Llegamos a ustedes gracias a:



Columnas de opinión

Seguridad de la nube: Diez preguntas que debe hacerse antes de saltar a ella

Por: Tim Brown, jefe de la unidad de negocios de Seguridad y Conformidad en CA, Inc.

[29/01/2010] El alboroto alrededor del cómputo en la nube lo hará pensar que su adopción masiva ocurrirá mañana. Pero estudios recientes de varias fuentes han mostrado que la seguridad es la mayor barrera para la adopción de la nube. La realidad es que el cómputo en la nube es simplemente otro paso en la evolución de la tecnología siguiendo el camino del mainframe, el cliente/servidor y las aplicaciones web, todos los cuales tuvieron -y todavía tienen- sus propios problemas de seguridad.

Las preocupaciones respecto a la seguridad no detuvieron la implementación de aquellas tecnologías y no detendrán la adopción de las aplicaciones de la nube que resuelven necesidades de negocio reales. Para asegurar la nube, necesita ser tratada como la siguiente evolución en tecnología, no como una revolución que requiere cambios extensos a su modelo de seguridad. Las políticas y procedimientos de seguridad necesitan ser adaptados para incluir modelos de nube con el fin de prepararse para la adopción de servicios basados en la nube. Como con otras tecnologías, estamos viendo que los primeros en adoptarla toman la punta e infunden confianza en el modelo de nube al implementar nubes privadas, o al experimentar con información menos crítica en nubes públicas.
Las organizaciones están haciendo muchas preguntas y sopesando los pros y los contras de utilizar soluciones de la nube. La seguridad, disponibilidad y administración necesitan ser consideradas. Como parte de ese proceso, aquí hay diez preguntas relacionas con la seguridad que las organizaciones deberían considerar para ayudarlas a determinar si una implantación de la nube es lo correcto para ellas, y si lo es, cuál modelo de nube: privado, público o híbrido.
1. ¿Cómo cambia mi perfil de riesgo una implantación de la nube?
Una implantación de cómputo en la nube -ya sea privada o pública- significa que usted ya no está más en completo control del ambiente, los datos o la gente. Un cambio en el control crea un cambio en el riesgo: algunas veces un aumento en el riesgo, y en algunos casos una disminución en el riesgo. Algunas aplicaciones en la nube le dan transparencia completa, reportes avanzados e integración con sus sistemas existentes. Esto puede ayudarle a disminuir su riesgo. Otras aplicaciones podrían ser incapaces de modificar sus perfiles de seguridad, podrían no ajustarse a sus medidas de seguridad existentes, y podrían aumentar su riesgo. Finalmente, los datos y su nivel de sensibilidad dictarán qué tipo de nube será utilizada, o si un modelo de nube en realidad tiene sentido.
2. ¿Qué necesito hacer para asegurar que mi política de seguridad existente pueda incorporar el modelo de la nube?
Un cambio hacia un paradigma de la nube es una oportunidad de mejorar por completo su postura de seguridad y sus políticas de seguridad. Los primeros que adopten las aplicaciones dela  nube tendrán influencia, y pueden ayudar a dirigir los modelos de seguridad implementados por los proveedores de la nube.
No debería crear una nueva política de seguridad para la nube, sino extender sus políticas de seguridad existentes para incorporar esta plataforma adicional. Para modificar sus políticas para la nube, necesita considerar factores similares: dónde se almacenan los datos, cómo se protegen los datos, quién tiene acceso a los datos, cumplimiento de las regulaciones y acuerdos de nivel de servicio.
3. ¿Una implementación de la nube comprometerá mi habilidad de cumplir con los mandatos regulatorios?
Las implementaciones de la nube cambian su perfil de riesgo y podrían afectar su habilidad de cumplir varias regulaciones. Esto requiere evaluación de los requerimientos por acatar en tanto se relacionen con la implantación de la nube que está considerando. Algunas aplicaciones de la nube le dan un fuerte suministro de reportes y están diseñadas para cumplir con requerimientos regulatorios específicos, mientras que otras son más genéricas y no pueden o no cumplirán requerimientos detallados de conformidad. Por ejemplo, si está sujeto por una regulación que dice que sus datos no pueden ser almacenados fuera del país, algunos proveedores de la nube podrían no ser capaces de ajustarse a esta regulación basados en las ubicaciones de sus data centers.
4. ¿Están usando los proveedores de la nube algunos estándares de seguridad o mejores prácticas (SAML, WS-Trust, ISO o algún otro)?
Los estándares juegan un rol muy importante en el cómputo de la nube, así como la interoperabilidad entre servicios será crítica para asegurar que la nube no vaya por el camino de los silos de seguridad propietarios. Se ha creado y extendido muchas organizaciones para soportar iniciativas de la nube. El wiki cloud-standards.org enumera la mayoría de las organizaciones de estándares involucradas con la nube, incluyendo aquellas asociadas con la seguridad.
5. ¿Qué sucede si ocurre una brecha? ¿Cómo se maneja los incidentes?
Mientras planea su seguridad en la nube, necesita tener instalados planes apropiados para brechas y pérdida de datos. Este es un componente crítico para su acuerdo general con el proveedor de servicio de la nube, y debe ser manejado de forma individual. El proveedor de la nube (como un proveedor de servicios) y usted como compañía probablemente tendrán políticas o regulaciones de notificación de brechas que deben cumplir. Debe asegurarse que el proveedor de la nube puede soportar sus requerimientos de notificación si surge la necesidad.
6. ¿Quién es responsable o será visto como la entidad responsable de asegurar mis datos?
La realidad es que la responsabilidad de la seguridad será compartida. Sin embargo, en la corte de la percepción pública -al menos hoy- es la compañía que recolecta los datos, no el proveedor de la nube, quien es visto como el principal responsable por la seguridad de la información. En contratos bien negociados, usted podría ser capaz de limitar su responsabilidad y sus obligaciones respecto a la pérdida de datos, de modo que sea compartida con el proveedor de la nube, pero desde la perspectiva de sus clientes, aún podría ser visto usted como responsable.
7. ¿Cómo me aseguro de que solo los datos apropiados sean movidos a la nube?
Entender que los datos son sensibles y construir un apropiado modelo de seguridad basado en datos y aplicaciones es crítico para entender qué datos deberían ser movidos a la nube. Este proceso debería empezar mucho antes incluso de considerar una implementación de la nube, ya que es una parte crítica de unas buenas prácticas de seguridad. Muchas compañías usan tecnología de protección contra fuga de datos para clasificar y etiquetar datos.
8. ¿Cómo me aseguro de que solo empleados autorizados, socios y clientes puedan acceder a los datos y a las aplicaciones?
La administración de la identidad y el acceso es un reto de seguridad existente que es amplificado por las implementaciones de la nube. Las capacidades técnicas tales como la federación, el asegurar sistemas virtualizados y el aprovisionamiento, todos juegan un rol en la seguridad de la nube, tal como juegan un rol en las plataformas de TI actuales. Extender y complementar sus ambientes existentes para soportar la nube puede ayudar a resolver este reto.
9. ¿Cómo están hospedados mis datos y aplicaciones, y qué tecnologías de seguridad están instaladas?
Los proveedores de la nube deben proveer esta información, ya que puede afectar directamente la habilidad de una organización de acatar ciertas regulaciones. La transparencia es crítica y necesaria para que pueda tomar decisiones informadas.
10. ¿Cuáles son los factores que me dicen que puedo confiar en un proveedor?
Muchos factores entran a tallar cuando se evalúa el nivel de confianza que se le puede asignar a un proveedor. Ellos incluyen muchas de las mismas dinámicas que considera para cualquier proyecto tercerizado, tales como: la madurez del servicio y del proveedor; el tipo de contratos, acuerdos de nivel de servicio, procedimientos de vulnerabilidad y políticas de seguridad; sus antecedentes; y su estrategia de cara al futuro, por nombrar unos pocos.
Moverse a una nueva plataforma de cómputo no es algo a lo cual hay que brincar sin tomar cuidadosas consideraciones. Las respuestas a estas preguntas son complejas y generalmente llevan a más preguntas. Nosotros estamos apenas rascando la superficie a un alto nivel sobre algunas de las preguntas de seguridad en las que hay que pensar cuando se considera una plataforma de nube.
Sin embargo, las empresas también deben entender que tienen el poder de dirigir las tecnologías de seguridad utilizadas en la nube -ya sea una nube privada, pública o híbrida-. Comprender que los consumidores de la nube pueden, deben y se cuenta con que vayan a tomar responsabilidad por las medidas de seguridad que puede llevar a que la nube sea una plataforma segura que entrega ahorro de costos y productividad mejorada.
Tim Brown, CIO.com
Tim Brown es un distinguido ingeniero y arquitecto de seguridad en jefe de la unidad de negocios de Seguridad y Conformidad en CA, Inc. Ha trabajado con muchas compañías y agencias del gobierno para implementar sólidas y prácticas políticas y soluciones de seguridad. Recientemente brindó testimonio experto en la audiencia Cyber Security R&D ante el Comité de Ciencia y Tecnología del Senado de Estados Unidos, subcomité de Investigación y Educación sobre Ciencia. Antes de unirse a CA, Tim pasó 12 años en Symantec. Es un ávido inventor, con 14 patentes en archivo en el campo de la seguridad.