BLOG

¿Quieres seguridad a tu disposición o como servicio?

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 3 de agosto de 2015

Hasta hace poco, el mundo de la computación en la nube se había asentado en sus pilares principales de SaaS, PaaS e IaaS. Pero a medida que los consumidores de la nube continúan madurando en su comprensión y uso de la nube, estamos empezando a ver un creciente interés en lo que es en parte nube, en parte servicio administrado, en particular en el área de seguridad. Para los fines de este blog, lo llamaremos “a su servicio”*. 

En un entorno tradicional “como un”, simplemente podríamos tomar BIG-IP ASM (nuestro firewall de aplicação ) y configurar una buena estructura de servicios F5 Synthesis en algún lugar, como una nube, y ofrecerla “como un servicio”. Desde una perspectiva arquitectónica, tiene sentido acercar la seguridad de las aplicação a aquellas que la necesitan, en la nube, donde aún hoy hay escasez de buenas alternativas. Las aplicaciones alojadas en la nube necesitan tanta (o incluso más) seguridad de aplicação que las del centro de datos, debido a su naturaleza más pública por diseño. Lo que no necesariamente tiene sentido es forzar que las solicitudes al centro de datos sean escaneadas, depuradas y evaluadas antes de enviarlas nuevamente a la nube. Es un trombón gigante (o una horquilla, si lo prefiere) dado que la mayoría de los centros de datos no están colgados directamente de la red troncal de Internet, al lado del centro de datos del proveedor de la nube.

prefiere como servicio soad 2015

La creciente preferencia por este tipo de modelo quedó clara en nuestro informe Estado de la entrega de aplicação 2015 , especialmente para los servicios de seguridad.

Pero una solución de seguridad de aplicação basada en la nube tiene mucho sentido. Probablemente esté física y topológicamente más cerca de la aplicación que protege que el centro de datos corporativo, y ofrece un modelo de facturación más complementario a las aplicaciones basadas en la nube que una solución local tradicional.

El problema, sin embargo, es que todavía hay que tener el tiempo y el conocimiento para configurarlo y probarlo y, esto es importante, mantenerlo actualizado.

Aquí es cuando “como un” realmente se convierte en “dolor en el”. Porque para llevar a cabo esta tarea se necesitan los conocimientos y las habilidades de alguien que entienda la seguridad y también entienda la aplicação. Lo cual puede resultar difícil en estos tiempos de burbuja de seguridad.

Las diferencias entre “como” y “en su” giran principalmente en torno a la responsabilidad y la participación en la gestión. En un servicio “a su disposición”, usted no solo se suscribe al software o la solución, sino que se suscribe a la gestión activa de esa solución por parte de personas que son expertas en ello. En el ámbito de la seguridad, dadas las presiones del macroentorno, como la escasez de personal especializado en TI que está afectando especialmente a la seguridad de la información, la suscripción a expertos en seguridad es ciertamente una ventaja, además de ser potencialmente económica:

La escasez de habilidades en TI se ha convertido en una epidemia. Simplemente no hay personal de seguridad disponible para contratar. Desde hace cinco años , la tasa de desempleo de los profesionales de InfoSec es inferior al 2% (y a menudo, del 0%). La escasez de empleo para personas con habilidades de seguridad ha tenido un impacto predecible en los salarios: Según Payscale, en 2014, la mitad de todos los arquitectos de seguridad ganaron más de 120.000 dólares : eso es un 50% más que el ingeniero de software promedio y un enorme 300% de lo que gana un enfermero practicante con licencia. Las personas con habilidades en seguridad cobran más, se van a empresas nuevas o son contratadas para trabajos más cómodos y con mejores títulos (ejem). Jon Oltsik de ESG escribió que su predicción número uno para 2015 es "El impacto generalizado de la escasez de habilidades en ciberseguridad". – David Holmes, Evangelista de Seguridad de F5, Dark Reading

Al combinar el modelo comercial y operativo de la nube (multitenencia, abstracción, facturación basada en suscripción/utilidad) con los beneficios tradicionales de un servicio administrado, las organizaciones obtienen la agilidad y los ahorros de costos deseados. Al brindar la experiencia necesaria para configurar y mantener el servicio y al mismo tiempo fomentar la colaboración y la participación activa del consumidor, el modelo “en su lugar” ofrece a las organizaciones los medios para proteger sus aplicações críticas ** en cualquier lugar y tener la seguridad de que la seguridad está cubierta. 

*Sí, soy consciente de que se abrevia como SayS. No, no estoy seguro de que eso sea bueno. O malo. Quizás ambos.

** En el mundo de las aplicação, esto aplica prácticamente a todas las aplicação, ¿no es así? Casi parece redundante modificarlo ahora.