Hoy en día las compañías requieren utilizar soluciones seguras, Cloud Computing es una de ellas, esta solución permite reducir costos, riesgos y recursos de administración con respecto a hardware y software.
Según datos públicos el problema de la seguridad y los sistemas de pago continúan siendo el mayor impedimento para la adopción de la nube pública. De hecho, un 64 % de los directores TI no colocan una o más cargas de trabajo en la nube por miedo al acceso no autorizado a sus datos.
Asimismo, al 25% también les preocupa que la decisión de nube no consiga generar suficiente rentabilidad. Y es que la nube pública bajo la fórmula de pago por uso puede suponer un coste total de propiedad más elevado que el de un centro de datos equipado.
A continuación, se detallará las principales preocupaciones que son persistentes por el lado del cliente y empresas tales como seguridad de la información, privacidad y confiabilidad, por las cuales dudan a la hora de adoptar Cloud Computing.
Seguridad de la información
Los clientes de distintos proveedores de servicios en la nube quieren estar seguros de que la seguridad diseñada, establecida o implementada que han confiado a su proveedor se cumpla y mantenga al menos un nivel estándar de seguridad.
Para algunas organizaciones, los retos de seguridad en la nube son aún mayores, ya que estos requieren ciertos requisitos legales y regulatorios de cada país como por ejemplo el estándar de Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) para la información personal de salud.
Muchos proveedores de Cloud Computing ignoran los datos almacenados por parte de sus clientes; sin embargo, la seguridad e integridad de la información es recomendable manejarlo en conjunto (cliente y proveedor); con una estrategia de seguridad se evitarán casos de violación de la información personal, salud, datos financieros confidenciales, entre otros.
El proveedor de servicios en la nube puede incurrir en multas significativas y daños a la reputación si no se aplican las medidas de seguridad y privacidad adecuadas; en esta parte es donde el diseño e implementación de un Sistema de Gestión de Seguridad de la Información con consideraciones específicas y controles seleccionados adaptados a la seguridad y privacidad de la nube que forma parte de nuestros datos, es de gran valor para los clientes.
Adicionalmente en lo referente a seguridad de la información tenemos dos principales preocupaciones:
1- Pérdida de gobernanza
Al momento de utilizar una infraestructura en nube, el cliente otorga el control de una serie de actividades que pueden influir en la seguridad al proveedor de la nube. Al mismo tiempo, puede ocurrir que los acuerdos de nivel de servicio (SLAs) no incluyan la prestación de dichos servicios por parte del proveedor en nube, dejando así un vacío en la defensa de seguridad.
La pérdida de gobernanza y control podría influir gravemente sobre la estrategia de la organización, por lo tanto, sobre la capacidad de cumplir su misión y sus objetivos. Además, podría generar la imposibilidad de cumplir los requisitos en materia de seguridad, la falta de confidencialidad, integridad y disponibilidad de los datos y el deterioro del rendimiento y de la calidad del servicio.
2- Seguridad técnica
En este punto es importante destacar que mitigar nuestra preocupación en los aspectos técnicos dependerá de lo que el proveedor y el cliente establecen al momento de adquirir servicios en la nube principalmente en cómo funciona la seguridad en las diferentes capas de la nube, que ofrecen los proveedores de acuerdo a nuestras necesidades y de qué manera evitan o minimizan los riesgos a los cuales se pueden exponer.
Privacidad
Cuando nos referimos a preocupaciones acerca de Privacidad de un Cloud Computing se debe realizar las siguientes preguntas para asegurar que nuestra información no se encuentra en riesgo:
- ¿El proveedor colecta y/o analiza la información del cliente para su propio uso?, en caso de así serlo debe ser reportado al cliente para evitar posible pérdida de información valiosa, entrega de datos relevantes a la competencia o modificación de la misma.
- ¿Es una parte de esa información es cargada o administrada por terceras partes?, los proveedores son dueños de manera total y parcial de nuestra información.
- ¿Es el cliente notificado sobre la recolección de información?, en caso de no serlo el proveedor podría estar incumpliendo políticas y procedimientos preestablecidos por el cliente.
- ¿El cliente es capaz de restringir que datos pueden ser utilizados por terceras partes y/o limitar su uso?, es todo es muy importante porque como empresa se debe estar al tanto de nuestra información y en el estado que se encuentra de manera periódica o en tiempo real.
- ¿Prohíbe el proveedor la transferencia de información personal e identificable?, esto es una gran preocupación porque los proveedores de nube se adueñan de la información incurriendo grandes gastos a la compañía para la entrega de la misma.
Al momento que identificamos que algunas de estas preguntas con una respuesta de diferente, en donde los activos de información se encuentran en riesgo se debería considerar reevaluar el proveedor de nube, acuerdos preestablecidos y nivel de administración de nuestros activos de información.
Confiabilidad
Según Microsoft, la nube y parte de la migración mantienen principios de nube de confianza o confiable cumpliendo compromisos de utilizar los datos de los clientes de manera responsable, transparente basado en prácticas de privacidad, y ofrecer privacidad y opciones de control significativas a los clientes.
Los clientes son dueños de sus datos, no el proveedor. Cuando se utiliza un servicio de Cloud Computing, se mantiene la posibilidad de llevar los datos con el cliente cuando termine el acuerdo. Cuando expira una suscripción o el cliente termine su contrato, Microsoft sigue una política de retención de 90 días y estándares estrictos para sobrescribir el almacenamiento antes de utilizarlo.
Sus datos no son utilizados para mercadeo. El modelo de negocios empresariales no está basado en explotar los datos de los clientes. No utilizan los datos para propósitos como publicidad que no estén relacionados con brindar el servicio de nube.
No se utiliza acceso vertical. Se ha fabricado servicios de nube para que la mayoría de las operaciones estén automatizadas por completo. Sólo un pequeño conjunto de actividades requiere involucramiento humano; el acceso a los datos por parte de personal de Microsoft está autorizado sólo cuando se requiere algún tipo de soporte u operaciones, luego se revoca cuando ya no se necesita.
Los clientes pueden elegir la ubicación de su centro de datos. Dependiendo de qué servicios de nube de Microsoft tengan, podrán tener flexibilidad en la elección del lugar donde los datos residen de manera física. Los datos pueden ser replicados para redundancia dentro del área geográfica, pero no son transmitidos fuera de ella.
Se protege los datos de la vigilancia gubernamental. Por varios años, se ha expandido la encriptación a través de todos los servicios y reforzado las protecciones legales para los datos de los clientes. Se ha mejorado la transparencia para pueda estar seguro de que las empresas de Cloud Computing no ofrezcan productos y servicios restrictivos, ni tampoco se brinda de forma pública el acceso directo o libre a los datos de los clientes.
Conclusión
La seguridad en Cloud Computing es cada vez mayor que en sus comienzos, su principal prioridad es la información almacenada por sus usuarios finales.
No existen servicios o proveedores de Cloud Computing determinados, es recomendable realizar un estudio de negocio previo para la selección de servicios o proveedores específico, según necesidades del negocio, tipo de información, certificados a los cuales desea alinearse la compañía.
Fuente: Implementación de un esquema de seguridad en Microsoft Azure para Cloud Computing, aplicando dos metodologías previas su evaluación, caso de estudio empresa Microsoft del Ecuador
Adaptado por la División Consultoría de EvaluandoCloud.com