Definición de una estrategia de seguridadDefine a security strategy

Los objetivos principales de una organización de seguridad no cambian con la adopción de servicios en la nube, pero el modo en que se logran esos objetivos sí lo hará.The ultimate objectives for a security organization don't change with adoption of cloud services, but how those objectives are achieved will change. Los equipos de seguridad deben seguir centrándose en reducir el riesgo empresarial de los ataques y trabajar para obtener las garantías de disponibilidad, integridad y confidencialidad integradas en todos los datos y sistemas de información.Security teams must still focus on reducing business risk from attacks and work to get confidentiality, integrity, and availability assurances built into all information systems and data.

Modernización de la estrategia de seguridadModernize your security strategy

Los equipos de seguridad deberán modernizar las estrategias, las arquitecturas y la tecnología a medida que la organización adopte la nube y la administre con el tiempo.Security teams need to modernize strategies, architectures, and technology as the organization adopts cloud and operates it over time. Aunque el tamaño y el número de cambios pueden parecer desalentadores inicialmente, la modernización del programa de seguridad permite a la seguridad perder algunas cargas desagradables asociadas a los enfoques heredados.While the size and number of changes can initially seem daunting, the modernization of the security program allows security to shed some painful burdens associated with legacy approaches. Una organización puede trabajar temporalmente con la estrategia heredada y las herramientas, pero este enfoque es difícil de mantener con el ritmo de cambio en la nube y el entorno de amenazas:An organization may temporarily operate with legacy strategy and tooling, but this approach is difficult to sustain with the pace of change in cloud and the threat environment:

  • Es probable que los equipos de seguridad dejen de tomar decisiones sobre la adopción de la nube si adoptan una actitud heredada de seguridad "distante" donde la respuesta comienza siempre por "no" (en lugar de trabajar junto con los equipos de TI y empresariales para reducir el riesgo al habilitar la empresa).Security teams are likely to be left out of cloud adoption decision making if they take a legacy mindset of "arms-length" security where the answer always starts with "no" (instead of working together with IT and business teams to reduce risk while enabling the business).
  • Los equipos de seguridad tendrán dificultades a la hora de detectar ataques en la nube y defenderse contra ellos si solo usan herramientas locales heredadas y se adhieren exclusivamente a la única doctrina del perímetro de red para todas las defensas y la supervisión.Security teams will have a difficult time detecting and defending against cloud attacks if they use only legacy on-premises tooling and exclusively adhere to network perimeter only doctrine for all defenses and monitoring. La defensa en el escalado en la nube exige el uso de funcionalidades de automatización y detección nativas de la nube y la presentación de un perímetro de identidad para ayudar a supervisar y proteger recursos móviles y en la nube.Defending at cloud scale mandates the use of cloud native detection and automation capabilities and the introduction of an identity perimeter to help monitor and protect cloud and mobile assets.

Dado que esta transformación puede ser significativa, se recomienda que los equipos de seguridad adopten un enfoque ágil para la modernización de la seguridad que ponga al día rápidamente los aspectos más críticos de la estrategia y posteriormente vaya mejorando de forma continua e incremental.Because this transformation can be significant, we recommend that security teams take an agile approach to modernizing security that rapidly modernizes the most critical aspects of the strategy and then continuously improve incrementally afterwards.

Seguridad de la nube y desde la nubeSecurity of the cloud and from the cloud

A medida que la organización adopte servicios en la nube, los equipos de seguridad trabajarán en pro de dos objetivos principales:As your organization adopts cloud services, security teams will be working towards two main objectives:

  • Seguridad *de* la nube (protección de recursos en la nube): la seguridad se debe integrar en el planeamiento y funcionamiento de los servicios en la nube para asegurarse de que esas garantías de seguridad básica se aplican de forma coherente en todos los recursos.Security *of* the cloud (securing cloud resources): Security should be integrated into the planning and operation of cloud services to ensure that those core security assurances are consistently applied across all resources.
  • Seguridad *desde* la nube (uso de la nube para transformar la seguridad): la seguridad debe empezar inmediatamente a planear y pensar en cómo usar las tecnologías en la nube para modernizar los procesos y las herramientas de seguridad, especialmente las herramientas de seguridad integradas de forma nativa.Security *from* the cloud (using the cloud to transform security): Security should immediately start planning and thinking about how to use cloud technologies to modernize security tools and processes, particularly natively integrated security tools. Cada vez son más las herramientas de seguridad que se hospedan en la nube y proporcionan funcionalidades que son complejas o imposibles de llevar a cabo en un entorno local.Increasingly, security tools are being hosted in the cloud and providing capabilities that are difficult or impossible to do in an on-premises environment.

Muchas organizaciones empiezan a tratar los recursos en la nube como otro centro de datos virtual, un punto de partida eficaz para la seguridad de la nube.Many organizations start by treating cloud resources as another virtual datacenter, an effective starting point for security of the cloud. A medida que las organizaciones se modernizan con la seguridad de la nube, la mayoría superarán rápidamente este modelo de pensamiento.As organizations modernize using security from the cloud, most will find themselves quickly outgrowing this model of thinking. La protección de un centro de datos definido por software mediante herramientas hospedadas en la nube habilita funcionalidades más allá de lo que pueden ofrecer los modelos locales:Securing a software-defined datacenter using cloud-hosted tools enables capabilities beyond what on-premises models can offer:

  • Habilitación y escalado rápidos de funcionalidades de seguridad.Rapid enablement and scaling of security capabilities.
  • Detección de higiene de configuración de seguridad e inventario de recursos altamente eficaz.Highly effective asset inventory and security configuration hygiene discovery.
  • Evaluación continua de la posición y los controles de seguridad de la organización.Continuous assessment of the organization's security posture and controls.
  • Detección de amenazas ampliamente mejorada que utiliza grandes repositorios de inteligencia sobre amenazas y las funcionalidades de procesamiento y almacenamiento prácticamente ilimitadas de la nube.Vastly improved threat detection that uses vast repositories of threat intelligence and the nearly unlimited processing and storage capabilities of the cloud.

El nivel adecuado de fricción de seguridadThe right level of security friction

La seguridad crea fricción de forma natural que ralentiza los procesos. Es fundamental identificar qué elementos son correctos en sus procesos de TI y DevOps y cuáles no:Security naturally creates friction that slows down processes, it is critical to identifying which elements are healthy in your DevOps and IT processes and which are not:

  • Fricción sin problemas: al igual que la resistencia en el ejercicio fortalece un músculo, la integración del nivel adecuado de fricción de seguridad fortalece el sistema o la aplicación forzando el pensamiento crítico en el momento adecuado.Healthy friction: Much like the resistance in exercise makes a muscle stronger, integrating the right level of security friction strengthens the system or application by forcing critical thinking at the right time. Normalmente, esto se traduce en que se tiene en cuenta cómo y por qué un atacante podría intentar poner en peligro una aplicación o un sistema durante el diseño, y se revisan, identifican y corrigen de forma ideal posibles vulnerabilidades que puede explotar un atacante en el código de software, las configuraciones o las prácticas operativas.This typically takes the form of considering how and why an attacker may try to compromise an application or system during design, and reviewing, identifying, and ideally fixing potential vulnerabilities an attacker can exploit in software code, configurations, or operational practices.
  • Fricción con problemas: afecta negativamente a una parte del valor mayor que la parte que protege.Unhealthy friction: Impedes more value than it protects. Esto suele ocurrir cuando los errores de seguridad generados por las herramientas tienen una alta tasa de falsos positivos (como falsas alarmas) o cuando el esfuerzo por detectar o corregir las incidencias de seguridad supera con creces el posible impacto de un ataque.This often happens when security bugs generated by tools have a high false positive rate (such as false alarms) or when the effort to discover or fix security issues far exceeds the potential impact of an attack.

Responsabilidades independientes e integradasStandalone and integrated responsibilities

Proporcionar garantías de disponibilidad, integridad y confidencialidad requiere que los expertos en seguridad usen funciones de seguridad dedicadas y trabajen estrechamente con otros equipos de la organización:Providing confidentiality, integrity, and availability assurances requires security experts to operate dedicated security functions and work closely with other teams in the organization:

  • Funciones de seguridad únicas: los equipos de seguridad realizan funciones independientes que no se encuentran en ningún otro lugar de la organización, como operaciones de seguridad, administración de vulnerabilidades y otras funciones.Unique security functions: Security teams perform independent functions that are not found elsewhere in the organization, such as security operations, vulnerability management, and other functions.
  • Integración de la seguridad en otras funciones: los equipos de seguridad también sirven como expertos en la materia en otros equipos y funciones de la organización que impulsan iniciativas empresariales, evalúan el riesgo, diseñan o desarrollan aplicaciones y usan sistemas de TI.Integrating security into other functions: Security teams also serve as subject matter experts to other teams and functions in the organization who are driving business initiatives, assessing risk, designing or developing applications, and operating IT systems. Los equipos de seguridad dan consejos a estos equipos mediante experiencia y contexto sobre los atacantes, los métodos de ataque y las tendencias, las vulnerabilidades que podrían permitir el acceso no autorizado y las opciones de pasos de mitigación o soluciones alternativas y sus posibles ventajas o riesgos.Security teams advise these teams with expertise and context on attackers, attack methods and trends, vulnerabilities that could allow unauthorized access, and options for mitigation steps or workarounds and their potential benefits or pitfalls. Esta función de seguridad es similar a la de una función de calidad, ya que se entrelazará en muchos lugares grandes y pequeños a favor de un solo resultado.This function of security resembles that of a quality function as it will be woven into many places large and small in support of a single outcome.

La ejecución de estas responsabilidades mientras se está al tanto del rápido ritmo de cambio en la nube y la transformación de la empresa requiere que los equipos de seguridad modernicen sus herramientas, tecnologías y procesos.Executing on these responsibilities while keeping up with the rapid pace of change in the cloud and the transformation of business requires security teams to modernize their tools, technologies, and processes.

Transformaciones, actitudes y expectativasTransformations, mindsets, and expectations

Muchas organizaciones administran una cadena de varias transformaciones simultáneas.Many organizations are managing a chain of multiple simultaneous transformations in the organization. Estas transformaciones internas se inician normalmente porque casi todos los mercados externos se transforman para satisfacer nuevas preferencias de los clientes para tecnologías móviles y en la nube.These internal transformations typically start because nearly all external markets are transforming to meet new customer preferences for mobile and cloud technologies. Las organizaciones suelen hacer frente a la amenaza competitiva de nuevas startups y la transformación digital de los competidores tradicionales que pueden sorprender al mercado.Organizations often face the competitive threat of new startups and the digital transformation of traditional competitors who can disrupt the market.

Cadena de varias transformaciones simultáneas en la organización

El proceso de transformación interna suele incluir lo siguiente:The internal transformation process typically includes:

  • Transformación digital de la empresa para capturar nuevas oportunidades y mantenerse competitiva frente a las startups nativas digitales.Digital transformation of the business to capture new opportunities and stay competitive against digital native startups.
  • Transformación tecnológica de la organización de TI para apoyar la iniciativa con servicios en la nube, prácticas de desarrollo modernizadas y cambios relacionados.Technology transformation of the IT organization to support the initiative with cloud services, modernized development practices, and related changes.
  • Transformación de seguridad para adaptarse a la nube y abordar simultáneamente un entorno de amenazas cada vez más sofisticado.Security transformation to both adapt to the cloud and simultaneously address an increasingly sophisticated threat environment.

El conflicto interno puede ser costosoInternal conflict can be costly

El cambio crea estrés y conflictos, lo que puede paralizar la toma de decisiones.Change creates stress and conflict, which can grind decision making to a halt. Esto es especialmente cierto en lo que respecta a la seguridad, donde la responsabilidad del riesgo de seguridad suele recaer erróneamente en los expertos en la materia (equipos de seguridad), en lugar de en los propietarios de los recursos (propietarios empresariales) que se encargan de los resultados empresariales y todos los demás tipos de riesgo.This is especially true in security where accountability for security risk is often misplaced on the subject matter experts (security teams), rather than on the owners of the assets (business owners) that are accountable for business outcomes and all other risk types. Esta responsabilidad de destinatario incorrecto suele deberse a que todas las partes interesadas ven erróneamente la seguridad como un problema técnico o absoluto que se debe resolver, en lugar de un riesgo continuo dinámico como el espionaje corporativo y otras actividades criminales tradicionales.This misplaced accountability often happens because all stakeholders incorrectly view security as a technical or absolute problem to be solved, rather than a dynamic ongoing risk like corporate espionage and other traditional criminal activities.

Durante este tiempo de transformación, los responsables de todos los equipos deben trabajar activamente para reducir los conflictos que pueden ser perjudiciales para los proyectos críticos e incentivar a los equipos para que omitan la mitigación de riesgos de seguridad.During this time of transformation, leadership of all teams must work actively to reduce conflict that can both derail critical projects and incentivize teams to bypass security risk mitigation. Un conflicto interno entre los equipos puede dar lugar a:Internecine conflict between teams can result in:

  • Mayor riesgo de seguridad como incidentes de seguridad evitables o mayores daños empresariales derivados de ataques (especialmente cuando los equipos se sienten frustrados por la seguridad y omiten los procesos normales, o cuando los atacantes omiten fácilmente los enfoques de seguridad obsoletos).Increased security risk such as avoidable security incidents or increased business damage from attacks (particularly when teams get frustrated by security and bypass normal processes or when outdated security approaches are easily bypassed by attackers).
  • Impacto negativo en la empresa o misión, como cuando los procesos empresariales no se habilitan o actualizan lo suficientemente rápido para satisfacer las necesidades del mercado (normalmente, cuando los procesos de seguridad contienen iniciativas empresariales clave).Negative impact on the business or mission such as when business processes aren't enabled or updated fast enough to meet market needs (often when security processes hold up key business initiatives).

Es fundamental estar al corriente del estado de la relación dentro de los equipos y entre ellos para ayudarles a navegar por el panorama cambiante que podría dejar inseguros e inquietos a los miembros valiosos.It's critical to stay aware of relationship health within and between teams to help them navigate the shifting landscape that could leave valuable team members insecure and unsettled. Paciencia, empatía y educación sobre estas actitudes, y el potencial positivo del futuro ayudará a sus equipos a navegar mejor por este período, promoviendo resultados de seguridad buenos para la organización.Patience, empathy, and education on these mindsets and the positive potential of the future will help your teams better navigate this period, driving good security outcomes for the organization.

Los responsables pueden ayudar a impulsar un cambio cultural con pasos proactivos concretos como:Leaders can help drive culture changes with concrete proactive steps like:

  • Modelar públicamente el comportamiento que esperan de sus equipos.Publicly modeling the behavior they expect of their teams.
  • Ser transparente con respecto a los desafíos de los cambios, incluido el resaltado de sus propias dificultades para adaptarse.Being transparent about the challenges of the changes, including highlighting their own struggles to adapt.
  • Recordar periódicamente a los equipos la urgencia e importancia de modernizar e integrar la seguridad.Regularly reminding teams of the urgency and importance of modernizing and integrating security.

Resistencia de ciberseguridadCybersecurity resilience

Muchas estrategias de seguridad clásicas se han centrado únicamente en la prevención de ataques, un enfoque que es insuficiente para las amenazas modernas.Many classic security strategies have been focused solely on preventing attacks, an approach that is insufficient for modern threats. Los equipos de seguridad deben asegurarse de que su estrategia va más allá de esto y también permite una rápida detección de ataques, respuesta y recuperación para aumentar la resistencia.Security teams must ensure their strategy goes beyond this and also enables rapid attack detection, response, and recovery to increase resilience. Las organizaciones deben suponer que los atacantes pondrán en peligro algunos recursos (en ocasiones, esto se conoce como supuesto de infracción) y trabajar para asegurarse de que los recursos y diseños técnicos se equilibran entre la prevención y la administración de ataques (en lugar del enfoque predeterminado típico consistente en intentar solamente prevenir ataques).Organizations must assume that attackers will compromise some resources (sometimes called assume breach) and work to ensure that resources and technical designs are balanced between attack prevention and attack management (rather than the typical default approach of only attempting to prevent attacks).

Muchas organizaciones ya se encuentran en este recorrido, puesto que han estado administrando el aumento constante del volumen y la sofisticación de los ataques en los últimos años.Many organizations are already on this journey because they have been managing the steady rise in volume and sophistication of attacks in recent years. Este recorrido suele iniciarse con el primer incidente importante, que puede ser un evento emocional en el que los usuarios pierden su anterior sensación de invulnerabilidad y seguridad.This journey often starts with the first major incident, which can be an emotional event where people lose their prior sense of invulnerability and safety. Aunque no es tan grave como la pérdida de una vida, este evento puede desencadenar emociones similares empezando por la negación y finalizando en última instancia con la aceptación.While not as severe as a loss of life, this event can trigger similar emotions starting with denial and ultimately ending in acceptance. Para algunas personas, esta suposición de "error" puede ser difícil de aceptar al principio, pero tiene claros paralelismos con el principio de ingeniería "a prueba de errores", y la suposición permite que los equipos se centren en una mejor definición de éxito: resistencia.This assumption of "failure" may be difficult for some to accept at first, but it has strong parallels to the well-established "fail-safe" engineering principle and the assumption allows your teams to focus on a better definition of success: resilience.

Las funciones del marco de ciberseguridad de NIST sirven como guía útil sobre cómo equilibrar las inversiones entre las actividades complementarias de identificación, protección, detección, respuesta y recuperación en una estrategia resistente.The functions of the NIST cybersecurity framework serve as a useful guide on how to balance investments between the complementary activities of identify, protect, detect, respond, and recover in a resilient strategy.

Más información sobre la resistencia de ciberseguridad y los objetivos principales de los controles de ciberseguridad se explica en Cómo mantener el riesgo de su organización inactivo.More on cybersecurity resilience and the ultimate goals of cybersecurity controls is discussed in How do you keep your organization's risk down.

Cómo cambia la nube la seguridadHow the cloud is changing security

Desplazarse a la nube en aras de la seguridad es algo más que un simple cambio tecnológico, es un cambio tecnológico generacional similar al cambio de sistemas centrales a escritorios y a servidores empresariales.Shifting to the cloud for security is more than a simple technology change, it is a generational shift in technology akin to moving from mainframes to desktops and onto enterprise servers. Navegar correctamente por este cambio requiere cambios fundamentales en las expectativas y la actitud de los equipos de seguridad.Successfully navigating this change requires fundamental shifts in expectations and mindset by security teams. Adoptar las actitudes y expectativas adecuadas reducirá el conflicto dentro de la organización y aumentará la eficacia de los equipos de seguridad.Adopting the right mindsets and expectations will reduce conflict within your organization and increase the effectiveness of security teams.

Aunque podrían formar parte de cualquier plan de modernización de la seguridad, el rápido ritmo de cambio en la nube hace que adoptarlas sea una prioridad urgente.While these could be part of any security modernization plan, the rapid pace of change in the cloud makes adopting them an urgent priority.

  • Asociación con objetivos compartidos.Partnership with shared goals. En esta época de decisiones rápidas y evolución de procesos constante, la seguridad ya no puede adoptar un enfoque "distante" para la aprobación o la denegación de cambios en el entorno.In this age of fast paced decisions and constant process evolution, security can no longer adopt an "arms-length" approach to approving or denying changes to the environment. Los equipos de seguridad deben colaborar estrechamente con los equipos de TI y empresariales para establecer objetivos compartidos en torno a la productividad, la confiabilidad y la seguridad, y trabajar colectivamente con esos asociados para lograrlos.Security teams must partner closely with business and IT teams to establish shared goals around productivity, reliability, and security and work collectively with those partners to achieve them.

    Esta asociación es la forma definitiva de "desplazamiento a la izquierda"—el principio de integración de la seguridad anteriormente en los procesos para que la corrección de las incidencias de seguridad resulte más sencilla y eficaz.This partnership is the ultimate form of "shift left"—the principle of integrating security earlier in the processes to make fixing security issues easier and more effective. Esto requiere un cambio cultural por parte de todos los implicados (seguridad, empresa y TI), lo que a su vez requiere que cada uno de ellos aprenda la cultura y las normas de otros grupos, al mismo tiempo que enseña las suyas a otras personas.This requires a culture change by all involved (security, business, and IT), requiring each to learn the culture and norms of other groups while simultaneously teaching others about their own.

    Los equipos de seguridad deben:Security teams must:

    • Aprender los objetivos empresariales y de TI, por qué es importante cada uno de ellos y cómo piensan lograrlos a medida que se transforman.Learn the business and IT objectives and why each is important and how they are thinking about achieving them as they transform.
    • Compartir por qué la seguridad es importante en el contexto de esos objetivos y riesgos empresariales, qué pueden hacer otros equipos para cumplir los objetivos de seguridad y cómo deben hacerlo.Share why security is important in the context of those business goals and risks, what other teams can do to meet security goals, and how they should do it.

    Aunque no es una tarea sencilla, es fundamental para proteger la organización y sus recursos de forma sostenible.While not an easy task, it is essential for sustainably securing the organization and its assets. Es probable que esta asociación dé lugar a compromisos correctos donde inicialmente solo se puedan cumplir los objetivos mínimos empresariales, de seguridad y de confiabilidad, pero mejoren sin cesar y de forma incremental con el tiempo.This partnership will likely result in healthy compromises where only the minimum security, business, and reliability goals may be met initially, but incrementally improve steadily over time.

  • La seguridad es un riesgo continuo, no un problema.Security is an ongoing risk, not a problem. No puede "resolver" el delito.You can't "solve" crime. En esencia, la seguridad es simplemente una disciplina de administración de riesgos que se centra en las acciones malintencionadas de los seres humanos en lugar de los eventos naturales.At its core, security is just a risk management discipline, which happens to be focused on malicious actions by humans rather than natural events. Al igual que todos los riesgos, la seguridad no es un problema que se pueda corregir mediante una solución, es una combinación de la probabilidad y el impacto de los daños de un evento negativo, un ataque.Like all risks, security is not a problem that can be fixed by a solution, it is a combination of the likelihood and impact of damage from a negative event, an attack. Es más similar a las actividades criminales y de espionaje corporativo tradicionales donde las organizaciones se enfrentan a atacantes humanos motivados que tienen incentivos financieros para atacar con éxito la organización.It is most comparable to traditional corporate espionage and criminal activities where organizations face motivated human attackers who have financial incentive to successfully attack the organization.

  • El éxito en la productividad o la seguridad requiere ambas.Success in either productivity or security requires both. Una organización debe centrarse en la seguridad y la productividad en el entorno actual de "innovar o morir".An organization must focus on both security and productivity in today's "innovation or become irrelevant" environment. Si la organización no es productiva ni impulsa nuevas innovaciones, es posible que pierda competitividad en Marketplace, haciendo que se debilite financieramente o se produzca un error en él en última instancia.If the organization is not productive and driving new innovation, it may lose competitiveness in the marketplace that causes it to weaken financially or eventually fail. Si la organización no es segura y pierde el control de sus recursos frente a los atacantes, es posible que pierda competitividad en Marketplace, haciendo que se debilite financieramente y se produzca un error en él en última instancia.If the organization is not secure and loses control of assets to attackers, it may lose competitiveness in the marketplace that causes it to weaken financially and eventually fail.

  • Nadie es perfecto.Nobody's perfect. Ninguna organización es perfecta al adoptar la nube, ni siquiera Microsoft.No organization is perfect at adopting the cloud, not even Microsoft. Los equipos de TI y de seguridad de Microsoft se enfrentan a muchos de los mismos desafíos que nuestros clientes, como, por ejemplo, averiguar cómo estructurar los programas correctamente, equilibrar el software heredado complementario con la innovación vanguardista complementaria, e incluso las brechas tecnológicas de los servicios en la nube.Microsoft's IT and security teams grapple with many of the same challenges that our customers do such as figuring out how to structure programs well, balancing supporting legacy software with supporting cutting edge innovation, and even technology gaps in cloud services. A medida que estos equipos aprenden a usar y proteger mejor la nube, comparten activamente sus lecciones aprendidas a través de documentos como este, junto con otros del sitio de presentación de TI, a la vez que proporcionan comentarios continuamente a nuestros equipos de ingeniería y proveedores externos para mejorar sus ofertas.As these teams learn how to better operate and secure the cloud, they are actively sharing their lessons learned via documents like this along with others on the IT showcase site, while continuously providing feedback to our engineering teams and third-party vendors to improve their offerings.

    En función de nuestra experiencia, se recomienda que los equipos se mantengan en un estándar de aprendizaje y mejora continuos en lugar de un estándar de perfección.Based on our experience, we recommend that teams are held to a standard of continuous learning and improvement rather than a standard of perfection.

  • Oportunidad en la transformación.Opportunity in transformation. Es importante ver la transformación digital como una oportunidad positiva de seguridad.It's important to view digital transformation as a positive opportunity for security. Aunque es fácil ver los posibles inconvenientes y el riesgo de este cambio, es fácil perder la oportunidad masiva de reinventar el rol de seguridad y ganar un puesto en la tabla donde se toman las decisiones.While it's easy to see the potential downsides and risk of this change, it's easy to miss the massive opportunity to reinvent the role of security and earn a seat at the table where decisions are made. La asociación con la empresa puede dar lugar a una mayor financiación de la seguridad, reducir los esfuerzos repetitivos innecesarios en pro de la seguridad y hacer que el trabajo en seguridad sea más agradable, ya que se estará más conectado a la misión de la organización.Partnering with the business can result in increased security funding, reduce wasteful repetitive efforts in security, and make working in security more enjoyable as they will be more connected to the organization's mission.

Adopción del modelo de responsabilidad compartidaAdopting the shared responsibility model

El hospedaje de servicios de TI en la nube divide las responsabilidades operativas y de seguridad de las cargas de trabajo entre el proveedor de nube y el inquilino del cliente, lo que crea una asociación de facto con responsabilidades compartidas.Hosting IT services in the cloud splits the operational and security responsibilities for workloads between the cloud provider and the customer tenant, creating a de facto partnership with shared responsibilities. Todos los equipos de seguridad deben estudiar y comprender este modelo de responsabilidad compartida para adaptar sus procesos, herramientas y conjuntos de aptitudes al nuevo mundo.All security teams must study and understand this shared responsibility model to adapt their processes, tools, and skill sets to the new world. Esto ayudará a evitar la creación accidental de brechas o superposiciones en su posición de seguridad, dando lugar a riesgos de seguridad o recursos desperdiciados.This will help avoid inadvertently creating gaps or overlaps in your security posture resulting in security risks or wasted resources.

En este diagrama se muestra cómo se distribuirán las responsabilidades de seguridad entre los proveedores de nube y las organizaciones de clientes en la nube en una asociación de facto:This diagram illustrates how security responsibilities will be distributed between cloud vendors and cloud customer organizations in a de facto partnership:

Responsabilidades de seguridad distribuidas

Puesto que hay diversos modelos de servicios en la nube, las responsabilidades de cada carga de trabajo variarán en función de si la carga de trabajo está hospedada en una implementación de software como servicio (SaaS), plataforma como servicio (PaaS), infraestructura como servicio (IaaS) o bien en un centro de datos local.As there are different models of cloud services, the responsibilities for each workload will vary depending on whether it is hosted on software as a service (SaaS), platform as a service (PaaS), infrastructure as a service (IaaS), or in an on-premises datacenter.

Creación de iniciativas de seguridadBuilding security initiatives

En este diagrama se muestran las tres iniciativas de seguridad principales que deben seguir la mayoría de los programas de seguridad para ajustar su estrategia de seguridad y sus objetivos para la nube:This diagram illustrates the three primary security initiatives that most security programs should follow to adjust their security strategy and security program goals for the cloud:

Iniciativas de seguridad principales

La creación de una posición de seguridad resistente en la nube requiere varios enfoques complementarios paralelos:Building a resilient security posture in the cloud requires several parallel complementary approaches:

  • Confiar pero verificar: en el caso de las responsabilidades llevadas a cabo por el proveedor de nube, las organizaciones deben adoptar un enfoque de "confiar pero verificar".Trust but verify: For responsibilities performed by the cloud provider, organizations should take a "trust but verify" approach. Las organizaciones deben evaluar las prácticas de seguridad de sus proveedores de nube y los controles de seguridad que ofrecen para asegurarse de que el proveedor de nube satisface las necesidades de seguridad de la organización.Organizations should evaluate the security practices of their cloud providers and the security controls they offer to ensure the cloud provider meets the security needs of the organization.

  • Modernización de la seguridad de la infraestructura y aplicaciones: en el caso de los elementos técnicos bajo el control de la organización, dé prioridad a la modernización de las herramientas de seguridad y los conjuntos de aptitudes asociados para minimizar las brechas de la cobertura para proteger los recursos de la nube.Modernize infrastructure and application security: For technical elements under the organization's control, prioritize modernizing security tooling and associated skill sets to minimize coverage gaps for securing resources in the cloud. Esto consta de dos esfuerzos complementarios diferentes:This is composed of two different complementary efforts:

    • Seguridad de la infraestructura: las organizaciones deben usar la nube para modernizar su estrategia de protección y supervisión de los componentes comunes que usan muchas aplicaciones; como, por ejemplo, sistemas operativos, redes e infraestructura de contenedores.Infrastructure security: Organizations should use the cloud to modernize their approach to protecting and monitoring the common components used by many applications, such as operating systems, networks, and container infrastructure. Estas funcionalidades de la nube a menudo pueden incluir la administración de componentes de infraestructura en entornos locales y de IaaS.These cloud capabilities can often including managing infrastructure components across both IaaS and on-premises environments. La optimización de esta estrategia es importante, ya que esta infraestructura es una dependencia de las aplicaciones y los datos que se ejecutan en ella, que a menudo habilitan procesos empresariales críticos y almacenan datos empresariales críticos.Optimizing this strategy is important because this infrastructure is a dependency of the applications and data that run on it, which often enable critical business processes and store critical business data.

    • Seguridad de la aplicación: las organizaciones también deben modernizar la manera en que protegen las aplicaciones únicas y la tecnología desarrollada por o para su organización.Application security: Organizations should also modernize the way they secure the unique applications and technology that is developed by or for their organization. Esta disciplina cambia rápidamente con la adopción de procesos de DevOps ágiles, el aumento del uso de componentes de código abierto y la incorporación de API y servicios en la nube para reemplazar componentes de aplicaciones o interconectar aplicaciones.This discipline is changing rapidly with the adoption of agile DevOps processes, the increasing use of open-source components, and introduction of cloud APIs and cloud services to replace application components or interconnect applications.

      Obtener este derecho es fundamental, ya que estas aplicaciones a menudo habilitan procesos empresariales críticos y almacenan datos empresariales críticos.Getting this right is critical because these applications often enable critical business processes and store critical business data.

    • Perímetro moderno: las organizaciones deben tener un enfoque completo para la protección de datos en todas las cargas de trabajo. Asimismo, deben establecer un perímetro moderno de controles de identidad coherentes administrados centralmente para proteger sus datos, dispositivos y cuentas.Modern perimeter: Organizations should have a comprehensive approach for protecting data across all workloads, organizations should establish a modern perimeter of consistent, centrally managed identity controls to protect their data, devices, and accounts. Esto se ve notablemente influenciado por una estrategia de confianza cero que se explica con detalle en Módulo 3 del taller para CISO.This is heavily influenced by a zero trust strategy discussed in detail in Module 3 of the CISO workshop.

Seguridad y confianzaSecurity and trust

El uso de la palabra confianza en material de seguridad puede ser confuso.The use of the word trust in security can be confusing. En esta documentación se hace referencia a ella de dos maneras que ilustran las aplicaciones útiles de este concepto:This documentation refers to it in two ways that illustrate useful applications of this concept:

  • Confianza cero es un término común del sector para un enfoque estratégico de seguridad que supone que una red corporativa o de intranet es hostil (digna de confianza cero) y diseña la seguridad en consecuencia.Zero trust is a common industry term for a strategic approach to security that assumes a corporate or intranet network is hostile (worthy of zero trust) and designs security accordingly.
  • Confiar pero verificar es una expresión que captura la esencia de dos organizaciones diferentes que trabajan juntas por un objetivo común a pesar de tener otros intereses potencialmente divergentes.Trust but verify is an expression that captures the essence of two different organizations working together toward a common goal despite having some other potentially divergent interests. Esto captura de manera concisa muchos de los matices de las primeras fases de la asociación con un proveedor de nube comercial para organizaciones.This concisely captures many of the nuances of the early stages of partnering with a commercial cloud provider for organizations.

Un proveedor de nube y sus prácticas y procesos pueden ser responsables de cumplir los requisitos contractuales y normativos, y podrían ganar o perder confianza.A cloud provider and their practices and processes can be accountable to meet contractual and regulatory requirements and could earn or lose trust. Una red es una conexión no dinámica que no puede hacer frente a las consecuencias si la usan los atacantes (al igual que no se puede hacer responsable a una carretera o un automóvil de los delincuentes que hacen uso de ellos).A network is a nonliving connection that cannot face consequences if it is used by attackers (much like you cannot hold a road or a car accountable for criminals using them).

De qué manera la nube está cambiando las relaciones y responsabilidades de seguridadHow cloud is changing security relationships and responsibilities

Al igual que sucede con transiciones anteriores a una nueva generación de tecnología, como, por ejemplo, la informática de escritorio y la informática de servidores empresariales, el cambio a la informática en la nube está interrumpiendo relaciones, roles, responsabilidades y conjuntos de aptitudes consolidados.As with previous transitions to a new generation of technology like desktop computing and enterprise server computing, the shift to cloud computing is disrupting long-established relationships, roles, responsibilities, and skill sets. Las descripciones de los trabajos a las que nos hemos acostumbrado en las últimas décadas no se asignan correctamente a una empresa que ahora incluye funcionalidades de la nube.The job descriptions we have become accustomed to over the last few decades do not cleanly map to an enterprise that now includes cloud capabilities. A medida que el sector trabaja colectivamente para normalizar un nuevo modelo, las organizaciones tendrán que centrarse en proporcionar tanta clarificación como sea posible para ayudar a administrar la incertidumbre de la ambigüedad durante este período de cambio.As the industry collectively works to normalize a new model, organizations will have to focus on providing as much clarify as possible to help manage the uncertainty of ambiguity during this period of change.

Los equipos de seguridad se ven afectados por estos cambios en la empresa y en la tecnología que admiten, así como por sus propios esfuerzos de modernización interna para centrarse mejor en los actores de amenazas.Security teams are affected by these changes in the business and technology they support as well as their own internal modernization efforts to better orient to threat actors. Los atacantes evolucionan activamente para buscar de forma constante los puntos débiles más sencillos de las personas, los procesos y la tecnología de la organización con el fin de aprovecharlos, y la seguridad debe desarrollar funcionalidades y aptitudes para abordar estos ángulos.Attackers are actively evolving to constantly search for the easiest weak points to exploit in the people, process, and technology of the organization and security must develop capabilities and skills to address these angles.

En esta sección se describen las relaciones clave que cambian con frecuencia en el recorrido a la nube, incluidas las lecciones aprendidas para minimizar el riesgo y adoptar las oportunidades de mejora:This section describes the key relationships that frequently change on the journey to the cloud, including lessons learned on minimizing risk and embracing the opportunities to improve:

  • Entre las partes interesadas del negocio y la seguridad: los líderes de seguridad deberán asociarse cada vez más con los líderes empresariales para que las organizaciones puedan reducir el riesgo.Between security and business stakeholders: Security leadership will need to increasingly partner with business leaders to enable organizations to reduce risk. Los líderes de seguridad deben apoyar la toma de decisiones empresariales como expertos en la materia de seguridad (SME) y deben procurar convertirse en asesores de confianza para estos líderes empresariales.Security leaders should support business decision making as security subject matter expert (SMEs) and should strive to grow into trusted advisors to these business leaders. Esta relación ayudará a asegurarse de que los líderes empresariales tienen en cuenta los riesgos de seguridad a la hora de tomar decisiones empresariales, informar sobre la seguridad de las prioridades empresariales y ayudar a garantizar que se dé prioridad a las inversiones en seguridad adecuadamente junto con otras inversiones.This relationship will help ensure business leaders consider security risks while making business decisions, inform security of business priorities, and help ensure security investments are prioritized appropriately alongside other investments.

  • Entre los miembros de los equipos y los líderes de seguridad: los líderes de seguridad deben recuperar esta información de los líderes empresariales y ponerla a disposición de sus equipos para orientar sus prioridades de inversión.Between security leadership and team members: Security leadership should take these insights from business leadership back to their teams to guide their investment priorities.

    Al establecer un tono de cooperación con los líderes empresariales y sus equipos en lugar de una relación "distante" clásica, los líderes de seguridad pueden evitar una dinámica conflictiva que obstaculice los objetivos de seguridad y productividad.By setting a tone of cooperation with business leaders and their teams rather than a classic "arms-length" relationship, security leaders can avoid an adversarial dynamic that impedes both security and productivity goals.

    Los líderes de seguridad deben procurar proporcionar claridad a su equipo sobre cómo administrar sus decisiones diarias acerca de los compromisos de seguridad y productividad, ya que esto puede ser nuevo para muchos de los miembros de sus equipos.Security leaders should strive to provide clarity to their team on how to manage their daily decisions on productivity and security tradeoffs as this may be new to many on their teams.

  • Entre los equipos de infraestructura y de la aplicación (y los proveedores de nube): esta relación está experimentando cambios significativos debido a varias tendencias en el sector de seguridad y de TI destinadas a aumentar la velocidad de innovación y la productividad de los desarrolladores.Between application and infrastructure teams (and cloud providers): This relationship is undergoing significant changes because of multiple trends in the IT and security industry aimed at increasing innovation speed and developer productivity.

    Las normas y funciones organizativas anteriores se han interrumpido, pero siguen emergiendo nuevas normas y funciones, por lo que se recomienda aceptar la ambigüedad, mantenerse al tanto de las opiniones actuales y experimentar con lo que funciona para las organizaciones hasta conseguirlo.The old norms and organizational functions have been disrupted, but new norms and functions are still emerging, so we recommend accepting the ambiguity, keeping up with current thinking, and experiment with what works for your organizations until it does. No se recomienda adoptar una estrategia de permanecer a la expectativa en este espacio, ya que podría colocar a la organización en una situación de desventaja competitiva importante.We don't recommend adopting a wait-and-see approach in this space because it might put your organization at a major competitive disadvantage.

    Estas tendencias desafían las normas tradicionales para los roles y las relaciones de las aplicaciones y la infraestructura:These trends are challenging the traditional norms for roles and relationships of applications and infrastructure:

    • Disciplinas de fusión de DevOps: en su estado ideal, esto crea eficazmente un solo equipo altamente funcional que combina ambos conjuntos de experiencia en la materia para innovar, publicar actualizaciones y resolver incidencias (de seguridad y de otra índole) con rapidez.DevOps-fusing disciplines: In its ideal state, this effectively creates a single highly functional team that combines both sets of subject matter expertise together to rapidly innovate, release updates, and resolve issues (security and otherwise). Aunque este estado ideal tardará un tiempo en lograrse y las responsabilidades que implica siguen siendo ambiguas, las organizaciones ya han disfrutado de algunas ventajas de las versiones rápidas debido a este enfoque cooperativo.While this ideal state will take some time to achieve and the responsibilities in the middle are still ambiguous, organizations are already reaping some benefits of rapid releases because of this cooperative approach. Microsoft recomienda integrar la seguridad en este ciclo para ayudar a aprender esas referencias culturales, compartir aprendizajes de seguridad y trabajar por un objetivo común de lanzamiento rápido de aplicaciones seguras y confiables.Microsoft recommends integrating security into this cycle to help learn those cultures, share security learnings, and work towards a common goal of rapidly releasing secure and reliable applications.

    Disciplinas de fusión de DevOps

    • Conversión de la creación de contenedores en un componente de infraestructura común: tecnologías como Docker, Kubernetes y similares hospedan y organizan cada vez más las aplicaciones.Containerization becoming a common infrastructure component: Applications are increasingly being hosted and orchestrated by technologies like Docker, Kubernetes, and similar technologies. Estas tecnologías simplifican el desarrollo y las versiones al abstraer muchos elementos de la instalación y configuración del sistema operativo subyacente.These technologies simplify development and release by abstracting many elements of the setup and configuration of the underlying operating system.

    Infraestructura de creación de contenedores

    Aunque los contenedores comenzaron como una tecnología de desarrollo de aplicaciones administrada por los equipos de desarrollo, se está convirtiendo en un componente de infraestructura común cada vez más centrado en los equipos de infraestructura.While containers began as an application development technology managed by development teams, it is becoming a common infrastructure component that is increasingly shifting to infrastructure teams. Esta transición sigue en curso en muchas organizaciones, pero es una dirección natural y positiva. Muchos de los desafíos actuales se resolverán mejor con conjuntos de aptitudes de infraestructura tradicionales como la administración de la capacidad, almacenamiento y redes.This transition is still in progress at many organizations, but it is a natural and positive direction many of the current challenges will be best solved with traditional infrastructure skill sets like networking, storage, and capacity management.

    Los equipos de infraestructura y los miembros de los equipos de seguridad que los apoyan deben recibir entrenamiento, procesos y herramientas para ayudar a administrar, supervisar y proteger esta tecnología.Infrastructure teams and security team members that support them should be provided with training, processes, and tooling to help manage, monitor, and secure this technology.

    • Servicios de aplicación en la nube y sin servidor: una de las tendencias dominantes del sector actualmente es reducir la cantidad de tiempo y el trabajo de desarrollo necesarios para compilar o actualizar aplicaciones.Serverless and cloud application services: One of the dominant trends in industry right now is reducing the amount of time and development work required to build or update applications.

      Servicios de aplicación en la nube y sin servidor

      Los desarrolladores también usan cada vez más servicios en la nube para:Developers are also increasingly using cloud services to:

      • Ejecutar código en lugar de hospedar aplicaciones en máquinas virtuales (VM) y servidores.Run code instead of hosting applications on virtual machines (VMs) and servers.
      • Proporcionar funciones de aplicación en lugar de desarrollar sus propios componentes.Provide application functions instead of developing their own components. Esto ha dado lugar a un modelo sin servidor que usa los servicios en la nube existentes para las funciones comunes.This has led to a serverless model that uses existing cloud services for common functions. El número y la variedad de servicios en la nube (y su ritmo de innovación) también ha superado la capacidad de los equipos de seguridad de evaluar y aprobar el uso de esos servicios, lo que les permite elegir entre permitir a los desarrolladores usar cualquier servicio, intentar evitar que los equipos de desarrollo usen servicios no aprobados o intentar encontrar una mejor manera.The number and variety of cloud services (and their pace of innovation) has also exceeded the ability of security teams to evaluate and approve the use of those services, leaving them to choose between allowing developers to use any service, attempting to prevent the development teams from using unapproved services, or trying to find a better way.
      • Aplicaciones sin código y Power Apps: otra tendencia emergente es el uso de tecnologías sin código como Microsoft Power Apps.Codeless applications and Power Apps: Another emerging trend is the use of codeless technologies like Microsoft Power Apps. Esta tecnología permite a los usuarios sin conocimientos de codificación crear aplicaciones que logren resultados empresariales.This technology enables people without coding skills to create applications that achieve business outcomes. Debido a este potencial de alto valor y baja fricción, esta tendencia tiene el potencial de aumentar la popularidad rápidamente y sería aconsejable que los profesionales de seguridad comprendieran sus implicaciones con rapidez.Because of this low friction and high value potential, this trend has the potential to rise in popularity quickly and security professionals would be wise to rapidly understand its implications. Los esfuerzos de seguridad deben centrarse en las áreas en las que un usuario podría cometer un error en la aplicación, concretamente en el diseño de los permisos de aplicación y recurso a través del modelado de amenazas, los componentes de aplicaciones, las interacciones y relaciones, y los permisos del rol.Security efforts should be focused on the areas where a human could make a mistake in the application, namely the design of the application and asset permissions via threat modeling the application components, interactions/relationships, and role permissions.
  • Entre los desarrolladores y los autores de componentes de código abierto: los desarrolladores también están aumentando la eficacia mediante el uso de bibliotecas y componentes de código abierto en lugar de desarrollar sus propios componentes.Between developers and open-source component authors: Developers are also increasing efficiency by using open-source components and libraries instead of developing their own components. Esto aporta valor a través de la eficacia, pero también presenta riesgos de seguridad creando una dependencia externa y un requisito para mantener y aplicar revisiones correctamente a esos componentes.This brings value through efficiency, but also introduces security risks by creating an external dependency and a requirement to properly maintain and patch those components. Los desarrolladores asumen eficazmente el riesgo de seguridad y otros errores cuando usan estos componentes y deben asegurarse de que hay un plan para mitigarlos en los mismos estándares que el código que desarrollarían.Developers are effectively assuming the risk of security and other bugs when they use these components and have to ensure there is a plan to mitigate them at the same standards as code they would develop.

  • Entre las aplicaciones y los datos: la línea entre la seguridad de los datos y las aplicaciones no está siempre tan clara, y las nuevas regulaciones están creando una necesidad de cooperación más estrecha entre los equipos de privacidad y datos, y los equipos de seguridad:Between applications and data: The line between security of data and applications is becoming blurred in places and new regulations are creating a need for closer cooperation between data/privacy teams and security teams:

    • Algoritmos de aprendizaje automático (Machine Learning): los algoritmos de aprendizaje automático son similares a las aplicaciones en que están diseñados para procesar datos a fin de crear un resultado.Machine learning (machine learning) algorithms: machine learning algorithms are similar to applications in that they are designed to process data to create an outcome. Las principales diferencias son:The key differences are:

      • Aprendizaje automático de alto valor: el aprendizaje automático a menudo confiere una ventaja competitiva importante y a menudo se considera una propiedad intelectual confidencial y un secreto comercial.High-value machine learning: Machine learning often confers a significant competitive advantage and is often considered sensitive intellectual property and a trade secret.

      • Marca de sensibilidad: el aprendizaje automático supervisado se ajusta mediante conjuntos de datos, imprimiéndose las características del conjunto de datos en el algoritmo.Sensitivity imprint: Supervised machine learning is tuned using data sets, which imprints characteristics of the dataset on the algorithm. Debido a esto, el algoritmo ajustado se puede considerar confidencial debido al conjunto de datos usado para entrenarlo.Because of this, the tuned algorithm may be considered sensitive because of the dataset used to train it. Por ejemplo, el entrenamiento de un algoritmo de aprendizaje automático para buscar bases militares secretas en un mapa con un conjunto de datos de bases militares secretas lo convertirían en un recurso confidencial.For example, training a machine learning algorithm to find secret army bases on a map using a dataset of secret army bases would make it a sensitive asset.

      Nota

      No todos los ejemplos son obvios, por lo que es fundamental reunir a un equipo con las partes interesadas adecuadas de los equipos de ciencia de datos, las partes interesadas del negocio, los equipos de seguridad, los equipos de privacidad, etc.Not all examples are obvious, so it's critical to bring a team together with the right stakeholders from data science teams, business stakeholders, security teams, privacy teams, and others. Estos equipos deben tener la responsabilidad de cumplir los objetivos comunes de innovación y responsabilidad.These teams should have a responsibility to meet common goals of innovation and responsibility. Deben resolver incidencias habituales como, por ejemplo, cómo y dónde almacenar copias de datos en configuraciones no seguras, cómo clasificar algoritmos, así como cualquier preocupación de sus organizaciones.They should address common issues such as how and where to store copies of data in insecure configurations, how to classify algorithms, as well as any concerns of your organizations.

      Microsoft ha publicado nuestros principios de inteligencia artificial responsable para orientar a nuestros propios equipos y a nuestros clientes.Microsoft has published our principles of responsible AI to guide our own teams and our customers.

      • Propiedad y privacidad de los datos: normativas como RGPD han aumentado la visibilidad de las incidencias de datos y las aplicaciones.Data ownership and privacy: Regulations like GDPR have increased the visibility of data issues and applications. Los equipos de la aplicación ahora pueden controlar, proteger y realizar un seguimiento de los datos confidenciales en un nivel comparable al seguimiento de los datos financieros realizado por los bancos y las instituciones financieras.Application teams now have the ability to control, protect, and track sensitive data at a level comparable to tracking financial data by banks and financial institutions. Los propietarios de los datos y los equipos de la aplicación deben generar una idea completa de qué almacenan las aplicaciones de datos y qué controles son necesarios.Data owners and applications teams need to build a rich understanding of what data applications store and what controls are required.
  • Entre las organizaciones y los proveedores de nube: a medida que las organizaciones hospedan cargas de trabajo en la nube, están estableciendo una relación empresarial con cada uno de esos proveedores de nube.Between organizations and cloud providers: As organizations host workloads in the cloud, they are entering into a business relationship with each of those cloud providers. El uso de servicios en la nube suele aportar valor empresarial, como, por ejemplo:The use of cloud services often brings business value such as:

    • Aceleración de las iniciativas de transformación digital reduciendo el tiempo de comercialización de las nuevas funcionalidades.Accelerating digital transformation initiatives by reducing time to market for new capabilities.

    • Aumento del valor de las actividades de seguridad y de TI al liberar a los equipos para que se centren en actividades de valor superior (alineadas con la empresa) en lugar de tareas estándar de nivel inferior que proporcionan los servicios en la nube de forma más eficaz en su nombre.Increasing value of IT and security activities by freeing teams to focus on higher value (business-aligned) activities rather than lower-level commodity tasks that are provided more efficiently by cloud services on their behalf.

    • Mayores confiabilidad y capacidad de respuesta: la mayoría de las nubes modernas también tienen un tiempo de actividad alto en comparación con los centros de datos locales tradicionales y han demostrado que pueden escalarse rápidamente (como, por ejemplo, durante la pandemia de la COVID-19) y proporcionar resistencia tras eventos naturales como rayos (que habrían mantenido muchos equivalentes locales durante mucho más tiempo).Increased reliability and responsiveness: Most modern clouds also have high uptime compared to traditional on-premises datacenters and have shown they can scale rapidly (such as during the COVID-19 pandemic) and provide resiliency following natural events like lightning strikes (which would have kept many on-premises equivalents down for much longer).

      Aunque resulta beneficioso, este cambio en la nube no está exento de riesgo.While beneficial, this shift to the cloud is not without risk. A medida que las organizaciones adoptan servicios en la nube, deben tener en cuenta posibles áreas de riesgo, entre las que se incluyen las siguientes:As organizations adopt cloud services, they should consider potential risk areas including:

    • Continuidad empresarial y recuperación ante desastres: ¿se encuentra el proveedor de nube en una buena situación financiera con un modelo de negocio con probabilidades de sobrevivir y prosperar durante el uso del servicio por parte de la organización?,Business continuity and disaster recovery: Is the cloud provider financially healthy with a business model that's likely to survive and thrive during your organization's use of the service? ¿ha establecido el proveedor de nube aprovisionamientos para permitir la continuidad del cliente si el proveedor experimenta algún error financiero o de otra índole, como, por ejemplo, proporcionar su código fuente a los clientes o hacerlo de código abierto?Has the cloud provider made provisions to allow customer continuity if the provider experiences financial or other failure, such as providing their source code to customers or open-sourcing it?

      Para obtener más información y documentos sobre el estado financiero de Microsoft, consulte Microsoft Investor Relations.For more information and documents regarding Microsoft's financial health, see Microsoft investor relations.

    • Seguridad: ¿sigue el proveedor de nube los procedimientos recomendados de seguridad del sector?,Security: Does the cloud provider follow industry best practices for security? ¿han validado esto organismos reguladores independientes?Has this been validated by independent regulatory bodies?

      • Microsoft Cloud App Security permite detectar el uso de más de 16 000 aplicaciones en la nube que se clasifican y puntúan en función de más de 70 factores de riesgo para proporcionar visibilidad continua del uso de la nube, IT en la sombra y el riesgo que IT en la sombra representa para la organización.Microsoft Cloud App Security allows you to discover usage of over 16,000 cloud applications, which are ranked and scored based on more than 70 risk factors to provide you with ongoing visibility into cloud use, shadow IT, and the risk that shadow IT poses to your organization.
      • El portal de confianza del servicio de Microsoft pone las certificaciones de cumplimiento normativo, los informes de auditoría, las pruebas de lápiz, etc., a disposición de los clientes.The Microsoft Service Trust Portal makes regulatory compliance certifications, audit reports, pen tests, and more available to customers. Estos documentos incluyen muchos detalles de las prácticas de seguridad interna (en particular, el informe SOC 2 tipo 2 y el plan de seguridad del sistema FedRAMP Moderate).These documents include many details of internal security practices (notably the SOC 2 type 2 report and FedRAMP Moderate system security plan).
    • Competidor empresarial: ¿es el proveedor de nube un competidor empresarial importante en su sector?,Business competitor: Is the cloud provider a significant business competitor in your industry? ¿cuenta con suficientes protecciones en el contrato de servicios en la nube u otros medios para proteger su negocio frente a acciones potencialmente hostiles?Do you have sufficient protections in the cloud services contract or other means to protect your business against potentially hostile actions?

      Revise este artículo para ver los comentarios sobre cómo evita Microsoft competir con los clientes de la nube.Review this article for commentary on how Microsoft avoids competing with cloud customers.

    • Nube múltiple: muchas organizaciones tienen una estrategia de nube múltiple intencional o de facto.Multicloud: Many organizations have a de facto or intentional multicloud strategy. Podría ser un objetivo intencionado para reducir la dependencia de un solo proveedor o tener acceso a las mejores funcionalidades exclusivas, pero también puede deberse a que los desarrolladores eligieron sus servicios en la nube preferidos o servicios familiares, o bien a que la organización adquirió otro negocio.This could be an intentional objective to reduce reliance on a single supplier or to access unique best of breed capabilities, but can also happen because developers chose preferred or familiar cloud services, or your organization acquired another business. Independientemente del motivo, esta estrategia puede presentar riesgos y costos potenciales que se deben administrar, entre los que se incluyen:Regardless of the reason, this strategy can introduce potential risks and costs that have to be managed including:

      • Tiempo de inactividad de varias dependencias: los sistemas diseñados para confiar en varias nubes se exponen a más orígenes de riesgo de tiempo de inactividad, ya que las interrupciones en los proveedores de nube (o el uso que hace el equipo de ellos) podrían provocar una interrupción de su negocio.Downtime from multiple dependencies: Systems architected to rely on multiple clouds are exposed to more sources of downtime risk as disruptions in the cloud providers (or your team's use of them) could cause an outage/disruption of your business. Esta mayor complejidad del sistema también aumentaría la probabilidad de que se produzcan eventos de interrupción, ya que es menos probable que los miembros del equipo comprendan totalmente un sistema más complejo.This increased system complexity would also increase the likelihood of disruption events as team members are less likely to fully understand a more complex system.
      • Poder de negociación: las organizaciones de mayor tamaño también deben considerar si una estrategia de nube única (asociación/compromiso mutuo) o de nube múltiple (capacidad para cambiar de negocio) logrará una mayor influencia sobre sus proveedores de nube para que se dé prioridad a las solicitudes de característica de la organización.Negotiating power: Larger organizations also should consider whether a single-cloud (mutual commitment/partnership) or multicloud strategy (ability to shift business) will achieve greater influence over their cloud providers to get their organization's feature requests prioritized.
      • Mayor sobrecarga de mantenimiento: los recursos de seguridad y de TI ya están sobrecargados gracias a sus cargas de trabajo existentes y están al tanto de los cambios de una plataforma de nube única.Increased maintenance overhead: IT and security resources already are overburdened from their existing workloads and keeping up with the changes of a single cloud platform. Cada plataforma adicional aumenta aún más esta sobrecarga y aleja a los miembros del equipo de actividades de valor superior tales como la optimización del proceso técnico para acelerar la innovación empresarial, la consulta con grupos empresariales sobre un uso más eficaz de las tecnologías, etc.Each additional platform further increases this overhead and takes team members away from higher value activities like streamlining technical process to speed business innovation, consulting with business groups on more effective use of technologies, and so on.
      • Personal y entrenamiento: a menudo, las organizaciones no tienen en cuenta los requisitos de personal necesarios para apoyar varias plataformas y el entrenamiento necesario para mantener el conocimiento y la popularidad de las nuevas características que se publican con rapidez.Staffing and training: Organizations often do not consider the staffing requirements necessary to support multiple platforms and the training required to maintain knowledge and currency of new features which are released in a rapid pace.