Llegamos a ustedes gracias a:



Columnas de opinión

El estado de la encriptación en la nube: De la ficción a la realidad recurrente

Por: Debabrata Dash, Ph.D., director científico y arquitecto de CipherCloud

[16/05/2013] Los riesgos de la privacidad de los datos, la residencia, la seguridad y el cumplimiento de las normas, siguen siendo importantes barreras para la adopción de la nube por parte de muchas empresas. Mientras que la encriptación parece una solución obvia, históricamente la tecnología ha producido problemas de utilización en las aplicaciones de la nube. Para complicar las cosas, poner el cifrado en manos de los proveedores de servicios en la nube sigue dejando a la empresa abierta a riesgos, como el fraude de información privilegiada, la piratería y las exigencias de revelación de datos en aplicación de la ley.
Afortunadamente, los avances técnicos han dado lugar a una nueva categoría de encriptación en la nube. Cuando se despliega, los usuarios acceden a servicios en la nube de Salesforce, Microsoft, Google, etc., a través de puertas de enlace que cifran los datos antes de que viajen a la nube, mientras se están en reposo, y desencriptan cuando están de regreso. Esto asegura que la información que está viajando -y mientras resida en la nube- estará totalmente protegida de cualquier tipo de exposición.
Este enfoque de cifrado sirve como una base estable para bloquear la información en la nube y ofrece estos cinco beneficios de nivel empresarial:
* Encriptación para la preservación de operaciones. Hasta hace poco, el cifrado de información en la nube "rompió" las funciones en aplicaciones como Salesforce, Google Gmail y Microsoft Office 365. Los usuarios ya no pueden buscar u ordenar los campos encriptados, lo que dificulta considerablemente el uso de la encriptación con aplicaciones en la nube. Sin embargo, una tecnología llamada encriptación para la preservación de operaciones resuelve este problema. Este enfoque permite la encriptación de los campos sensibles, como la seguridad social o números de tarjetas de crédito, mientras que los usuarios pueden seguir viendo, clasificando, e informando la información cifrada.
* Casi cero de latencia. Mientras que la encriptación para la preservación de operaciones hace que sea posible el cifrado de información en la nube, la velocidad de funcionamiento es esencial para la productividad del usuario. Es esencial que una puerta de enlace de cifrado opere con una latencia de casi cero, que no suele ser perceptible por los usuarios finales.
* Encriptación del contenido y el contexto. Otro avance reciente es el cifrado dinámico de contenido y contexto. Funciona mediante la identificación de los datos sensibles basados en las políticas relativas al contenido de los datos y el contexto en el que se utilizan, para luego cifrar automáticamente uno o más campos. Esta técnica acelera la implementación, hace cumplir las políticas de forma automática, y puede ayudar a prevenir la pérdida de datos en las organizaciones que están adoptando aplicaciones CRM, de colaboración, intercambio de archivos y de almacenamiento en la nube.
* Control de claves empresariales. Si el proveedor de servicios en la nube controla las claves, los datos que están en la nube todavía corren riesgos ante hackers, hactivistas, fraude interno o solicitudes judiciales. La nota de investigación de Gartner "Cinco problemas de la residencia de datos en la nube que no deben ser ignorados", recomienda que las empresas tomen medidas para asegurar la privacidad de la información confidencial, lograr el cumplimiento normativo y comprender las implicaciones de las leyes de divulgación de datos. Sus recomendaciones incluyen el despliegue de soluciones de cifrado, especialmente para hacer frente a las preocupaciones de residencia de datos para los datos que cruzan las fronteras, y para gestionar las claves a nivel local con el fin de cumplir con los requisitos de privacidad. La retención de las claves por parte de la empresa asegura de que ningún tercero -ya sea el administrador de sistemas de proveedores de nube, ciber criminales o encargados de hacer cumplir la ley- puedan acceder a información sensible en la nube sin consultar antes con el titular de los datos.
* Gestión de claves eficiente. De la mano con el requisito de controlar sus propias claves está la necesidad de administrarlas de forma eficiente. Los avances en las herramientas de gestión de claves basadas en la nube automatizan y simplifican los detalles de las operaciones de administración que son esenciales para la protección de información en la nube, como la asignación eficiente de clave, su rotación periódica, y el re cifrado de datos con las nuevas claves.
* Plataforma abierta. Para una implementación rápida y el uso efectivo de la encriptación en la nube, el servicio de cifrado debe ser capaz de integrarse a la perfección con los componentes de seguridad existentes en la organización, tales como la detección de malware, prevención de pérdida de datos (DLP), y las tecnologías de control de la actividad. Al implementar el cifrado en una plataforma independiente del proveedor, los administradores de TI pueden seleccionar la mejor protección que necesitan sus usuarios, sin temor al bloqueo por parte de los proveedores.
Gartner pronostica que el mercado de servicios de nube pública crecerá 18,5% en el 2013 a un total de 131 mil millones de dólares en todo el mundo. Sin embargo, para muchas organizaciones, los riesgos de la privacidad de los datos, la residencia, la seguridad y el cumplimiento de las normas siguen siendo una barrera para la adopción de la nube. Esto es especialmente cierto para los servicios financieros, seguros, salud y tecnología, así como para las organizaciones gubernamentales, que deben cumplir con los mandatos de cumplimiento de la industria, incluyendo GLBA, PCI, HIPAA, HiTech, PIPEDA, ITAR y la Ley de Protección de Datos de la UE.
Mediante la combinación del cifrado de nube con las capacidades mencionadas, las organizaciones pueden adoptar servicios de nube populares de manera segura, y cosechar las ganancias de productividad de los usuarios y la reducción de costos de TI para satisfacer las necesidades presupuestarias.
Network World (EE.UU.)