miércoles, diciembre 26, 2018

O4IT: “Seguridad de la nube: ¿Qué debo saber?”


La nube se convirtió en una tecnología esencial en el ámbito corporativo. Accesible, eficiente, transformador, disruptivo y escalable, es una solución que encaja en las estrategias de todo tipo de empresas, que bien sea, en modelos de nube privada, pública o ambas, aportan beneficios como altos niveles de disponibilidad, rendimiento, flexibilidad, en el que las organizaciones ven una posibilidad de “moverse más rápido reducir el tiempo de inactividad y ahorrar dinero. 
Y es que la nube cada vez asume mayor protagonismo en el ámbito corporativo, con muestras de un crecimiento acelerado, así lo confirman los pronósticos de Gartner en el que proyectan que “el segmento de más rápido crecimiento del mercado son los servicios de infraestructura de sistemas en la nube ( infraestructura como servicio o IaaS), que prevé crezcan un 27,6 por ciento en 2019 hasta alcanzar los US$39,5 billones, frente a los US$31 billones obtenidos en 2018”, indica la consultora.
Sin embargo, pese a los beneficios que aporta la nube sobre todo cuando la infraestructura está alojada en un tercero, surgen retos adicionales de seguridad, que llevan a las empresas a cuestionar que tan segura se encuentra su información, y si su proveedor de servicios cuenta con la experiencia suficiente para garantizar una protección integral, con la capacidad para reaccionar ante algún incidente que pueda poner en riesgo su bien más preciado, la información.
 A medida que las compañías migran y evolucionan hacia tecnologías de computación en la nube, los métodos tradicionales de protección se ven forzados a responder a retos por las nuevas arquitecturas basadas en la nube. De esta manera, tenemos que la gestión de la información requiere, no sólo nuevas medidas técnicas de protección, sino también de nuevos enfoques de gobierno.
En respuesta a estos modelos, desde 2008 con el objetivo de generar un uso responsable de la nube, se institucionalizó el Cloud Security Alliance (CSA), organización que, “promueve la implementación de buenas prácticas para proporcionar seguridad en el ámbito de la computación en la nube y que elabora la hoja de ruta práctica y ejecutable para organizaciones que buscan adoptar el paradigma de la nube”.
De esta manera, para 2009 la Alianza le da vida a la “Guía de Seguridad de Áreas Críticas para la computación en la nube”, documento en el cual convergen los temas que se deben considerar en ambientes de nube y es el punto de partida para entender cómo se deben manejar los temas de seguridad en la materia.
La guía compila dos categorías: ‘Gobierno’ y ‘Operaciones’, y a su vez en dominios.
Los dominios de ‘Gobierno’ establecen cuestiones estratégicas y de políticas dentro de un entorno de computación en la nube; mientras en el de dominio de ‘Operaciones’ se concentra en preocupaciones de seguridad e implementación de tácticas dentro de la arquitectura. 
Para el caso del gobierno la Guía establece que se debe “garantizar que los datos y la información se usen de acuerdo con las políticas, estándares y estrategias corporativas, incluyendo sus objetivos regulatorios, contractuales y de negocio”. Es así como, al adoptar este modelo lo primero que deben saber, es que nunca pueden tercerizar la responsabilidad del gobierno, incluso cuando utilizan proveedores externos
En cuanto a la gestión del riesgo en la nube, esta se encuentra basada en el modelo compartido de responsabilidades; en donde el proveedor de servicios en la nube acepta cierta responsabilidad sobre algunos riesgos, pero el cliente en la nube es el responsable de todos los riesgos que no asume el proveedor.
Esta situación es especialmente evidente cuando se evalúan las diferencias entre los modelos de servicio de nube, dado que el proveedor gestiona más riesgos en SaaS mientras que en IaaS es el usuario el que lo hace; solo se delega en el proveedor de servicios en la nube parte de la gestión de riesgos.
Dentro de las consideraciones de gobierno en la nube, las empresas deben considerar los siguientes aspectos: 
Asuntos legales: contratos y descubrimiento electrónico: contempla los posibles problemas legales al usar la computación en la nube.
Gestión de cumplimiento (normativo, legislativo y de otro tipo) y auditoría: mantiene y prueba el cumplimiento cuando se utilizan los servicios en la nube.
Gobierno de la información: incluye los elementos que rodean la identificación y el control de los datos en la nube, así como los controles de compensación que se pueden usar para lidiar con la pérdida de control físico cuando se mueven datos a la nube.
Entre tanto, en el modelo de operación en la nube las áreas que se deben tener en cuenta son:
Plan de Gestión y Continuidad del Negocio: aunque la operación sea en la nube, se debe garantizar la continuidad del negocio de las implementaciones realizadas.
Seguridad de Infraestructura: la seguridad de la infraestructura abarca las capas más inferiores de la seguridad, desde las instalaciones físicas hasta la configuración e implementación de los componentes de la infraestructura por parte del cliente.
Virtualización y contenedores: se entran a considerar aspectos en seguridad para hipervisores, contenedores y redes definidas por
Respuesta a incidentes, notificación y remediación: detección, respuesta, notificación y reparación adecuada de incidentes.
Seguridad de aplicaciones: asegura el software de la aplicación que se ejecuta o se está desarrollando en la nube.
Seguridad y cifrado de datos: implementa la seguridad y el cifrado de datos, y garantiza la administración escalable de claves.
Identidad, derecho y administración de acceso: administra identidades y aprovecha los servicios de directorio para proporcionar control de acceso.
Seguridad como servicio: proporciona aseguramiento de seguridad facilitado por terceros, administración de incidentes, certificación de cumplimiento y supervisión de identidad y acceso.
Tecnologías relacionadas: tecnologías establecidas y emergentes con una estrecha relación con la computación en la nube., incluidas el Big Data, el Internet de las cosas y la informática móvil.