Llegamos a ustedes gracias a:



Reportajes y análisis

Cinco tendencias de seguridad en la nube que expertos consideran para el 2011

[31/12/2010] ¿Cuáles esperan los gerentes y expertos en seguridad que sean los principales temas a considerar en seguridad para el 2011? He aquí cinco cosas que observar para el próximo año:

1. Teléfonos inteligentes con datos. Más usuarios tendrán acceso a grandes cantidades de datos en los dispositivos de su elección, señala Randy Barr, de las CSO en Qualys Inc. y miembro de la Cloud Security Alliance (CSA). "Esto viene con un montón de problemas de seguridad sin resolver", indicó. "Podemos esperar nuevas soluciones para utilizar dispositivos móviles, pero se podría ver una gran violación de datos en el tema de la seguridad móvil antes de que veamos una solución.
Entre los escenarios posibles -indica Barr- están las copias de seguridad inseguras basadas en la nube y los datos altamente confidenciales en dispositivos móviles. "Hay algunas interesantes interdependencias cuando se usan servicios múltiples de nube en dispositivos móviles, con modelos de seguridad posiblemente diferentes y suposiciones", agrega. Un proveedor de la nube hackeado podría proporcionar un acceso masivo a información confidencial móvil cuando los usuarios están empleando soporte de dispositivo móvil basado en la nube, señala.
Asimismo, la pérdida o robo del dispositivo móvil podría proporcionar un acceso de nivel raíz a servicios de nube y datos. Las aplicaciones móviles a menudo proveen acceso directo y automático a servicios en la nube y datos, indica. Si el dispositivo móvil de una persona de nivel de administrador es robado, esto podría ser una gran amenaza para los datos altamente confidenciales, o incluso servicios en la nube administrados por una persona desde un dispositivo móvil inseguro.
2. Necesidad de control de acceso mejor y gestión de la identidad. "La nube por naturaleza es altamente virtualizada y federada, y se necesita una estrategia para establecer un control y gestión de identidades a través de su nube y las nubes de otras personas", señala Alan Boehme, vicepresidente senior de estrategia de TI y arquitectura en la firma de servicios financieros ING. "Hay algunos terceros que han entregado los productos y servicios que se ocupará de estas cuestiones, pero podría no ser adecuados para las grandes empresas que tienen una mezcla de componentes heredados y otros en nube".
3. Preocupaciones sobre cumplimento. "Creo que el cumplimiento, especialmente el PCI, es probable que continúe siendo un problema de seguridad", indica Andy Ellis, CSO de Akamai. "Las organizaciones necesitan a menudo todavía enfrentarse a procesos completamente diferentes que tienen para la gestión de datos y aplicaciones en la nube. Y creo que vamos a escuchar más rumores acerca de los datos de cuidado de la salud en la nube".
4. Riesgo de múltiples inquilinos en la nube. Dado que la mayoría de servicios en la nube hacen un uso intensivo de la tecnología de virtualización, los riesgos asociados con los datos de varias organizaciones "ubicados en una misma plataforma de hipervisor física existe, y continuará a menos que se establezcan medidas específicas de segmentación, señala Dave Shackleford, director de evaluaciones de seguridad, riesgo y cumplimiento de Sword & Shield Enterprise Security, y miembro de la empresa de investigación IANS. Aunque se supone que las máquinas virtuales y componentes de redes virtuales son 'separados por defecto', se ha documentado que defectos y debilidades potenciales en las plataformas del hipervisor puede provocar problemas de segmentación.
El defecto mejor documentado fue el observado el año pasado por Kostya Korchinsky de Immunity, mediante el cual rompió una máquina virtual VMware y ejecutó un programa en el sistema hipervisor subyacente con una herramienta de prueba de concepto llamada CloudBurst, señala Shackleford. Y en el 2008 Core Secrurity encontró un defecto en el directorio, el cual podría permitir a un atacante acceder a los archivos en el hipervisor de la máquina virtual, agrega.
5. Estándares y certificaciones de nube emergentes. Dado que la seguridad se evaluará a la hora de elegir los servicios de nube, los estándares y certificaciones serán muy importantes para ayudar a los clientes a evaluar cuán seguros se mantendrán sus datos, señala Barr. Los usuarios de la nube seguirán impulsando sus procesos actuales para evaluar las posturas de seguridad de los proveedores de nube, pero se comenzará a ver a algunas de las organizaciones más populares desarrollar guías y estándares, agrega.
Bob Violino, SCO