Llegamos a ustedes gracias a:



Reportajes y análisis

La mayoría de las empresas no dominan la seguridad en la nube

Según lo muestra una encuesta realizada por Deloitte

[21/04/2009] Las empresas se encuentran preocupadas acerca de la administración y la privacidad de los datos que confían a los proveedores de servicios de cloud computing, pero son pocos los que hacen algo por ello, de acuerdo a una encuesta de Deloitte.

No queda claro si esto se debe a la falta de medios para asegurarse que los proveedores de la nube se encuentran realmente protegiendo los datos en la forma en que afirman, o si las empresas no tienen establecidos procesos para conducir evaluaciones, de acuerdo al reporte denominado Enterprise@Risk: Privacy & Data Protection Survey.
De los encuestados, el 82,6% afirma que no han implementado programas formales para evaluar la forma en que los proveedores cumplen con las provisiones de privacidad y administración de datos que acordaron en los contratos de servicios, y esto es un problema, afirma Deloitte.
No puedes poner en la nube de un tercero almacenamiento de datos, correo electrónico y aplicaciones financieras y decir que estoy obligado a cumplir con las leyes sobre datos, regulaciones y acuerdos contractuales y no tener algún mecanismo de garantía, señala Rena Mears, socia y líder de los servicios de seguridad y privacidad de Deloitte.
Pero eso es lo que están haciendo la mayoría de las empresas, de acuerdo a la encuesta. Pueda ser que administrar a los proveedores de la nube es aún una práctica muy nueva para las corporaciones, y no han madurado un proceso, señala Deloitte. O puede ser que simplemente sea muy difícil evaluar y auditar los ambientes de nube de los proveedores para ver si tienen seguridad, así que no se hace.
Pero el resultado es que las corporaciones cuyos datos son violados, es en último término responsable por la violación, no el proveedor de servicios que acordó protegerlos adecuadamente, afirma Mears.
Así que las empresas que están usando servicios de cloud computing deberían desarrollar evaluaciones de riesgo de los datos que son confiados a la nube, señala Mears. Los datos deben ser clasificados por su confidencialidad y considerados como un activo de la empresa, del cual la firma está tratando de derivar el máximo retorno.
Los ejecutivos de las empresas necesitan ponderar los ahorros en costos y beneficios de trasladar los datos a la nube, contra los riesgos potenciales que podrían encontrar en las nubes de los proveedores, afirma.
No es que los ejecutivos de las empresas estén ignorando los problemas; tienen muchas nuevas circunstancias en sus escritorios con las que no han tratado antes. El mercado está cambiando y las compañías se están adaptando a los flujos de datos en más lugares, para lograr más objetivos en ambientes regulatorios complejos, señala Mears.
La cloud computing no se añade simplemente a un ambiente empresarial estático, afirma. Más bien, el ambiente está cambiando rápidamente, con costos crecientes, datos que se mueven globalmente y regulaciones que se están haciendo cada vez más estrictas y más numerosas y que pueden cambiar de país en país. Aún así, las preocupaciones por cumplir con los requerimientos regulatorios y contractuales no son las preocupaciones principales que las empresas tienen del cloud computing; más bien es la protección de la propiedad intelectual de la corporación. De aquellos que respondieron, el 30% tenía como preocupación principal la propiedad intelectual, y la habilidad para hacer cumplir los requerimientos regulatorios y contractuales era la segunda preocupación con el 20.7%. el uso no autorizado de los datos ocupaba el tercer puesto con el 15.1%.
El número de empresas que enfrentan estas preguntas hoy es significativo y creciente. De acuerdo a Deloitte, casi el 45% de los encuestados ya habían comprado servicios de cloud computing, y un 22% afirmó que lo estaban considerando.
Los clientes de estos servicios los utilizan para almacenar datos (27.7%), correo electrónico (12.8%), aplicaciones financieras (17%) y aplicaciones de bases de datos (16.1%).
Mears afirma que espera que la industria genere enfoques aceptables para la administración de datos en la nube de tal forma que esto se trate de acuerdo con las regulaciones empresariales y gubernamentales. La International Organization for Standardization, National Institute of Standards and Technology, así como grupos ad hoc tales como Cloud Security Alliance, están trabajando en marcos para el cumplimiento de la privacidad y protección de los datos en la nube.
Tim Greene, Network World (US)