La seguridad de cloud computing exige un mayor escrutinio
Desde Forrester apuntan que las incógnitas en torno a la seguridad de cloud computing demanda una más rigurosa evaluación por parte de las empresas que los modelos tradicionales de externalización TI.
En el outsourcing tradicional, los clientes ponían sus propios servidores en el data center de algún proveedor que se los gestionaba de forma dedicada. Pero la multipropiedad rige el cloud computing y los clientes pueden llegar a desconocer dónde están almacenados sus datos o cómo están replicados, escribe la analista de Forrester Chenxi Wang en el informe titulado “¿Cómo de segura es su nube?”.
“La informática cloud desvincula los datos de la infraestructura e impide ver los detalles operacionales en profundidad”, escribe Wangs. “La multipropiedad, raramente utilizada en el outsourcing de TI tradicional, es casi algo determinado en los servicios cloud computing. Estas diferencias quedan aún más patentes en las cuestiones de seguridad y privacidad, que no sólo impactan a las prácticas de gestión de riesgo sino que también han motivado una reciente evaluación de las implicaciones legales en materias como cumplimiento, auditoría y eDiscovery”.
El crecimiento del software como servicio, junto con las plataformas basadas en Web para crear aplicaciones y servidores de hosting o capacidad de almacenamiento, tienen a muchos observadores examinando los beneficios y riesgos del cloud computing. Wang apunta que, recientemente, el Centro de Información de la Privacidad Electrónica puso una queja contra Google ante la Comisión Federal de Comercio de Estados Unidos alegando que sus controles de privacidad y seguridad eran inadecuados.
En otro punto, la analista cita al arquitecto jefe de seguridad de Boeing Steve Whitlock diciendo: “Como muchos otros, vemos un gran potencial y beneficios en el cambio hacia `la nube´ pero también vemos riesgos, cuestiones de seguridad y de interoperabilidad. La comunidad tiene mucho trabajo que hacer para convertir la cloud en un lugar seguro donde colaborar”. Whitlock también pertenece a la directiva del Jericho Forum, un grupo de la industria que examina la erosión del perímetro de la red.
Sugerencias
Y mientras securizar las aplicaciones y los datos en la nube sea difícil por la falta de visibilidad y control, los clientes deben hacer un esfuerzo para evaluar las prácticas de seguridad y privacidad de los proveedores, recomienda Wang. “Las empresas deben considerar estos aspectos: protección de datos, gestión de identidades, gestión de vulnerabilidades, seguridad física y personal, seguridad de las aplicaciones, respuesta ante incidentes, y medidas de privacidad”.
Por ejemplo, los clientes deberían buscar información sobre el sistema de encriptación del suministrador; cómo protege los datos en estado de reposo y en movimiento; la documentación del proveedor disponible para los auditores; los procedimientos de control de accesos y autenticación; y si el fabricante tiene las apropiadas medidas para la prevención de fuga de datos y segregación de datos.
Aún quedan numerosas cuestiones en las que trabajar relacionadas no sólo con la seguridad en la nube sino también con su responsabilidad. Para evitar fallos, los clientes necesitan acuerdos de nivel de servicio que especifiquen un conjunto de “detalladas condiciones de responsabilidad y sus consecuencias”, propone Wang. “La razón por la que las leyes no tratan los datos en la nube del mismo modo que los datos en las instalaciones del cliente radica en las complicadas discusiones sobre su responsabilidad”.
