implementando entornos multinube?
Los organismos públicos adoptan las estrategias multinube por varias razones, como lograr una mayor escalabilidad, flexibilidad, eficiencia y ahorro de costes. Este tipo de entornos permiten a las administraciones públicas que trabajan con varias nubes centralizar los servicios que ofrecen a los ciudadanos (como la posibilidad de pagar impuestos telemáticamente), disminuir su dependencia de los costosos centros de datos alojados en sus instalaciones y garantizar el dinamismo en caso de un cambio en la forma de trabajar (por ejemplo, al pasar al teletrabajo). Además, los entornos multinube reducen la dependencia de un solo proveedor de servicios de nube y pueden mitigar los riesgos de sufrir interrupciones del servicio, según Gartner.
Se están tomando medidas para mejorar la seguridad, pero no es suficiente
Las soluciones de seguridad desarticuladas y dispares simplemente no bastan en un entorno multinube; eso se aplica tanto a las soluciones de terceros como a las funcionalidades nativas más débiles que ofrecen los proveedores de servicios en la nube. Los organismos públicos se enfrentan a varios retos para proteger este tipo de entornos complejos, que incluyen:
- Falta de presupuesto: se prevé que el gasto en seguridad en la nube en todos los sectores alcance los 12 600 millones de dólares en 2023, pero el gasto del sector público en la nube será de apenas 500 millones de dólares en el mismo periodo. Esta diferencia pone de relieve la necesidad de un mayor énfasis en la seguridad de la nube de este sector.
- Cumplimiento de los requisitos normativos: las administraciones públicas están sujetas a diversos marcos regulatorios. Por ejemplo, en Estados Unidos los servicios digitales federales deben cumplir la Ley del Gobierno Conectado, el memorando OMB M-17-06 de políticas para los sitios web públicos y los servicios digitales de las agencias federales y la Ley de Gobierno Electrónico.
- Falta de profesionales expertos en ciberseguridad: la Agencia de Sistemas de Información de Defensa (DISA) reconoce la escasez de profesionales de la ciberseguridad en Estados Unidos y está trabajando para reclutar a más expertos en este campo; los estudios señalan que es necesario ampliar un 62 % la plantilla de especialistas en ciberseguridad para satisfacer la demanda actual.
- Falta de controles de seguridad adecuados: mientras que el 86% de las empresas están desplegando aplicaciones en la nube actualmente, solo el 34 % implementan el inicio de sesión único (SSO), una herramienta básica pero esencial para autentificar a los usuarios cuando acceden a los datos en la nube.
- Mayor exposición a los ataques: a medida que las administraciones públicas continúan incrementando la utilización de aplicaciones SaaS y plataformas de IaaS, así como de políticas de dispositivos personales en el trabajo (BYOD) y trabajo remoto, el resultado es una mayor exposición a los ataques de los piratas informáticos.
Cómo las administraciones públicas pueden implementar entornos multinuble con éxito y medidas de seguridad preparadas para el futuro
Los organismos públicos necesitan una seguridad uniforme en toda su presencia en la nube, lo que incluye los entornos de SaaS, IaaS, aplicaciones alojadas locamente, destinos web, dispositivos conectados y otros. Las organizaciones que intenten proteger estas áreas con soluciones que funcionan por separado, se darán cuenta rápidamente de que este enfoque inconexo puede exponerlas a diferentes vulnerabilidades, incrementar los costes y requerir más tiempo para la gestión por parte de sus equipos de TI.
Para conseguir una implementación con éxito de un entorno multinube y una seguridad uniforme en todas las aplicaciones, recursos alojados localmente, dispositivos y otros activos, las administraciones públicas deben buscar plataformas con tecnología de Secure Access Service Edge (SASE). Estas plataformas proporcionan un conjunto de soluciones de seguridad flexibles que priorizan el uso de la nube y están diseñadas para proteger los datos en cualquier ubicación. Cada componente de una solución SASE aporta valor al conjunto:
- Los agentes de acceso seguro a la nube (CASB) ofrecen una protección integral de los datos en todos los servicios en la nube y dispositivos, incluidas las plataformas de IaaS como Azure o AWS y las aplicaciones gestionadas como Office 365.
- Las pasarelas web seguras (SWG), que evitan los problemas de latencia, coste y escalabilidad habituales en las arquitecturas anteriores, descifran el tráfico web para evitar las fugas de datos en las subidas y bloquean las URL maliciosas antes de que se pueda acceder a ellas.
- El acceso a la red de confianza cero (ZTNA) permite que los trabajadores remotos accedan de manera segura a recursos específicos alojados localmente; a diferencia de las VPN, que permiten a los usuarios acceder a todos los recursos de la red.
Las ofertas de SASE hacen posible que las administraciones públicas puedan proteger todas las interacciones desde un único panel de control. Esto proporciona una visibilidad completa, un control uniforme, políticas automatizadas para el cumplimiento normativo, así como ahorros de tiempo y costes a los organismos públicos que deben trabajar con presupuestos ajustados.
Las administraciones públicas pueden adoptar con éxito y de forma segura los entornos multinube. Con el enfoque adecuado, estos organismos pueden beneficiarse de las ventajas que ofrecen estas plataformas tanto ahora como en el futuro, a pesar de los desafíos que plantean fenómenos como la COVID-19, que afectan a su manera de trabajar. Contando con las soluciones y estrategias de TI y seguridad adecuadas, el personal de TI del sector público puede centrarse en innovar y ofrecer más servicios de mayor calidad a los ciudadanos.
Anurag Kahol
Director técnico de Bitglass