El desarrollo del modelo Cloud y el aumento de las amenazas informáticas implican un cambio en el concepto de seguridad informática y en las prioridades estratégicas de las organizaciones. A continuación, un análisis de los desafíos que plantea la necesidad de coordinar estas actividades.
Hoy estamos involucrados en una importante transformación de paradigmas en las Tecnologías de la Información y Comunicación (TIC). Esta revolución apunta hacia un mundo cuyo punto de partida fue el mainframe y que pasó por la arquitectura cliente servidor, por los servicios web y finalmente llega a lo que la prensa especializada califica como Cloud Computing.
La visión de Cloud incorpora de manera nativa la web y es fruto de la ubicuidad y el desarrollo de las redes de telecomunicaciones basadas en el protocolo IP, ocurrido principalmente en la última década. Pero los dolores del crecimiento también se hacen sentir, en especial en un área sensible como es la seguridad informática. Por eso vale la pena repasar las principales recomendaciones para facilitar la transición y adopción del nuevo paradigma.
Cloud computing es un concepto fuertemente asociado a temas como SaaS (SaaS – Software as a Service); Iaas (Infrastructure as a Service); PaaS (Platform as a Service), que implica la visión de que en una arquitectura moderna de tecnologías de información (TI), cada vez más, están presentes recursos públicos de computación, de almacenaje, de comunicaciones y también de software, a nivel aplicaciones.
Estos recursos estarían, en este sentido, disponibles “en la nube” y serían movilizados por los usuarios particulares o corporativos a la medida de su necesidad, eliminando o minimizando las inversiones en el despliegue y mantenimiento de aplicaciones y sistemas específicos.
Sin lugar a dudas, esta es una tendencia que cambia fuertemente las reglas del juego y el rol de los distintos actores de las cadenas de valor de TIC, tales como proveedores de software, integradores de sistemas, prestadores de servicios, etc. Los modelos de compra de TIC, por su lado, también migran de una visión esencialmente centrada en CAPEX (costos de capital) para posicionarse como una nueva forma de OPEX (costos operativos).
En el ámbito corporativo las ventajas de este nuevo paradigma son por supuesto muchas. En este nuevo mundo el rol del ejecutivo de TI es de alto nivel, pasando el administrador esencialmente a gestionar recursos y proveedores que prestan sus servicios referidos a estándares de mercado (cumplimiento con ITIL, ISO, etc.) y basados en SLAs (Service Level Agreements) monitoreables que garantizan la calidad y la disponibilidad de los servicios.
Por otro lado, surgen cuestiones importantes sobre este nuevo modelo tecnológico, sobre todo en lo que se refiere a la gestión y el gobierno de TI pero especialmente en lo que se refiere a los aspectos de seguridad informática e integridad de la información corporativa.
Seguridad informática y la Nube
Atrás quedó el tiempo en que las amenazas informáticas eran producto y obra de adolescentes rebeldes trabajando desde el garaje de la casa de sus padres. Hoy el cibercrimen es desarrollado por organizaciones internacionales que tienen como objetivo perjudicar a empresas » y/o entidades gubernamentales.
Es en este sentido que las corporaciones necesitan encarar el tema de la seguridad informática de sus sistemas a partir de una perspectiva estructurada y estratégica.
En el momento en que una organización decide confiar sus datos más sensibles, como por ejemplo información de clientes, oportunidades comerciales, márgenes y estrategias de mercado asociadas a determinadas cuentas (como suele suceder en una herramienta de CRM en modelo SaaS) es importante entender.
- Dónde está esta información.
- Quién es el proveedor que brinda el servicio.
- Cuáles son las garantías reales ofrecidas con relación a la integridad y disponibilidad de las informaciones.
Además de esto, surge el tema de la continuidad de negocios, es decir, si este proveedor presenta fallas en sus sistemas de protección, cuáles son los potenciales impactos en la cadena de negocios de sus clientes. Es importante destacar que estas cuestiones no se refieren solamente al proveedor del sistema en la nube sino también a todos los eslabones de la cadena de prestación del servicio, como por ejemplo los proveedores de servicios (service providers) y los centros de datos (data centers) de terceros asociados a estos servicios.
Por otra parte, un elemento que agrega complejidad a esta discusión se refiere a la no existencia de una legislación que reglamente de manera adecuada el tema de la prestación de servicios en modelo Cloud y las garantías que los prestadores de este tipo de servicio deben ofrecer a sus clientes en caso de falla en la provisión del servicio.
Nuevos Paradigmas, Nuevas Amenazas
Cloud computing es una revolución en curso en el mundo de las TIC. Trae en su desarrollo una perspectiva extremadamente atractiva para los máximos responsables tecnológicos de las empresas (CIOs), grandes o pequeñas, respecto a un mejor aprovechamiento de los recursos internos y a un modelo de gestión optimizado.
Este nuevo modelo ofrece a las corporaciones la posibilidad de tener un foco más claro en sus “negocios core” a partir del momento en que tecnologías de información pasa a ser tratada como un suministro más de sus cadenas productivas, y como todo nuevo concepto, el aspecto de la seguridad informática es siempre uno de los puntos más importantes para tener en cuenta especialmente en momentos de intensa transformación.
De esta manera, CIOs y tomadores de decisión necesitan evaluar y tener en cuenta los riesgos a que se exponen al adoptar estos nuevos modelos y buscar alternativas viables de protección y mitigación. Por fin, para los prestadores de servicios, las inversiones en sistemas de protección que garanticen la seguridad de los datos de sus clientes pasan a ser una de sus prioridades estratégicas.
Podemos concluir entonces que en el modelo de Cloud, los temas de seguridad informática, por su criticidad, ganan tal importancia que en poco tiempo se constituirán en una fundamental palanca de diferenciación respecto al mercado para estos proveedores de sistemas en la nube.
Fuente: Rodrigo Parreira, CEO de Logicalis para Cono Sur, Logicalis Now
Adaptado por la División Consultoría de EvaluandoCloud