Migrar a la nube: Cuál es el significado de la responsabilidad compartida para su organización
Para las organizaciones que avanzan hacia la transformación digital, migrar a la nube ocupa a menudo un lugar destacado en su lista de prioridades. El motivo es que las pilas y los sistemas de tecnología antiguos suelen ser incompatibles con las nuevas tecnologías, o incluso completamente inestables y considerados un punto de fallo único debido a la incapacidad para escalar y la falta de respaldo de seguridad en aspectos tan fundamentales como las actualizaciones contra vulnerabilidades. La elasticidad que ofrece la nube pública/privada, junto con las numerosas tecnologías disponibles, puede aumentar las ventajas de migrar a la nube.
Aun así, para muchos, dar el paso plantea multitud de interrogantes acerca de la seguridad de sus datos (y los de sus clientes, usuarios o ciudadanos) en la nube. Tal vez haya oído alguna vez algo así como que "el cliente es responsable de la seguridad y el cumplimiento normativo en la nube, mientras que el proveedor de servicios de nube (CSP) es el responsable de la seguridad y el cumplimiento normativo de la nube". Eso es lo que se denomina un modelo de responsabilidad compartida. Pero echemos un vistazo a algunos aspectos básicos de sus implicaciones y el modo de aplicarlo a su entorno de nube.
¿Cuál es su responsabilidad?
Como cliente, sus responsabilidades en la nube dependerán de los servicios y productos que usará su organización (esto es fundamental, ya que las responsabilidades variarán en función de los servicios y los productos).
Por ejemplo, un hospital que tenga requisitos legales o de cumplimiento normativo específicos también podría necesitar la capacidad para escalar sin renunciar a la protección, y de aplicar actualizaciones masivas durante el proceso. Tendrían que usar no solo servicios específicos, certificados para usarse en función de sus requisitos internos, sino que también deberían pensar en servicios que les permitan escalar con seguridad, con almacenamiento para sus actualizaciones masivas, listas de control de acceso para su tráfico de redes, etc. Se trata de un ejemplo de alto nivel del modo en que la responsabilidad puede derivar más hacia el cliente, dada la naturaleza de sus requisitos específicos. Toda la estrategia de implementación de la nube variará de un cliente a otro, permitiendo a algunos clientes derivar más controles de seguridad al CSP para que este los gestione. Esto dependerá del modelo de servicio de nube que use su organización. Por ejemplo, software como servicio, plataforma como servicio o infraestructura como servicio.
Las organizaciones también deberían comprender qué se hereda del CSP y qué controles o responsabilidades podrían ser compartidos. Por ejemplo, si se utiliza Amazon Web Services como CSP, el cliente no debería responsabilizarse de aspectos tales como ubicaciones de perímetro, crear zonas de disponibilidad (no es su responsabilidad la creación física de esta ubicación aislada ni de ningún hardware que se ejecute con ella), o de servidores de API si usa el plano de control de EKS, la red, etc.
En última instancia, el cliente es el responsable de sus propios datos. Aquí se incluye el encriptado, pues el cliente es responsable de esta configuración, junto con la integridad y los mecanismos de autenticación y autorización que se usarán para el acceso a los datos, la seguridad y la gestión.
Aunque no se trata de una lista exhaustiva de responsabilidades, a continuación le mostramos algunos aspectos que las organizaciones deben comprender al evaluar sus capacidades globales de migración y seguridad.
¿Cuál es nuestra responsabilidad?
Los proveedores de software como servicio son responsables de aspectos tales como las API y el middleware, las virtualizaciones, la seguridad de red y mucho más. Es importante comprender que la mayoría de aplicaciones que ofrecemos se ejecutarán a través de internet, de modo que gran parte de nuestra forma de cumplir nuestro objetivo pasa por garantizar la seguridad y el cumplimiento normativo del cliente protegiendo nuestra plataforma y asegurándonos de que todo el mantenimiento y gestión de las aplicaciones que usa el cliente sean seguras, resilientes y con alta disponibilidad para el usuario final. La idea es que TODOS somos responsables de la seguridad en la nube.
¿Ayudará Salesforce a identificar la responsabilidad del cliente?
Es importante tener en cuenta que los enfoques de programación, seguridad, cumplimiento normativo y recomendaciones de gobernanza variarán ligeramente, en función de su modelo de seguridad particular de Salesforce. No obstante, lo que no cambiará en ningún modelo de seguridad es el compromiso de Salesforce de ayudar a su organización con prácticas recomendadas para el diseño de una arquitectura segura, de negociar y diseñar soluciones para problemas complejos y requisitos empresariales explícitas, y de ofrecer orientación sobre prácticas recomendadas para la aplicación y el desarrollo de la integración, entre otros.
Todo ello es parte de nuestro compromiso con el éxito del cliente. Estamos aquí para ayudarle a abordar los requisitos básicos para llevar a cabo una evaluación del nivel de preparación para una migración interna, analizar los requisitos empresariales y de seguridad y asesorarle acerca de la estrategia de migración, la línea de tiempo, los hitos de seguridad, etc.
Una vez hecho eso (y demás pasos) y coincidamos en que es posible realizar la migración correctamente, nos dedicaríamos a analizar en profundidad las responsabilidades del cliente para conocerlas desde el primer momento. Ofrecemos controles de seguridad nativos personalizables, como mecanismos de autenticación, permisos de usuario, listas de IP permitidas, etc. También ofrecemos muchos productos listos para usar y funciones principales que pueden ayudarle a dirigir su negocio. Del mismo modo, como cliente, su responsabilidad consiste en garantizar que su organización esté completamente preparada y sea capaz de satisfacer los requisitos de responsabilidad compartida para cada producto que seleccione su organización.
Somos partidarios de establecer asociaciones y relaciones sólidas con nuestros clientes, las partes interesadas de estos y otros proveedores de servicios de nube, y por ello nuestras estrategias de migración a la nube están siempre personalizadas de modo que le resulten útiles en su caso concreto. Si quiere obtener más información acerca de confianza y seguridad aquí en Salesforce, consulte el módulo Learn About the Shared Responsibility Model (Más información acerca del modelo de responsabilidad compartida) en Trailhead, la plataforma gratuita de aprendizaje y formación de Salesforce.