Cuando hablamos de gestión de incidentes de seguridad en la nube, está más que demostrado que
la esperanza e inacción son estrategias erróneas como forma de preparación de las organizaciones frente a eventos inesperados que puedan poner en riesgo la actividad del negocio. Si bien esta afirmación a muchas personas nos parece obvia y ha sido demostrada en diversas ocasiones, ¿por qué motivo siguen existiendo muchas organizaciones que, usando servicios en la nube, continúan con la forma tradicional de gestionar las operaciones de negocio esperando que nunca les ocurran incidentes de seguridad que puedan alterar o, inclusive, parar su actividad aunque esto le ocurra a sus competidores, socios, proveedores de servicios, otras plataformas en la nube y hasta a los mismos
proveedores de servicios de gestión de incidentes de seguridad?
Habrá quién esté leyendo estas líneas tranquilamente asintiendo y pensando que su organización ya dispone de procesos alineados con las buenas prácticas ITIL, que puede que disponga de una certificación ISO/IEC 20001 para la gestión de los servicios o hasta una certificación ISO/IEC 27001 para la gestión de seguridad de la información y, por lo tanto, un incidente de seguridad en la nube no le desvelará de su sueño porque el negocio está bajo control. Pues bien, estas guías de buenas prácticas son necesarias como base para ayudar a los equipos de tecnología de las empresas a funcionar y
acometer algunos de los problemas que pueden surgir, pero son insuficientes si la organización utiliza de forma directa o indirecta servicios en la nube ya que, realizar una petición y esperar a que el proceso escale a través de los distintos niveles de soporte (L1, L2, L3) hasta la persona experta en la materia, aunque necesario, puede llegar a ocasionar un retraso tal que, al atender el problema, el desastre esté servido.
En este contexto y con la rápida evolución de los servicios en la nube, así como la aparición de nuevas tecnologías que le dan soporte y la necesidad de disponer de servicios siempre activos, nos encontramos organizaciones configuradas para gestionar los incidentes de seguridad en este ecosistema de forma clásica, desatendiendo matices importantes como pueden ser los modelos diseñados como software como servicio (“Software as a Service” o ‘SaaS’) donde las responsabilidades sobre la atención al incidente cambian considerablemente, o los incidentes que pueden surgir en cualquier momento y la rapidez en la actuación y propagación de estos se ha multiplicado y puede tener consecuencias tanto a la propia organización como a sus partes interesadas.
