Cuando se trata de hablar del control que una organización tiene sobre aplicaciones y datos críticos para el desarrollo de su negocio, podemos pensar que la mejor solución es disponer de ellas en las propias instalaciones. Es decir, hablamos de las instalaciones on-premise, en las que tanto los datos como las aplicaciones se encuentran físicamente dentro del recinto empresarial. Sin embargo, ya vimos en ocasiones anteriores que esto no tiene por qué ser ni más seguro, ni más eficiente, ni mucho menos más barato. No tenemos mayor control sobre las aplicaciones si están en nuestra «casa», que si están en el Cloud. Al contrario, las empresas ya no pueden ignorar los beneficios de trasladar estas aplicaciones a la Nube. Recordamos las ventajas más importantes de hacerlo así, entre las que se incluyen el ahorro de costes, la escalabilidad, la flexibilidad y la modernización.
Las aplicaciones empresariales de misión crítica, como los ERP (Enterprise resource planning), CRM (Customer relationship management), PLM (Product Lifecycle Management), HCM (Human Capital Management), SCM (Supply Chain Management) o BI (Business Intelligence), entre otras, realizan funciones complejas e integradas que mantienen a las empresas en funcionamiento. En el fondo, las empresas dependen en gran medida de estas aplicaciones. De ahí la reticencia inicial a migrar estos sistemas al Cloud. Basta con pensar que los equipos de IT tienen que trasladar todas estas funciones esenciales, junto con sus datos sensibles asociados a un entorno en la nube que, en principio, desconocen y en el que deben confiar. Por tanto, es comprensible que empiecen a sentir preocupación por la seguridad y el cumplimiento en este contexto.
Requisitos de seguridad y compliance para aplicaciones en la Nube
¿Cuáles son las principales medidas de seguridad y cumplimiento que mantendrán las aplicaciones protegidas y a la altura de los estándares normativos antes, durante y después de la migración?
- Soberanía del dato (y cumplimiento normativo). Todas estas aplicaciones empresariales albergan cantidades importantes de datos críticos, privados y sensibles, tanto de negocio como de clientes, y deben cumplir a rajatabla las regulaciones más exigentes, como es el caso del RGPD. Además, estas normativas pueden dictar dónde se almacenan los datos, cómo debe garantizarse la privacidad y cuándo deben presentarse los informes y los controles.
- Aprovisionamiento, autorización y registro único de usuarios. La gestión de acceso es vital cuando hablamos de aplicaciones en la Nube. Comprender quién tiene qué capacidades y permisos dentro de la aplicación es uno de los mayores problemas que hay que abordar durante y después de la migración a la nube. Así, podemos evitar serios e inadvertidos problemas de seguridad y cumplimiento al exponer o compartir información sensible por un error en la asignación de permisos. Esto también puede abrir la puerta a infiltrados malintencionados.
- Vigilancia de la actividad de los usuarios y del acceso. Fundamental para entender cómo es la actividad de base dentro de sus aplicaciones de misión crítica. La actividad de los usuarios y la funcionalidad de supervisión de acceso proporcionan visibilidad para ayudar a detectar comportamientos anómalos y maliciosos.
- Gestión de la vulnerabilidad. Independientemente del modelo de Cloud adoptado, las empresas también deben evaluar las vulnerabilidades de seguridad en las personalizaciones y ampliaciones de sus aplicaciones comerciales. También deben trabajar en conjunto para garantizar que los sistemas estén actualizados con los parches de seguridad más recientes. En este sentido, los proveedores pueden proporcionar herramientas que agreguen y prioricen los parches en función del nivel de vulnerabilidad y riesgo de la empresa específica.
- Planificación de la recuperación de desastres. Los despliegues en la nube y los despliegues híbridos proporcionan flexibilidad para incorporar mejores estrategias de recuperación de desastres, pero eso debe tenerse en cuenta en la fase de diseño de la solución.
- Acuerdo de diligencia debida y nivel de servicio. Las empresas que se mueven al Cloud deben hacerse preguntas fundamentales sobre el acuerdo de nivel de servicio entre todas las partes involucradas en la migración para comprender los posibles riesgos en que incurren. Una vez obtenida toda la información, se debe adoptar un enfoque de gestión de riesgos para examinar los beneficios frente a las posibles barreras.