Gestión de riesgos y cumplimiento: modernización de la nube para abordar las realidades de la seguridad y el cumplimiento

23/01/2019

Inteligencia Artificial, Aprendizaje Automático, Big Data, Realidad Aumentada, IoT, 5G - algunas de las palabras de moda actuales y tendencias en la industria. Es "de lo que están hablando todas las personas". 

 

Esto es de los temas que la gente quiere hablar. Sin duda, prácticamente todas las organizaciones de TI tienen proyectos en una o todas estas áreas. Sin embargo, además de estas nuevas tecnologías "geniales" de las que todo el mundo quiere hablar, las organizaciones están incrementando silenciosamente otros aspectos de sus implementaciones de nube híbrida y multi-nube, específicamente sobre seguridad y cumplimiento.

 

De acuerdo con el Informe de seguridad en la nube 2018 de Cybersecurity Insiders , las principales preocupaciones de seguridad de la nube en la empresa son el cumplimiento, la seguridad, la visibilidad y el mantenimiento de políticas de seguridad consistentes. Si bien el cumplimiento ha estado integrado en TI para ciertos verticales durante años, incluidos los servicios bancarios (PCI), de salud, de gobiernos y otros, la atención de la industria al cumplimiento ha sido mínima. Eso realmente cambió en mayo de 2018 cuando el Reglamento General de Protección de Datos (GDPR) entró en vigencia en la Unión Europea. 
 

Como dije anteriormente, el cumplimiento no es nada nuevo, pero GDPR cambió la conversación al llevar a efecto una regulación que se aplica ampliamente a todas las compañías que usan activos digitales (que son, en su mayor parte, CADA compañía en el mundo) y por haciendo que las sanciones sean lo suficientemente onerosas para que todos deben prestar atención.

 

Ok, entonces, ¿qué es exactamente la gestión de riesgos y cumplimiento? En pocas palabras, es la metodología y las herramientas para analizar los activos de su empresa de TI para garantizar que cumplen con los requisitos de un conjunto específico de políticas. Luego, aplique reglas a los resultados para medir el riesgo para su organización según su nivel de cumplimiento. ¿Entonces que significa eso? Tome un conjunto de reglas, aplíquelas a sus activos de TI. ¿Estás seguro de que realmente están implementados? ¿Qué pasa con esa nueva máquina virtual (VM) que alguien en Finanzas se puso de pie "temporalmente" (no hay nada tan permanente como una solución temporal)? ¿Se aplicaron todos los ajustes correctos? ¿Se realiza un seguimiento y estructura de los datos contenidos en la máquina virtual para garantizar el aislamiento regional o el etiquetado de metadatos para garantizar el derecho de eliminación? ¿Cuál es el nivel de riesgo que estoy aceptando o que estoy dispuesto a aceptar en función de una compensación de costos de cumplimiento (a qué nivel estoy siguiendo las reglas de cumplimiento)? De esto se trata la Gestión de Riesgos y Cumplimiento.

 

Ahora, una vez que se acerque a la necesidad de una gestión de Riesgo y Cumplimiento, el problema se ve agravado por lo que llamamos nube múltiple e híbrida. En pocas palabras, las empresas no están usando una sola nube en la actualidad, están usando una variedad de nubes en concierto que juntas forman su empresa virtual. Desde nubes locales para cargas de trabajo críticas, nubes públicas para creación rápida de prototipos y aplicaciones SaaS como SalesForce u Office 365, hasta aplicaciones de nicho como SAS para análisis o aplicaciones de recursos humanos en línea y aplicaciones de nómina: las organizaciones de TI tienen cargas de trabajo y datos que abarcan Una variedad de nubes. Y si bien pueden controlar directamente o tener acceso a las aplicaciones basadas en SaaS, incluso las cargas de trabajo tradicionales de IaaS se distribuyen en nubes privadas integradas en múltiples centros de datos en una organización. Prestadores de servicios regionales, y nubes públicas. En pocas palabras, es realmente difícil administrar todos sus activos de TI, pero a los reguladores realmente no les importa.

En pocas palabras, si no está cumpliendo con los requisitos, corre el riesgo de ser multado (o perder la certificación u otras sanciones según las normas de cumplimiento específicas).

 

Entonces, ¿cómo se obtiene el control, o al menos la visibilidad, de todos sus activos virtuales en tantas nubes? Y, ¿cómo mantiene esa visibilidad / control cuando se crean y destruyen activos virtuales diariamente / por hora / por minuto? Bueno, ahí está el desafío. La industria todavía no tiene un verdadero estándar de gestión de múltiples nubes (a nivel de plano de control). 

Hay continuas oleadas de ISV que crean soluciones para un éxito limitado, y las empresas incursionan en esas soluciones. Pero lo que he visto de primera mano es que estas soluciones (la verdadera administración de múltiples plataformas en la nube) terminan sufriendo el mismo defecto, que es que tienen que trabajar con el mínimo común denominador. Significa que si quiere "ser el único administrador que los gobierne a todos" para simplificar el control a un plano común, ese administrador está limitado por lo que puede hacer la nube menos avanzada que administra. Además, la administración del ciclo de vida de esa herramienta es inmensa, porque cada vez que cambian las API de las plataformas de nube subyacentes, la herramienta de administración tiene que cambiar, y esos cambios de API son constantes. 

En definitiva, un verdadero administrador de múltiples nubes es más un sueño que una realidad, ¡pero eso no niega los requisitos para la gestión de riesgos y cumplimiento!

 

Entonces, si no puedo tener un verdadero plano de control de gestión en todos mis activos en la nube, ¿qué hago? Bueno, mientras el plano de control de gestión aún se está resolviendo, las responsabilidades de riesgo y cumplimiento para cualquier organización de TI existen hoy en día y deben abordarse día tras día. Tradicionalmente, los métodos utilizados para abordar este desafío incluían scripts personalizados, hojas de cálculo de Excel, varias herramientas de automatización independientes y otros métodos de Hodge-Podge. 

Si bien esto puede funcionar para pequeños centros de datos, obtener visibilidad global en toda una empresa virtual que abarca múltiples nubes, con el desafío de ser multas económicas por incumplimiento, la metodología se descompone muy rápidamente. 

En pocas palabras, los scripts únicos y las hojas de cálculo de Excel no funcionan para la empresa virtual moderna,

 

Para enfrentar este desafío, Dell EMC se ha asociado con Caveonix y VMWare para crear una solución que permita a los proveedores de servicios en la nube ofrecer un verdadero servicio de cumplimiento y riesgo. Esta solución es multi-inquilino, enfocada en el proveedor de servicios y lista hoy para acelerar la Gestión de Riesgo y Cumplimiento para organizaciones comerciales y empresariales de todo el mundo a través de nuestros Socios Proveedores de Servicios.

 

La Gestión de Riesgo y Cumplimiento como una Solución de Servicio (RCMaaS) se ha creado desde cero para permitir el rápido GTM para los proveedores de servicios, con la tranquilidad de una solución construida en una pila líder en la industria que incluye los servidores Dell PowerEdge, Dell EMC Isilon Storage, VMWare a través de VCPP, y Caveonix RiskForesight ™.

 

 

La conclusión es esta:

  • Riesgo y cumplimiento es un problema real que enfrentan las corporaciones de todo el mundo.

  • El desafío se intensifica a medida que la empresa virtual se expande en múltiples nubes.

  • Independientemente de cómo se haga, el cumplimiento es un requisito en casi todas las cargas de trabajo en la actualidad.

  • Los proveedores de servicios están perfectamente posicionados para ofrecer servicios para enfrentar este desafío.

  • La solución debe abordarse de manera integral, a través de un ecosistema de múltiples nubes.

  • Dell EMC, VMWare y Caveonix tienen una solución lista para enfrentar este desafío.

 

¡Actuar ahora! ¡Ser compatible es más rentable que la alternativa!

 

 

 

 

 

 

.

.

.

Fuente: Dell EMC blog

Please reload

Posts Destacados

Presentes en "IT Solutions - Evolución InsurTech" en conjunto con Aranda Software

03/05/2018

1/6
Please reload

Posts Recientes
Please reload

Archive
Please reload