Seguridad de la información en estrategias de nube

Sep 23, 2016 - by administrador

Cloud computing no es una tendencia: se trata de un mercado estructurado, formado por grandes proveedores, clientes de todos los tamaños y volumen considerable de contratos. Los negocios de nube deben crecer el 40% en América Latina en 2016, alcanzando US$ 3,6 mil millones, según estimaciones divulgadas por la consultoría IDC. A pesar de que metodología ya haya sido testeada y aprobada, aún es responsable por una preocupación fundamentada en términos de seguridad de la información.

 

Investigaciones indican que, cuando está en la nube, una empresa tiene un chance tres veces mayor de ser atacada, un escenario generado por la pérdida de control: en  promedio, el 36% de las aplicaciones críticas del negocio están en la nube, sin ninguna visibilidad del equipo de TI. Además, hasta 2020, el 95% de las fallas de seguridad en nube serán responsabilidad del cliente, y no del proveedor, según el estudio "Principales previsiones estratégicas para 2016 y más allá: el futuro es algo digital" (traducción libre para "Top Strategic Predictions for 2016 and Beyond: The Future Is a Digital Thing"), de Gartner.

 

Preocuparse por la capacidad del proveedor para garantizar la seguridad es una distracción, que roba la atención de algo más importante: la necesidad de que se establezcan procesos de gobernanza organizacional, solicitados para garantizar la seguridad y evitar errores humanos. Es necesario mirar hacia una estrategia que garantice la protección y la integridad de los datos, disminuyendo comportamientos de riesgo. Y las mejores prácticas cambian entre un escenario de cloud computing pública y otro de privada.

 

Cloud pública

 

El principal valor de la cloud pública - acceso desde cualquier lugar y dispositivo, en cualquier momento - representa, también, su mayor riesgo, ya que la única barrera entre el internauta y los datos de la empresa es la combinación de usuario y contraseña. El segundo factor de autenticación - aquella confirmación de identidad, que puede ser un token por SMS o por aplicación en el celular, con un código adicional de acceso - es una alternativa al problema y llega a prevenir un 80% de las fugas de datos, pero debe ser solicitado en el momento en que la nube es contratada. No siempre es posible integrar esa solución con facilidad después de que el proyecto es implantado.

 

Otro punto es definir una estrategia fuerte, completa y estructurada de criptografía. Hay que entender quién será el "dueño de la llave" de ese candado para acceder a las informaciones. También es necesario cuestionar cuáles datos se deben migrar para el ambiente de nube, una evaluación que pasa por ítems más básicos, como la experiencia del usuario, hasta los más complejos, como amparo legal y cuidados jurídicos. Dejar ese análisis de lado puede provocar no sólo exposición de SI, sino también, inviabilidad y consecuente interrupción del proyecto, ya que la inserción de capas adicionales de seguridad a lo largo o posteriormente a la implantación puede costar, por ejemplo, tres veces más que la inversión inicial.

 

Cloud privada

 

En un ambiente tradicional, la invasión debe ser hecha máquina a máquina; en uno de cloud privada, una vez que el atacante entra a la infraestructura, todo el ambiente está expuesto, automáticamente. Crear, alterar y borrar máquinas es tarea simple, por lo tanto, es esencial que haya un monitoreo, también, sobre los administradores del ambiente, para facilitar la identificación de errores e invasiones y, además, para cohibir la acción de colaboradores mal intencionados.

 

Es imprescindible que la arquitectura garantice la visibilidad del tráfico de informaciones ya que, en un ambiente virtual, un servidor puede tener centenares de máquinas virtuales que conversan entre sí. Si una es infectada, puede volverse un vector de malware por medio de comunicación directa con otras máquinas.

 

Por fin, una regla maestra, que vale para todo proyecto, es que TI y SI trabajen juntas desde el inicio: pasando desde la concepción hasta detalles de la implantación de la propuesta. Cualquier plan que no tome en cuenta protección e integridad de los datos del comienzo al fin puede volverse un problema enorme para la compañía como un todo. Es necesario prepararse.

 

Para más información visite: http://www.symantec.com/es/mx/

0 Comentarios

Deje su comentario