Opiniones | Opinions | Editoriales | Editorials

Niveles “aceptables” de riesgo para sus datos en la nube

 
Picture of System Administrator
Niveles “aceptables” de riesgo para sus datos en la nube
by System Administrator - Wednesday, 9 July 2014, 3:32 PM
Colaboradores y Partners

Encuentre los niveles “aceptables” de riesgo para sus datos en la nube

Tom Nolle

Incluso una sugerencia sobre problemas de seguridad es suficiente para echar por tierra un proyecto de nube, y desacreditar todo el proceso de planificación de la nube, y a los planificadores. Para evitar esto, las empresas deben comenzar con una visión relativista de la seguridad, enfocarse en gestionar nuevos riesgos y comprender la noción de niveles “aceptables” de riesgo.

La mayoría de los problemas surgen cuando las empresas evalúan la seguridad de la nube en un vacío. Pocas empresas buscan ejecutar una aplicación completamente nueva en la nube; están esperando migrar una aplicación actual. Eso significa que no deberían estar viendo la seguridad de la aplicación en general, sino más bien la seguridad de la nube en relación con su actual alojamiento en el centro de datos.

Observar la seguridad de los datos en la nubea través de esta lente significa determinar el riesgo aceptable. La gestión de seguridad, al igual que todas las formas de gestión de riesgos, es un equilibrio (trade-off) del riesgo contra el costo. Es importante evaluar los riesgos asociados con sus aplicaciones actuales que se ejecutan en el centro de datos actual, y preocuparse por los riesgos de la nube que son mayores que aquellos que ya está aceptando. Eso asegurará que los costos de seguridad de la nube no destruyan el caso de negocios de la nube, algo que puede suceder con demasiada facilidad.

Las aplicaciones son tradicionalmente aseguradas en tres niveles: la interceptación de la red, el acceso a las aplicaciones y la seguridad física de los datos. Investigue cada uno de ellos, y enfóquese en lo que la nube puede cambiar respecto a los procedimientos actuales.

Intercepción de red. La intercepción de red es el riesgo de que terceros no autorizados vean los datos confidenciales monitoreando el tráfico de la red. El riesgo de interceptación es mayor cuando se tiene acceso a las aplicaciones de forma inalámbrica, a través de Wi-Fi, 3G o 4G, pero en la mayoría de los casos, mover una aplicación a la nube no cambia el uso inalámbrico. Si una empresa espera que se acceda a las aplicaciones basadas en la nube con mayor frecuencia desde hotspots Wi-Fi públicos, por ejemplo, entonces el cifrado SSL puede proteger el flujo de información. Para las aplicaciones a las cuales se accede a través de navegadores, proporcione una dirección URL https segura, pero recuerde que las aplicaciones que utilizan software de cliente personalizado pueden tener que ser modificadas para aceptar conexiones cifradas con SSL.

La gestión de claves es el mayor problema para asegurar las aplicaciones en la nube. La práctica más común es almacenar la clave de seguridad de una aplicación dentro de la imagen de la aplicación. Si esto se hace en una aplicación de nube, la clave se convierte en parte de la imagen de la máquina almacenada con el proveedor de la nube, y podría ser robada por alguien con acceso al almacenamiento de la imagen de la máquina. Utilice un servicio o técnica de almacenamiento de clave pública para asegurar que las claves nunca se almacenen con el código o los datos de la aplicación en la nube.

La gestión de claves es el mayor problema para asegurar las aplicaciones en la nube.

Acceso a la aplicación. La seguridad de acceso en la nube es a menudo una de las principales preocupaciones, pero generalmente no un riesgo incremental en absoluto. Si se usa internet para acceder a sus aplicaciones hoy, no hay riesgo incremental al acceder a las mismas aplicaciones en la nube a través de internet, suponiendo que puede administrar SSL y las claves de cifrado correctamente, como se señaló anteriormente. El reto vendría si intenta sustituir el acceso desde internet por el acceso a través de una red privada virtual, y, en particular, crear una VPN por internet.

Los VPN de internet normalmente utilizan el sistema de encriptación IPsec, que difiere de la seguridad SSL en que crea una comunidad de usuarios cuyo tráfico es cifrado/descifrado por software o hardware entre ellos y la red. Cuando las empresas utilizan IPsec en sus propias VPN internas, no existen riesgos de seguridad adicionales para la nube; sin embargo, los proveedores de nube generalmente no soportarán la adición de dispositivos de seguridad a su centro de datos de nube, por lo que un dispositivo de software puede ser necesario para soportar la conexión VPN IPsec para cada aplicación de nube. Típicamente, esto sería parte de la imagen de la máquina para cada aplicación, un tipo de middleware. Consulte con su proveedor actual de IPsec para asegurarse de que tiene disponible un agente de IPsec compatible con la nube.

Seguridad física de datos. La seguridad física de los datos es la mayor preocupación para la mayoría de usuarios, y el más difícil de abordar como planificador. Si la información confidencial se almacena en la nube, es crítico validar las certificaciones de seguridad de su proveedor de nube. Hay una serie de marcos de cumplimiento de seguridad en la nube, en particular el Marco de Certificación Abierta (OCF) de la Cloud Security Alliance (CSA); sin embargo, no todos están completamente desarrollados. Si planea almacenar información confidencial en la nube, confirme qué marco (s) ofrece su proveedor de nube, y qué tan bien se adapta a sus necesidades. El mayor problema para la mayoría de los planificadores es determinar si el marco del proveedor de la nube soporta sus directrices de cumplimiento y las regulaciones del gobierno, y esta revisión debe ser completada por su oficina interna de auditoría o cumplimiento, en cooperación con los reguladores del gobierno cuando sea necesario.

Es posible reducir los problemas de seguridad física en los proyectos de nube eliminando elalmacenamiento de los datos confidenciales. Si las aplicaciones utilizan el acceso a datos estructurados (procesamiento de consultas DBMS/RDBMS) en lugar del nivel de bloqueo I/O, es posible migrar las aplicaciones a la nube al tiempo que conserva el almacenamiento de sus datos en casa.

Las auditorías independientes son otra consideración para los planificadores de nube que investigan las opciones de seguridad de los datos en la nube. Las empresas sujetas a estrictos requisitos de cumplimiento pueden necesitar tener una estrategia de nube certificada por una fuente independiente. Si tiene una empresa de auditoría de cumplimiento para TI interno, esa compañía es probablemente la mejor fuente de auditoría para el cumplimiento y la seguridad de nube. Si no lo hace, elabore una matriz de proveedores de nubes y las firmas de auditoría de cumplimiento de seguridad que ellos recomiendan. Elija los tres principales nombres basados en la representación, y luego póngase en contacto con cada empresa para una oferta.

Sobre el autor: Tom Nolle es presidente de CIMI Corp., una firma de consultoría estratégica especializada en telecomunicaciones y comunicaciones de datos desde 1982.

Link: SearchDataCenter en Español

1148 words