Llegamos a ustedes gracias a:



Reportajes y análisis

Cambios en las estrategias de seguridad de las empresas

[30/08/2011] Que diferente sería la economía global si solo fuera un poco más como la nube. Mientras que los mercados financieros atraviesan cambios de humor bipolares (vemos como consecuencia todos esos titulares desgarradores), el mercado de servicios en la nube ha marchado constantemente hacia arriba y adelante, aparentemente imperturbable ante las preocupaciones del mundo no virtual.

Según la firma de investigación Global Industry Analysts, la demanda de servicios de cloud computing alcanzarán los 222.5 millones de dólares para el año 2015. De hecho, parece ser que la coyuntura económica actual sirve más bien de impulso a las perspectivas de la nube.
En una declaración, los analistas anotaron que: "la mala economía está alimentando [la demanda], las empresas están en busca de soluciones TI que sean rentables, requieran un mínimo de inversión y demanden pocos recursos para su gestión.
Por su lado, IDC predice que solo los servicios de la nube pública crecerán de 21,5 millones de dólares en el 2010 a unos 72,9 billones de dólares en el 2015. De hecho, considera que en el 2015, representarán el 46% del gasto general en TI especialmente en cinco categorías: aplicaciones, desarrollo e implementación de aplicaciones, software de infraestructura de sistemas, almacenamiento básico y servidores.
Con cifras como éstas, ¿qué podría salir mal?
Hay, sin embargo, inquietudes significativas sobre cuestiones como gestión de seguridad, gobernabilidad y riesgo asociados a cada tipo de nube: pública, privada e híbrida. En palabras del vicepresidente de Gartner, Jay Heiser: "Los problemas de seguridad y otros riesgos son los mayores inhibidores de la computación en nube"
Trend Micro, en una encuesta realizada a mil 200 individuos en todo el mundo, encontró que el 43% de los encuestados manifestaron haber tenido problemas de seguridad con sus proveedores de servicios cloud. El informe mostró que a pesar de que más empresas se desplazan a la nube, el 50% están preocupadas tanto por la seguridad de sus datos como por la infraestructura en sí misma, y alrededor del 48% están preocupadas por el rendimiento y la disponibilidad de los servicios.
Esta conclusión es apoyada por los analistas de Burton Group (que ahora es propiedad de Gartner), en un informe de julio del 2009, titulado Cloud Computing Security in the Enterprise (Cloud Computing, seguridad en la empresa). Según los investigadores de Burton Group, "Cloud computing supone un riesgo importante y requiere un replanteamiento, pero no una reinvención, de los programas de seguridad y arquitecturas. En la medida en que hacen uso de las nubes (públicas o privadas), las organizaciones deben amoldarse a las medidas de seguridad, haciendo hincapié en el riesgo de la transferencia, la disuasión, el monitoreo y la auditoría más que en el control preventivo".
Alejándose del centro
Los enfoques tradicionales de la seguridad, en definitiva, no se van a migrar fácilmente al entorno de la nube.
La razón principal gira en torno a la falta de un centro. Hasta no hace mucho, la doctrina en seguridad giró en torno a poner la información sensible dentro de un ambiente protegido con firewalls, cuyo perímetro estuviera muy bien demarcado. Todo dentro del firewall era bueno y cualquier cosa fuera de él, no tanto.
Con los años, la proliferación de dispositivos móviles, el acceso remoto y colaboración entre organizaciones, ha perforado un creciente número de agujeros a esta filosofía de la informática segura. Ahora estamos, por fin, entendiendo que la "nube" no es un lugar; que es, más bien, un estilo de gestión de los recursos informáticos y las comunicaciones.
El enfoque de la nube es más acerca de "federación" que de "centralización". En otras palabras, las organizaciones buscan poner los recursos tecnológicos más apropiados y costo-efectivos en los principales retos de negocios o procesos, y para ello están recurriendo a otros proveedores como SalesForce.com para cosas como la gestión de clientes. La razón es que estos proveedores hacen un trabajo mucho más eficiente y a un costo mucho menor.
También estamos viendo que los más reputados proveedores de servicios cloud tienen un gran interés en el cumplimiento de los más altos estándares de seguridad y respeto de normas, ya que sus modelos de negocios dependen de clientes empresariales con un alto nivel de confianza.
Según señala Dave Asprey, vicepresidente de seguridad en la nube de Trend Micro, "la seguridad tradicional implica un enfoque de afuera hacia adentro, donde se tienen capas de defensas. En la nube, muchas de las herramientas que han utilizado [las empresas] para defender su información, no son más de su responsabilidad, ahora son responsabilidad de sus proveedores. Como resultado, no tienen toda la visibilidad que solían tener cuando ejercían una defensa completa.
El tema de la federación no desaparece en el modelo de nube privada. Como los CIO adoptan las nubes internas para consolidar la infraestructura y optimizar la prestación de servicios, el concepto de federación se mantiene intacto.
Optimizando la utilización
Por ejemplo, la virtualización de la infraestructura significa que las aplicaciones se pueden mover de forma dinámica entre los servidores según sea necesario. El costo-beneficio principal de este enfoque es que ayuda a optimizar la utilización de la infraestructura. En lugar de dedicar aplicaciones específicas a servidores específicos -que solo operan del 10 al 30% de su capacidad con el fin de solventar los picos de demanda-, la virtualización permite a los CIO crear "grupos de capacidad de procesamiento", independientemente del sistema operativo. Esta abstracción permite a las organizaciones duplicar y hasta triplicar las tasas de utilización, cosa que ahorra mucho dinero.
Sin embargo, plantea algunas preguntas interesantes: ¿Cómo saber dónde están los datos críticos en un momento dado en el tiempo? ¿Se pueden rastrear los flujos de datos? Y, sin importar dónde están los datos en éste entorno virtualizado, ¿están siendo protegidos de una manera coherente y compatible?
Según Dave Elliot, director de desarrollo de Symantec, "uno de los mayores desafíos es cómo prestar los servicios existentes cumpliendo con las normas de auditoría y seguridad en esta nueva infraestructura de la nube.
Para añadir un poco de claridad a todo el proceso, hay un creciente número de personas que creen que la industria debe desarrollar algún tipo de programa de certificación de seguridad centrado en la nube.
Un grupo que tiene la esperanza de establecerse en este ámbito es la Cloud Security Alliance (CSA), una organización sin fines de lucro con la misión de promover el uso de mejores prácticas para ofrecer garantías de seguridad en cloud computing.
A principios de agosto, el grupo lanzó una nueva iniciativa para fomentar la transparencia de las prácticas de seguridad en los proveedores de nube. Programado para estar disponible en el cuarto trimestre de este año, CSA Security, Trust & Assurance Registry (STAR) será un registro gratuito y de libre acceso que documentará los controles de seguridad ofertados por diversos proveedores de servicios cloud, lo que ayudará a los usuarios a evaluar el nivel de seguridad de los proveedores con los que ya trabajan o que estén considerando trabajar.
El anuncio de Star está basado en sus esfuerzos para actuar de enlace con organismos internacionales de normalización, para definir las mejores prácticas en torno a temas de seguridad y privacidad, de modo que las empresas puedan continuar confiadamente con sus estrategias de la nube.
Abundan los beneficios
Los expertos coinciden en que los beneficios de la construcción de normas de seguridad son numerosos, incluyendo:
Consistencia. Los usuarios tienen una lista de preocupaciones que son especialmente relevantes para la computación en nube y tienen preguntas específicas para sus proveedores. Según el vicepresidente de Gartner, Jay Heiser, "solo un pequeño número de vendedores las ha tomado verdaderamente en serio, pero sinceramente creo que los compradores los forzarán a ser más transparentes.
Disponibilidad. Para una empresa interesada en optimizar sus tiempos, y dispuesta a montar su carga de trabajo en múltiples nubes, esta es la forma más segura de hacerlo garantizándose de tener copias de seguridad. Si un proveedor tiene un corte de luz, cosa que puede suceder, siempre habrá otra nube que será capaz de recoger la carga de trabajo.
Volviendo a las declaraciones de Dave Asprey, "uno de los beneficios de la seguridad es la disponibilidad"..."La gente se está dando cuenta que sin seguridad la nube probablemente caería y su tiempo de funcionamiento se verá afectado. Seguridad es visto ahora como como operacional".
Ahorro de costos. Con las normas, los compradores serán capaces de responsabilizar a sus proveedores. Estos, a su vez, podrán implementar estándares, lo que significa menores costos operacionales.
La confianza, sostenida en que los procesos de negocio serán seguros y los riegos debidamente controlados, jugará un papel clave en el continuo crecimiento de este mercado. Y quién sabe, si la nube puede permanecer en su actual trayectoria, quizá su actitud positiva pueda extenderse al resto de nuestra famélica economía.
Patricia Brown, CIO