La seguridad de los datos en la nube y su optimización

8 May 2014 en Management

Ponemon Institute emitió su tercer reporte anual acerca de las tendencias globales en cuanto a encriptado de datos en la nube. Según este reporte, casi la mitad de las organizaciones de todo el mundo ya está moviendo datos confidenciales a la nube de alguna forma. Además, se destaca que la confianza en la nube ha crecido notablemente en el transcurso de un año. Esto ha sido así a medida que aumentó la cantidad de sistemas basados en la nube y gracias al hecho de que no se han detectado hasta ahora grandes brechas en la seguridad de los datos.

 

La encuesta de Ponemon consultó a 4275 empresas y gerentes de IT en múltiples países. Se preguntó acerca de la forma en que utilizan servicios cloud y en especial el encriptado de datos de importancia crítica. Esto incluye determinar si las empresas encriptan o no los datos y en qué grado o modalidad.

La importancia de la encriptación

Cuando se llegó al plano de los datos en reposo (rest data) o sea los datos que no están en procesamiento activo, apareció una tendencia a cierta negligencia. Sólo un 39% de los usuarios de SaaS (Software as a Service) y un 26% de los usuarios IaaS/PaaS (Infrastructure as a Service/Platform as a Service) cuentan con encriptado de datos en reposo. Además, sólo un 44% de los usuarios SaaS y un 40% de los usuarios IaaS/PaaS de esos usuarios estaba encriptando los datos antes de enviarlos a la nube.

Si bien esto puede ser positivo en términos de la confianza que las empresas muestran hacia la nube, es negativo en términos del riesgo y exposición. Si bien la computación cloud puede resultar segura para los datos empresariales, eso no ocurre en forma estándar. Hay que tomar algunas acciones para que así sea. En realidad, según lo destaca David Linthicum, VP de Cloud Technology Partners, reconocido experto y columnista especializado de Datamation en cuyo trabajo se basa este artículo, el nivel de seguridad en la nube depende directamente de la calidad del planeamiento que se ha realizado al respecto tanto en la arquitectura como en la implementación.Lithicum es autor de 13 libros, el más reciente de los cuales es Cloud Computing and SOA Convergence in Your Enterprise, a Step-by-Step Approach.

La seguridad de los datos

Los datos pueden estar expuestos a terceros de diferentes formas. No solamente los hackers acceden a los datos corporativos. Por ejemplo, en investigaciones realizadas por organismos de seguridad de gobiernos como lo es el FBI en los Estados Unidos, los datos de una empresa pueden estar en el mismo servidor que los de otra compañía que está siendo investigada por alguna razón. En ese caso, aunque no sea el blanco de la búsqueda, los datos de todos en ese servidor quedarán expuestos ante organismos que no han firmado un acuerdo de confidencialidad.

Volviendo al estudio de la firma Ponemon, el problema principal es que las empresas no realizan los esfuerzos necesarios en términos de consideración de la seguridad, su planificación y selección de tecnologías para datos en la nube. Si bien no existe nada que sea 100% seguro, las empresas que no toman los suficientes recaudos para proteger los datos en movimiento y riesgo, enfrentan la posibilidad de problemas inesperados.

El plan de seguridad

David Linthicum nos dice que la creación de un plan de seguridad para una implementación cloud a la altura de los requerimientos del negocio, es relativamente simple. “Me gusta usar la analogía del tamaño de una camiseta: pequeño, mediano y grande,” observa el especialista.

Pequeño: Encriptado básico cuando los datos cloud están en reposo. Si bien a algunos les preocupa la performance, la sobrecarga de procesamiento suele ser mejor de lo que la mayoría cree. Esto ofrece cierto nivel de seguridad que, aun cuando alguien logre acceder a los datos, será difícil que se produzcan daños importantes.

Mediano: Encriptado básico a los datos en reposo y también a los que están viajando. Cuando se mueven datos desde o hacia una plataforma cloud, suele ser sobre la Internet abierta. Este nivel de seguridad debería mantener a raya a la mayoría de los riesgos de brechas de datos.

Grande: Esto quiere decir hacer todo lo necesario para ofrecer seguridad avanzada. Incluye soluciones de seguridad basadas en identidad capaces de hacer seguimiento de los datos y el uso de los mismos según sus atributos, usuario de datos, agrupación de datos, etc. De esta manera se puede combinar una configuración de seguridad que atienda a necesidades especiales de cada organización. Se puede decir que, mientras que los planes pequeños y medianos se limitan a cerrar la puerta, los planes “grandes” controlan el acceso a áreas específicas de las bases de datos en formas que son apropiadas a cada caso de uso.

La seguridad de los datos no es una disciplina nueva, pero el uso de las nubes públicas para el almacenamiento de datos empresariales sí lo es. De esta manera, tenemos que los enfoques básicos y tecnologías que hemos aprovechado por años, son todavía bastante protagónicas y han sido reacondicionadas o reubicadas en la nube.

David Lithinum concluye diciendo “he vivido lo suficiente para ver varios cambios de paradigmas en el mundo de IT, pero el movimiento a la computación cloud es de mucho más alcance y más sistémico. Necesitamos contemplar probadas mejores prácticas, tales como seguridad de datos y estar seguros de que no las olvidamos cuando pasamos a la nube. Hasta que las mejores prácticas no sean aplicadas en una mayor escala, la seguridad de los datos seguirá siendo un problema a medida que migramos nuestros datos principales hacia plataformas basadas en cloud.”