Protocolos de cumplimiento de la seguridad en la plataforma de nube híbrida de IBM
La plataforma de nube híbrida interna de IBM se creó para alojar miles de aplicaciones internas que ejecutan los negocios de IBM. El catálogo de IBM® Cloud contiene cientos de servicios listos para usar. Los equipos de aplicaciones emplean servicios en la nube totalmente gestionados en lugar de alojar sus propios servicios. Por ejemplo, las bases de datos de IBM Cloud pueden proporcionar copias de seguridad, luego restauración y actualizaciones de versiones a pedido o según una programación automatizada.
Pero el uso de servicios en la nube no simplificó el seguimiento de los requisitos de cumplimiento corporativo. ¿Las instancias de servicio en la nube creadas por los equipos de aplicaciones abordan el cumplimiento de la seguridad? ¿Los servicios están configurados para cumplir con las pautas de la seguridad corporativa? ¿Las versiones de software se consumen en los niveles de parche de seguridad requeridos? Estos son los mismos problemas que se gestionan en los centros de datos on premises de IBM.
52 %
mejora del cumplimiento de la seguridad.
La nube híbrida de IBM proporciona una plataforma para diversos equipos de desarrollo de aplicaciones. La plataforma y los equipos de aplicaciones comparten la carga operativa. El cumplimiento de las aplicaciones se definió inicialmente mediante una lista de verificación escrita, reuniones y correos electrónicos. Proporcionar retroalimentación y ayuda fue extremadamente limitado.
IBM Cloud Security and Compliance Center (SCC) proporcionó controles automatizados recopilados en perfiles. El equipo de Plataforma de nube híbrida del CIO seleccionó un perfil que se ajustaba perfectamente a sus requisitos, activó los escaneos y abrió su paneles de cumplimiento en tiempo real. Los controles están diseñados de tal forma que el equipo pudo visualizar su postura de cumplimiento de la seguridad cuando finalizó el primer escaneo.
Con el tiempo, el equipo de Plataforma de nube híbrida del CIO creó un perfil personalizado que coincidía con sus requisitos comerciales únicos. Los resultados de cumplimiento se registran en "escaneos" y se ponen a disposición de los equipos de aplicaciones. Todas las cuentas del equipo de Plataforma de nube híbrida del CIO se configuraron con el ajuste de SCC adecuado y los escaneos automatizados.
Es informativo comparar los procesos de cumplimiento antes y luego del SCC:
- Antes: documentación y requisitos escritos a mano
Después: controles detallados que codifican con precisión los requisitos
- Antes: inspección manual del entorno y los recursos de la cuenta
Después: análisis automatizados que informan resultados que respaldan la preparación para auditorías
- Antes: reuniones de retroalimentación, correo electrónico y documentos escritos a mano
Después: resultados de escaneo inequívocos generados por máquinas con explicaciones claras de los problemas y, a menudo, con pasos de corrección
El SCC proporciona un panel donde se informan los resultados del cumplimiento de la seguridad. Los controles que se muestran son claros y concisos para ayudar a los equipos de aplicaciones a identificar los controles defectuosos y realizar los cambios necesarios en los recursos de la aplicación para resolver los problemas. Los escaneos recurrentes producen automáticamente informes actualizados. Esto permite a los equipos de aplicaciones observar el impacto de los cambios. Esto eliminó la necesidad de notificaciones centralizadas por correo electrónico y reuniones de estado. En julio de 2024, una revisión de los controles del SCC establecido para el equipo de Plataforma de nube híbrida del CIO mostró una lectura del panel de SCC del 91 %, una mejora del 52 % en el cumplimiento de las aplicaciones corporativas con respecto a una lectura anterior del 60 % del panel de datos del SCC en junio de 2023.1
El equipo de Plataforma de nube híbrida del CIO revisa periódicamente la lista de controles en función de los estándares de cumplimiento corporativo y de la industria. Los requisitos de cumplimiento cambian constantemente. Definir la política como código con auditoría automatizada posiciona al equipo de Plataforma de nube híbrida del CIO para abordar los cambiantes estándares de cumplimiento de la seguridad.
1 Los datos de rendimiento del cumplimiento de la seguridad para el equipo de Plataforma de nube híbrida del CIO se obtuvieron a través del panel de IBM Security and Compliance Center en las fechas 19 de junio de 2023 y 26 de julio de 2024.
La organización del director de sistemas de información (CIO) lidera la estrategia de TI interna de IBM y es responsable de entregar, proteger, modernizar y admitir las soluciones de TI que utilizan los empleados de IBM para hacer su trabajo todos los días. La estrategia de la organización del CIO abarca la creación de una plataforma de TI adaptable que facilita el acceso a TI en toda la empresa, acelera la resolución de problemas y sirve como un motor de innovación para IBM, catalizando el crecimiento del negocio
Legal
© Copyright IBM Corporation 2024. IBM, el logotipo de IBM e IBM Cloud son marcas comerciales o registradas de IBM Corp. en Estados Unidos o en otros países. Este documento está actualizado a la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los ejemplos de los clientes se presentan como ilustraciones de cómo esos clientes han utilizado los productos de IBM y los resultados que pueden haber logrado. El rendimiento real, el costo, los ahorros u otros resultados en otros entornos operativos pueden variar.