Llegamos a ustedes gracias a:



Columnas de opinión

¿Qué tan seguros son los proveedores cloud? Siete fundamentos

Por: David Taber, CEO de SalesLogistix

[14/02/2011] La seguridad del "Cloud Computing" es un tema increíblemente amplio (y profundo), por lo que solo puedo rayar la superficie en un breve artículo. Aún así, vamos a tratar de tener los fundamentos bajo control.

La primera tarea es asegurarse de que estamos hablando de lo mismo. Algunos proveedores de nube tratan de borrar las fronteras entre la seguridad, fiabilidad y recuperación de desastres / continuidad del negocio. Si bien son atributos importantes, solo confunden la conversación. Así que vamos a seguir con las definiciones estándar en este resumen.
1. A nivel de infraestructura
En los sistemas tradicionales, el trabajo de seguridad número uno es asegurarse de que las personas no autorizadas no tengan acceso físico a las máquinas. Si alguien puede conectar hardware foráneo, reconfigurar el sistema o controlar el ciclo de arranque del sistema, la seguridad queda fuera de control. En un servicio basado en la nube, no tiene que preocuparse de esto en el lado del servidor -porque es trabajo del vendedor-. Si bien ha habido violaciones ocasionales de servicios en la nube en los últimos años, los vendedores establecidos tienen grupos de operaciones bastante ajustados -y la mayoría de ellos tratan sus procedimientos internos de seguridad como secretos comerciales altamente vigilados. Lo que significa que no será capaz de obtener mucha información para evaluarlos. Con un vendedor de buena reputación, es seguro pasar por alto esta cuestión.
2. Crisis de Identidad
El siguiente asunto que debe manejarse es la identidad a través de la nube. Las primeras cosas que hay que buscar están en el área de autenticación y autorización: fuerza de la contraseña, listas negras/listas blancas de rango IP, las horas de inicio de sesión, autenticación de dos niveles... todas las cosas a las que estamos acostumbrados con los sistemas de las instalaciones. La mayoría de los proveedores de nube deben tener esto cubierto, por lo menos a través de módulos o funciones complementarias.
Y, por supuesto, está el descuidado tema de la revocación de privilegios. Si bien esto es más una cuestión de proceso que de sistema, busque características que sugieran al administrador (o que adviertan automáticamente a los usuarios que probablemente vayan a ser revocados) para hacer un barco más seguro.
La otra cara de la moneda es hacer que el proceso de autorización sea menos molesto para los usuarios: conectores SSO y delegación de infraestructura son necesarios para cualquier aplicación práctica de nubes múltiples. La anonimización/ofuscación de la cuenta de usuario o de la identidad es especialmente importante si sus aplicaciones necesitan abarcar a los proveedores o canales en la cadena de suministros.
3. Cifrado
El cifrado es un requisito indispensable para las aplicaciones en la nube, y https es la línea de base para todos los inicios de sesión de usuario y conexiones de integración. Muchas aplicaciones de nube, sin embargo, no se construyen para tener los datos encriptados dentro de la nube. De hecho, en algunos casos ni siquiera es posible tener los datos almacenados y cifrados en la nube. Como esto supone riesgos para la privacidad de los clientes, espionaje corporativo, e incluso protecciones a la cuarta enmienda, pregúnteles a sus proveedores de cloud sobre la codificación interna y presione las especificaciones de seguridad se incluyan en sus presentaciones.
4. ILP / DLP
La pérdida de protección de la información (también conocida como la prevención de fuga de datos) es un tema crítico para las aplicaciones empresariales. Cada año, 80 millones de identidades de los consumidores en los EE.UU. son comprometidas debido a pérdidas accidentales y ataques deliberados. Incluso si le gusta WikiLeaks, perder el control de la información comercial es algo preocupante.
En los sistemas cloud, hay dos áreas con mayor riesgo de fugas. La primera categoría es una infracción entre los vendedores de cloud - algo sobre lo que tiene poco control (a menos que investigue sus antecedentes). Pero puede por lo menos demandar, como parte de la SLA de su vendedor cloud, que le notifiquen acerca de cualquier infracción que afecte a los datos.
La segunda categoría de violación que se tiene controlar es: la pérdida en el punto final. Esto requiere de software o hardware adicional para cada servidor, PC y dispositivo móvil que presenta o procese datos desde su aplicación cloud. El objetivo es asegurarse de que solo se produzca transferencia de datos autorizados, y deben ser regulados a nivel de archivo/objeto. Además, el uso de archivos cifrados y de auto-borrado (en caso de pérdida de control del dispositivo) es necesario, sobre todo si su organización tiene una gran fuerza de campo. Mientras que los productos ILP / DLP con fines generales son un buen comienzo, ahora existen algunas nuevas empresas que ofrecen soluciones adaptadas a las necesidades específicas de software basado en la nube.
5. Privacidad
Dependiendo de la industria y la ubicación de su negocio, hay una increíble variedad de siglas de privacidad que su aplicación cloud tendrá que cumplir: PCI, GLBA, CA1386, HIPAA, FERPA, la Directiva 95/46/EC... la lista parece interminable. La prioridad del negocio es asegurar ILP / DLP: usted no puede cumplir con ninguna norma de privacidad, si la información se ha filtrado fuera de su organización.
El siguiente paso es asegurar que sus proveedores de cloud están conformes con los reglamentos, o que por lo menos tienen una certificación de puerto seguro. Aunque muchos proveedores de aplicaciones cloud han cumplido con esto, hay algunas categorías (en particular los proveedores de integración en la nube), cuya actual generación de servicios probablemente no pueda ser certificada.
Como el cumplimiento requerirá de su parte cambios en el proceso en muchas áreas de privacidad, no piense en ello como un problema que puede apartar por completo de los vendedores. Odio decirlo, pero "consulte con sus abogados".
6. Auditoría
Los rastros de auditoría -para la historia de inicio de sesión, acciones administrativas y cambios en los datos- son un ingrediente esencial para la seguridad. Si bien un rastro de auditoría no detendrá una infracción, se proporciona evidencia forense crucial acerca de lo ocurrido y cómo llevar a cabo una remediación.
Mientras que las copias de seguridad o archivos son herramientas esenciales, no son un sustituto de un rastro de auditoría formal (¿quién lo ha cambiado, cuándo y porqué?). Asegúrese de que su proveedor de cloud ofrezca una opción para registrarse antes de inscribirse en el servicio, y asegúrese de que usted ha activado esta opción desde el primer día. Probablemente no será capaz de auditar todos los campos cambiantes, así que asegúrese de elegir los que son más sensibles y relevantes. Por último, asegúrese de que la auditoría está respaldada (en su propio medio local), ya que puede desaparecer de su sistema después de unos meses. La recuperación de estos rastros de auditoría dentro del servicio puede ser muy costosa.
7. Ataques de denegación de servicio
Los ataques de denegación de servicio probablemente son un elemento permanente. Si bien es poco probable que le ocurra solo a su organización, cuando los proveedores cloud son objeto de ataques, la continuidad de su negocio puede verse afectada. Al igual que con la recuperación de desastres, necesita saber qué estrategias de recuperación tienen sus vendedores de cloud, es necesario negociar un SLA que cubra el tiempo de recuperación de servicio.
CIO.com
David Taber es el autor del nuevo libro de Prentice Hall, "Salesforce.com secretos del éxito" y es el CEO de SalesLogistix, una consultora certificada de Salesforce.com que se enfoca en la mejora de procesos de negocio mediante el uso de los sistemas de CRM. Los clientes de SalesLogistix están en América del Norte, Europa, Israel y la India, y David tiene más de 25 años de experiencia en alta tecnología, incluyendo 10 años en el nivel de vicepresidente o superior.