Llegamos a ustedes gracias a:



Reportajes y análisis

La nube en el 2014: Moviéndonos a un modelo de confianza cero

[15/01/2014] La filtración de documentos clasificados que detallan las actividades de recopilación de datos de la Agencia Nacional de Seguridad de los Estados Unidos a inicios de año, volvió a encender algunas preocupaciones acerca de la vulnerabilidad de los datos de las empresas almacenados en la nube.
Pero en lugar de asustar a los negocios para que no usen servicios alojados, como algunos expertos predijeron, las filtraciones sobre los programas de espionaje de la NSA están impulsando algunos cambios muy atrasados en las políticas de privacidad y seguridad de las empresas y proveedores de servicios.
Cuando Edward Snowden comenzó a dar detalles de las prácticas de vigilancia de la NSA a algunos periodistas seleccionados en junio, los analistas de la industria esperaban que las revelaciones le dieran un gran giro a los planes para la implementación de la nube.
Por ejemplo, la Information Technology & Innovation Foundation dijo, en agosto, que las filtraciones podían causar que los proveedores de nube de Estados Unidos perdieran del 10% al 20% del mercado extranjero contra los competidores en el extranjero -o hasta 35 mil millones de dólares en ventas potenciales en todo el 2016.
Otro grupo de la industria, la Cloud Security Alliance, predijo una reacción similar debido a las preocupaciones de las empresas Europeas acerca de que el gobierno de Estados Unidos tuviera acceso a sus datos.
Seis meses después, el impacto parece ser menos severo de lo que se esperaba.
A pesar de algunos reportes de la desaceleración de las ventas de servicios de la nube de los vendedores estadounidenses a compañías del extranjero, los expertos ahora esperan que las filtraciones de Snowden tengan algún tipo de efecto en las ventas a largo plazo. Los beneficios empresariales por usar servicios basados en la nube continúan reemplazando los miedos o temores empresariales del espionaje del gobierno.
Al mismo tiempo, sin embargo, el detalle de los programas de espionaje clasificados de la NSA ha provocado o dado pie a un mayor énfasis en la seguridad y protección de los datos de la nube, que se espera aumente en el 2014.
Las filtraciones solo demostraron qué tan poco control tienen las compañías sobre los datos almacenados en la nube, señala Richard Stiennon, director de la firma consultora IT-Harvest. Hay un cambio fundamental o esencial a un modelo de confianza cero en la nube. Las revelaciones mostraron a las empresas que no puede haber ninguna grieta en la cadena de confianza desde los recursos internos a la nube y viceversa.
Los analistas señalan que los oficiales o funcionarios de seguridad de TI están observando muchas áreas clave, como el cifrado de datos, la gestión de claves y la propiedad de datos, la regionalización, y la necesidad de aumentar la transparencia del gobierno, para así mejorar la seguridad de la nube.
Cifrado de datos
El cifrado ha ganado mucha atención desde las filtraciones de Snowden. Los proveedores importantes de servicios como Microsoft, Yahoo y Google marcaron el rumbo añadiendo el cifrado end-to-end de los datos que alojan y administran para los clientes.
Por ejemplo, ahora Google Cloud Storage hace un cifrado automático de todos los nuevos datos antes de ser escritos en el disco. Ese cifrado, pronto estará disponible para los datos más antiguos almacenados en las nubes de Google.
Desde que fueron revelados los programas del NSA, Microsoft anunció que planea aumentar el apoyo de cifrado para varios servicios, incluyendo Outlook.com, Office 365, SkyDrive y Windows Azure.
Para fines del 2014, Microsoft espera tener las medidas en su lugar para el cifrado de datos en tránsito entre las locaciones de los clientes y sus centros de datos; y también, mientras están en tránsito entre sus centros de datos.
Como Google, Microsoft dice que planea cifrar todos los datos almacenados en la nube.
Muchos otros proveedores de servicios de la nube, como Dropbox, Sonic.net y SpiderOak, han anunciado el apoyo a programas similares de cifrado de datos, y a las características como la longitud de clave de 2048 bits y el método de Perfect Forward Secrecy para la futura eficiencia o mejoras futuras de los datos cifrados.
Los expertos señalan que tales medidas son vitales para proteger los datos que viajan entre compañías de clientes y proveedores de servicios cloud o en la nube.
La información contenida en los documentos clasificados sobre los intentos de la NSA para debilitar los algoritmos de cifrado, y de interceptar o chuponear los enlaces de fibra que conectan los centros de datos de los proveedores de servicios, proporcionaron gran parte del impulso para estos esfuerzos.
La gestión de claves y propiedad de los datos
La posición del gobierno de Estados Unidos en la disputa con Lavabit, un proveedor de servicios de correo electrónico seguro, es que las empresas de servicio en la nube deben entregar las claves de cifrado cuando se les pide, y ha puesto mucha atención en la gestión de claves y propiedad de los datos.
Si bien los esfuerzos de cifrado de los proveedores de servicio son esenciales para mejorar la seguridad de la nube, solo llegan hasta cierto punto, señala Eric Chiu, presidente de HyTrust, una compañía de gestión o administración de la infraestructura de la nube.
El cifrado es tan seguro como su sistema de gestión de claves, agrega Chiu. Si bien los proveedores de nube pueden implementar el cifrado, los consumidores o clientes necesitan estar conscientes y al tanto de que si los proveedores tienen las claves de cifrado, es muy posible que puedan acceder a los datos -o darle las claves a alguien que pregunta por ellas.
Tales preocupaciones han provocado un mayor interés en los enfoques que permiten que los usuarios de la empresa de los servicios en la nube sean los dueños del proceso de gestión de claves criptográficas y de cifrado, mientras los datos se encuentran en reposo, en uso y en tránsito.
Un número creciente de proveedores, incluyendo Vaultive, CipherCloud, TrendMicro y HyTrust, ofrecen herramientas especialmente diseñadas para hacer que sea más fácil para las empresas mantener más control de sus datos, al mismo tiempo que aprovechan los servicios e infraestructuras alojados en la nube.
CipherCloud, por ejemplo, vende una tecnología Gateway o de entrada que permite que las compañías cifren datos mientras éstos están en tránsito hacia y desde la nube, y mientras están almacenados. La tecnología Gateway permite que las empresas almacenen las claves localmente y que interactúen con los datos cifrados en la nube.
Tales tecnologías significan que las agencias del gobierno van a tener que buscar ayuda de los propietarios de los datos para obtener acceso. La meta es eliminar la entrega de dichas claves por proveedores de la nube a agencias del gobierno, sin que los propietarios de los datos se enteren.
Los expertos en seguridad siempre han recomendado el uso del cifrado persistente o constante para asegurar los datos en la nube. Hasta la fecha, la adopción de este tipo de cifrado ha sido muy baja, debido al costo y complejidad de la gestión de clave. Eso podría estar cambiando.
Veremos que las empresas que requieren verdadera privacidad de datos para el cumplimiento o propósitos internos, implementarán ellas mismas el cifrado, y mantendrán sus claves locales, predice Chiu.
Vaulvative, CipherCloud y otros proveedores, señalan que están viendo un marcado incremento en el interés de las empresas en sus tecnologías, debido a las revelaciones de vigilancia del NSA.
Regionalización
Las filtraciones de los datos de Snowden podrían también acelerar la regionalización de los servicios de la nube.
Los requisitos de residencia de datos y los temores de alojamiento de datos en los servidores e infraestructuras basadas en Estados Unidos, podría provocar que clientes que no son de Estados Unidos consideren, cada vez más, el hecho de usar proveedores de nube que estén más cerca de casa.
Las empresas de China y de la región Asia-Pacífico en particular, parecen estar más ansiosas sobre los proveedores de servicios y tecnología de Estados Unidos desde las revelaciones de la NSA, señala Stiennon. Se espera que muchas comiencen a buscar las opciones regionales y locales para necesidades de alojamiento.
No me gusta usar la palabra balcanización, pero va a haber una fragmentación o división de los proveedores de servicios en la nube, anota Stiennon. Cientos de pequeños proveedores de la nube pública han estado apareciendo en diferentes regiones del mundo para servir a mercados locales en los últimos años. Muchas, probablemente se beneficiarán de las preocupaciones levantadas por las filtraciones de Snowden sobre el husmeo del gobierno, predice Stiennon.
Mientras tanto, los grandes proveedores de servicios en la nube basados en Estados Unidos están estableciendo operaciones de servicio en diferentes regiones del mundo, en parte porque los gastos de envío son menores y porque ofrecen un mejor rendimiento a los clientes locales, señala Lawrence Pingree, analista de Gartner.
En diciembre, por ejemplo, Amazon anunció que planea comenzar a hacer envíos de productos de Amazon Web Services en China en el 2014. El plan requiere que la empresa instale servidores cloud o de nube en China para ofrecer servicios de hospedaje a los negocios.
Muchos de los proveedores de nube y SaaS se están regionalizando para mejorar la agilidad y el rendimiento, anota Pingree. La atención intensificada en las cuestiones y problemas de seguridad, probablemente acelerarán el uso de centros regionales, agrega.
Una mayor transparencia
Las preocupaciones que surgieron del asunto de Snowden, también están seguros de obligar al gobierno a ser más transparente sobre los programas de recolección de datos.
Google, Microsoft, Yahoo y muchos otros proveedores de alta tecnología, están presionando al gobierno para que les permita revelar detalles sobre las solicitudes secretas de datos de los clientes hechas por la NSA y otras agencias de servicios inteligentes. Las compañías argumentan que las leyes que les prohíben revelar detalles de tales solicitudes han creado falsas percepciones sobre su rol en las actividades de recolección de datos del gobierno.
En una acción o movimiento sin precedentes, en diciembre, las cabezas de Google, Apple, Facebook y Microsoft mandaron una carta abierta al presidente Obama exigiendo una reforma de la vigilancia del gobierno y una mayor transparencia.
Google, Microsoft y otros, planean ofrecer más detalles en sus Reportes de Transparencia, y han manifestado su voluntad de impugnar legalmente determinadas solicitudes de datos hechas por el gobierno.
Los analistas señalan que incluso las empresas de telecomunicaciones, que han sido lentas durante mucho tiempo para responder a las preguntas sobre sus hábitos de compartir datos con el gobierno, podrían estar uniéndose.
Verizon, por ejemplo, dice que planea lanzar pronto un Reporte de Transparencia que detalle las solicitudes de aplicación de la ley para los datos de los clientes.
El husmeo e intromisión del gobierno podría constituir una amenaza persistente avanzada junto a ciber ataques y malware sofisticados, escribió en un blog en diciembre el abogado general de Microsoft, Brad Smith.
Excepto en las circunstancias más limitadas, Microsoft va a luchar contra los intentos del gobierno para obtener datos de los clientes de la nube, agrega Smith. Creemos que las agencias del gobierno pueden ir directamente a los clientes de negocio o clientes de gobierno para obtener información o datos sobre alguno de sus empleados -así como hicieron antes de que estos clientes se movieran a la nube.
Jaikumar Vijayan, Computerworld (EE.UU.)