Cloud: Modelo que se Afianza - Parte II

Cloud: Modelo que se Afianza - Parte II

Seguridad

En una Guía de Nube, publicada por Computerworld Colombia se planteaba la pregunta sobre: ¿quién es el responsable por la protección de la información.

El Institute of Electrical and Electronics Engineers (IEEE), asociación mundial dedicada a la estandarización y la Cloud Security Alliance (CSA), organización sin fines de lucro formada para promover el mejor uso de los prácticas para la computación en nube, anunciaron los resultados de una encuesta, que revela la importancia de definir estándares de seguridad y los responsables, en el modelo cloud.

"Las empresas están dispuestas a adoptar la computación en nube, pero son necesarias las normas de seguridad para acelerar su adopción a gran escala ", dijo Jim Reavis, fundador y director ejecutivo de Cloud Security Alliance”

Estos son algunos hallazgos de la encuesta:

• El 93% de los encuestados dijo que la necesidad de normas de seguridad en la nube de computación es importante.
• El 82% calificó la necesidad como “urgente”.
• El 43% mencionó que ya están involucrados en el desarrollo de las normas de computación en nube.
• El 81% dijo que son “algo” o “muy probable” que participen en el desarrollo de las normas de seguridad en la nube en los próximos 12 meses.

En ese sentido, Ruddy Simons, gerente regional y de estrategias de virtualización para Colombia y el Caribe de Trend Micro dice que primero hay que tomar en cuenta los “Modelos de Servicios”, para establecer las responsabilidades y, en uno u otro caso, se debe pedir: cómo están afrontando el tema de servicios; en qué tipo de normativas están certificados; qué tipos de procesos auditables usan; cuál es la clase de gerenciamiento de Servicios que aplican; y, qué procesos de calidad, etc.”

En la misma línea, Julián Ortiz Díaz, de Check Point Software Technologies Colombia, agrega: “La responsabilidad es siempre de las empresas que contratan el servicio. Son estas las que al final sufren los embates legales y deben asumir las consecuencias sobre los incidentes de seguridad que puedan darse”.

De acuerdo con Dmitry Bestuzhev, director del equipo de Análisis e Investigación de Kaspersky Lab., “En general, la responsabilidad de la protección es del proveedor de la nube. Pero para cada caso particular, las condiciones y las responsabilidades pueden ser diferentes. Es por esto que antes de usar un servicio, se debe leer el contrato de licencia. El usuario no puede garantizar que su proveedor guarde los datos de una manera segura, lo que le toca es confiar explícitamente en que esto será así. Pero lo que podría hacer es alojar sus datos en una nube de una manera cifrada”.

Y en ese línea coincide, Sergio Dias, experto en seguridad en la nube, de Symantec: “en las compañías este tipo de decisiones quedan bajo la responsabilidad del CIO.  Hay que entender las necesidades de seguridad de la nube, pues aún hay muchos comentarios en torno al tema, pero existe muy poca diferencia entre la confianza que le otorga a su ISP y la que le da a  sus proveedores de tecnología. Con eso en mente, las necesidades y las expectativas de cada empresa son diferentes y, por ello, es importante entender cómo el proveedor puede cubrirlas. Verifique las referencias de los proveedores e investigue casos similares al suyo”.

Y en ese entorno, el vicepresidente de Gartner, John Pescatore,  dijo que “los clientes no deberían confiar a sus proveedores de servicios cloud la seguridad de sus datos más críticos”.

“Según te mueves hacia modelos basados en cloud, hay algunas cosas que puedes confiar a tu proveedor, pero los datos de negocio más críticos y la información sometida a control regulatorio, raras veces”, asegura Pescatore.

Para Pescatore la seguridad está en un nivel básico. La mayoría de las empresas comienzan con un viaje hacia cloud privadas o internas y ése es un buen lugar para empezar con los controles de seguridad.

El experto considera que el foco de la seguridad cloud debe estar en los procesos de protección de la propia nube. Crear políticas de seguridad globales, luego asegurar que son implantadas a lo largo de todos los despliegues cloud y ajustarse a ellos. Las vulnerabilidades aparecen cuando hay políticas inconsistentes o controles de seguridad que pueden ser forzados, asegura. “La realidad hoy es que resulta fácil para los hackers atacar a las compañías a través de servicios cloud”, concluye.

Lo cierto, como mencionó Jeimy Cano en la presentación “Cloud Computing: Auditoría y Control” en el ISACA, “La seguridad en la nube es un reto que debe ser enfrentado y asumido con creatividad y control para beneficio tanto del proveedor, como del cliente… Los estándares y buenas prácticas en la nube, deberán ser repensadas y ajustadas según las condiciones de elasticidad, flexibilidad y recursos compartidos que exige la computación en la nube”.

Nube híbrida

En 2020, las empresas “sin cloud” serán tan poco comunes como lo son hoy en día las “sin Internet”, según la previsión de Gartner. Según la consultora, la política de elegir como primera opción la nube, o incluso utilizar sólo los servicios en la nube, está sustituyendo ya a la tendencia  “no nube” que ha dominado los últimos años. Actualmente, la mayor innovación tecnológica de los proveedores se centra en la nube con la intención de adaptar esta tecnología en sus instalaciones.

“La nube será cada vez más la opción por defecto para la implementación de software. Lo mismo que para el software a la medida, que cada vez más está diseñado para alguna variación de nube pública o privada”, explicó Jeffrey Mann, vicepresidente de investigación de Gartner, quien también apuntó a que cada vez serán más insostenibles las posiciones antinube que algunas empresas mantienen actualmente.

En Gartner están seguros de que esta tendencia a oponerse al uso de la nube cada vez estará menos presente, siendo la nube híbrida la más utilizada, y los proveedores tecnológicos serán capaces de atender a la demanda creciente por parte de sus clientes que quieren utilizar los servicios cloud en sus procesos.

Además de estas conclusiones, Gartner dio a conocer otras predicciones. Por ejemplo, en 2019, más del 30% de las nuevas inversiones en software de los 100 mayores proveedores se habrá desplazado de “primero en la nube” a “sólo en la nube”. Una afirmación que se aplica, según Gartner, tanto a escenarios de nubes híbridas como privadas.

Otros datos aportados por Gartner en este sentido, apuntan a que en 2020, los proveedores IaaS (Infraestructura como mercado de servicio)  y PaaS (Plataforma como servicio)  venderán más potencia de computación que las vendidas y desplegadas en los centros de datos empresariales.

Y es que los ingresos de las IaaS han crecido un 40% desde 2011, y la consultora prevé que siga creciendo más del 25% hasta 2019. De hecho, en ese año,  la mayoría de las máquinas virtuales serán entregadas por proveedores de IaaS. En 2020, los ingresos de  IaaS  y PaaS superarán los 55.000 millones.

Ante ello, es evidente que la nube está entrando en una etapa de consolidación, ya sea en modelos públicos, privados o híbridos.  Las empresas han madurado en el tipo de contratación de nube y cuentan con infraestructura internas o programas de administración para controlar las arquitecturas externas. Para el usuario, es algo transparente dónde estén los equipos y las aplicaciones. Lo que desea es acceso a la información y contar con servicios; la nube es el canal que le facilita dicho acceso sin importar lugar, fechas ni horarios.