La
nube se convirtió en una tecnología esencial en el ámbito corporativo.
Accesible, eficiente, transformador, disruptivo y escalable, es una solución
que encaja en las estrategias de todo tipo de empresas, que bien sea, en
modelos de nube privada, pública o ambas, aportan beneficios como altos niveles
de disponibilidad, rendimiento, flexibilidad, en el que las organizaciones ven
una posibilidad de “moverse más rápido reducir el tiempo de inactividad y
ahorrar dinero.
Y
es que la nube cada vez asume mayor protagonismo en el ámbito corporativo, con
muestras de un crecimiento acelerado, así lo confirman los pronósticos de
Gartner en el que proyectan que “el segmento de más rápido crecimiento del
mercado son los servicios de infraestructura de sistemas en la nube (
infraestructura como servicio o IaaS), que prevé crezcan un 27,6 por ciento en
2019 hasta alcanzar los US$39,5 billones, frente a los US$31 billones obtenidos
en 2018”, indica la consultora.
Sin
embargo, pese a los beneficios que aporta la nube sobre todo cuando la
infraestructura está alojada en un tercero, surgen retos adicionales de
seguridad, que llevan a las empresas a cuestionar que tan segura se encuentra
su información, y si su proveedor de servicios cuenta con la experiencia
suficiente para garantizar una protección integral, con la capacidad para
reaccionar ante algún incidente que pueda poner en riesgo su bien más preciado,
la información.
A
medida que las compañías migran y evolucionan hacia tecnologías de computación
en la nube, los métodos tradicionales de protección se ven forzados a responder
a retos por las nuevas arquitecturas basadas en la nube. De esta manera,
tenemos que la gestión de la información requiere, no sólo nuevas medidas
técnicas de protección, sino también de nuevos enfoques de gobierno.
En
respuesta a estos modelos, desde 2008 con el objetivo de generar un uso
responsable de la nube, se institucionalizó el Cloud Security Alliance (CSA),
organización que, “promueve la implementación de buenas prácticas para
proporcionar seguridad en el ámbito de la computación en la nube y que elabora
la hoja de ruta práctica y ejecutable para organizaciones que buscan adoptar el
paradigma de la nube”.
De
esta manera, para 2009 la Alianza le da vida a la “Guía de Seguridad de Áreas
Críticas para la computación en la nube”, documento en el cual convergen los
temas que se deben considerar en ambientes de nube y es el punto de partida
para entender cómo se deben manejar los temas de seguridad en la materia.
La
guía compila dos categorías: ‘Gobierno’ y ‘Operaciones’, y a su vez en
dominios.
Los
dominios de ‘Gobierno’ establecen cuestiones estratégicas y de políticas dentro
de un entorno de computación en la nube; mientras en el de dominio de
‘Operaciones’ se concentra en preocupaciones de seguridad e implementación de
tácticas dentro de la arquitectura.
Para
el caso del gobierno la Guía establece que se debe “garantizar que los datos y
la información se usen de acuerdo con las políticas, estándares y estrategias
corporativas, incluyendo sus objetivos regulatorios, contractuales y de
negocio”. Es así como, al adoptar este modelo lo primero que deben saber, es
que nunca pueden tercerizar la responsabilidad del gobierno, incluso cuando
utilizan proveedores externos
En
cuanto a la gestión del riesgo en la nube, esta se encuentra basada en el
modelo compartido de responsabilidades; en donde el proveedor de servicios en
la nube acepta cierta responsabilidad sobre algunos riesgos, pero el cliente en
la nube es el responsable de todos los riesgos que no asume el proveedor.
Esta
situación es especialmente evidente cuando se evalúan las diferencias entre los
modelos de servicio de nube, dado que el proveedor gestiona más riesgos en SaaS
mientras que en IaaS es el usuario el que lo hace; solo se delega en el
proveedor de servicios en la nube parte de la gestión de riesgos.
Dentro
de las consideraciones de gobierno en la nube, las empresas deben considerar
los siguientes aspectos:
Asuntos
legales: contratos y descubrimiento electrónico: contempla los posibles
problemas legales al usar la computación en la nube.
Gestión
de cumplimiento (normativo, legislativo y de otro tipo) y auditoría: mantiene y
prueba el cumplimiento cuando se utilizan los servicios en la nube.
Gobierno
de la información: incluye los elementos que rodean la identificación y el
control de los datos en la nube, así como los controles de compensación que se
pueden usar para lidiar con la pérdida de control físico cuando se mueven datos
a la nube.
Entre
tanto, en el modelo de operación en la nube las áreas que se deben tener en
cuenta son:
Plan
de Gestión y Continuidad del Negocio: aunque la operación sea en la nube, se
debe garantizar la continuidad del negocio de las implementaciones realizadas.
Seguridad
de Infraestructura: la seguridad de la infraestructura abarca las capas más
inferiores de la seguridad, desde las instalaciones físicas hasta la
configuración e implementación de los componentes de la infraestructura por
parte del cliente.
Virtualización
y contenedores: se entran a considerar aspectos en seguridad para hipervisores,
contenedores y redes definidas por
Respuesta
a incidentes, notificación y remediación: detección, respuesta, notificación y
reparación adecuada de incidentes.
Seguridad
de aplicaciones: asegura el software de la aplicación que se ejecuta o se está
desarrollando en la nube.
Seguridad
y cifrado de datos: implementa la seguridad y el cifrado de datos, y garantiza
la administración escalable de claves.
Identidad,
derecho y administración de acceso: administra identidades y aprovecha los
servicios de directorio para proporcionar control de acceso.
Seguridad
como servicio: proporciona aseguramiento de seguridad facilitado por terceros,
administración de incidentes, certificación de cumplimiento y supervisión de
identidad y acceso.
Tecnologías
relacionadas: tecnologías establecidas y emergentes con una estrecha relación
con la computación en la nube., incluidas el Big Data, el Internet de las cosas
y la informática móvil.
