¿Qué mitos y realidades existen en torno a los desafíos a la seguridad que implica cloud?
El principal mito está asociado a la confidencialidad: hoy cuando tenemos 10 o más años de cloud computing todavía se da esto como argumento para no moverse hacia la nube.
Sin duda, en 10 años el desarrollo de los servicios en cloud ha sido enorme. Esto incluye desde la mejora de las tecnologías, los elementos de seguridad asociados a estos y, por supuesto, el desarrollo de buenas prácticas.
El que una empresa diga hoy que no se mueve al cloud sin haber realizado una evaluación seria y en detalle de los riesgos que esto trae, deja en evidencia que es una excusa; hoy existen profesionales y buenas prácticas que permiten realizar un proceso de evaluación, sin tener que pensar en cómo hacerlo. Lo anterior también aplica a los proveedores de servicios, quienes en forma paralela han ido aprendiendo y mejorando desde lo técnico hasta los procesos que se debe implementar y ofrecer a los clientes, asegurando una madura gestión del riesgo.
En base a esto se puede afirmar que no importa la empresa que sea, siempre existirá un servicio y/o aplicación que se podría implementar en la nube sin aumentar el riesgo que hoy tiene en sus instalaciones.
¿Cuál es el enfoque con el que se debe asumir la seguridad en este entorno?
El concepto básico es el asociado a TI, es decir, se debe realizar una evaluación de riesgos desde el negocio hasta identificar los elementos TI en los cuales este se encuentra soportado.
El mayor desafío es la evaluación de riesgos, dado que no siempre las organizaciones tienen asignados los recursos para poder realizarla. Una vez que desde el negocio se identifican los riesgos, resulta muy fácil gestionar los elementos TI de soporte que participan en el riesgo identificado.
Por ejemplo, puede ser que una gestión de riesgo sugiera contratar servicios de plataforma web en cloud, de manera de tener la elasticidad que este servicio aporta para poder atender la excesiva demanda producto de una fecha particular, y así asegurar la disponibilidad de recursos para que los clientes puedan acceder al sitio web, o también podría arrojar que, dado el alto riesgo, no se debe sacar la base de datos a un servicio en la nube.
Por lo tanto, el nivel de seguridad dependerá directamente de la evaluación del riesgo que se realiza desde el negocio.
Entonces, ¿el tema de la seguridad sigue siendo un obstáculo para subir servicios a la nube?
Lamentablemente se utiliza como obstáculo, siendo una respuesta fácil que, de alguna manera, se ha difundido y mantenido como verdad absoluta; pero claramente hoy es solo un mito, ya que tanto los usuarios como los proveedores tienen elementos para poder evaluar gestionar los riesgos asociados a los servicios cloud.
Hoy podemos afirmar que la mayoría de las organizaciones que tienen sus servicios en sus dependencias con sus recursos de TI, tienen mayores riesgos que varios proveedores de servicios en cloud, debido a que piensan que al tener todo en “casa” los riesgos TI desaparecen, lo que no es cierto. Seguramente los proveedores aplican en mayor profundidad las buenas prácticas, tanto en seguridad como en la gestión de los servicios TI, dado que es parte de asegurar su negocio. Sin embargo, en otras organizaciones estas se visualizan como un gasto, pérdida de tiempo o que no aportan al negocio, y no son aplicadas con el mismo nivel de profundidad.
¿Cómo se observa la tendencia de ir a la nube híbrida?
Claramente es la solución que más ha crecido y seguramente seguirá esa tendencia. La explicación es muy simple: el tener una solución en nube híbrida es la mejor opción para acceder a lo mejor de ambos mundos: por una parte, dispongo de servicios flexibles y compartidos de acuerdo a mi necesidad, sin tener que realizar inversiones que solo se utilizarán en lapsos de tiempo finitos, y por otra parte, puedo aplicar mayores controles a aquellos elementos centrales del negocio que no debo exponer en una infraestructura compartida.
Hoy en día se han desarrollado tantos servicios de seguridad en la nube, que resulta muy fácil aumentar el nivel de protección de la infraestructura (nube privada) sin tener que invertir en equipos específicos y personal.
Por ejemplo, se puede agregar un control para evitar impacto por ataques de Denegación de Servicios (DoS), contratando a un proveedor que filtra el tráfico correcto del indeseado, y agregar un firewall de aplicación contratando el servicio, etc., es decir, es posible acceder a mayores capas de seguridad sin invertir en equipamiento y personal muy especializado.
¿Cuáles son los consejos para que una empresa pueda ir a la nube en forma segura?
La recomendación es invertir en profesionales que, utilizando las buenas prácticas existentes, realicen evaluación de los servicios, aplicaciones o datos que podrían ser implementados en la nube a partir de los riesgos del negocio.
Por ejemplo, el Cloud Security Alliance liberó este año la versión 4 de la Guía de Seguridad para Áreas Críticas con foco en la Nube (https://cloudsecurityalliance. org/guidance/#_overview), donde básicamente se detallan todos los elementos que como usuarios debemos considerar para evaluar un servicio en la nube. Además, también resulta ser una guía fundamental para que los proveedores de servicios tengan claro los elementos que deben desarrollar para ofrecer un servicio seguro.
Sin duda, los atributos como la flexibilidad, el acceso, pago por uso y, finalmente, tener servicios TI como Opex y no Capex, son incentivos claros de por qué el desarrollo y uso de la nube no parará.
¿Qué pasa con los dispositivos móviles, donde también se usa mucho cloud?
Todos los que hoy tenemos un telé- fono inteligente utilizamos servicios en cloud, sin cuestionar la seguridad de nuestros datos. Es decir, no nos preocupamos en validar dónde están los mensajes que enviamos por WhatsApp, confiamos que el número de tarjeta de crédito asociado al servicio de Uber no será robado, tampoco nos complicamos en activar GPS informando a algún servidor y/o proveedor todos los movimientos que realizamos, ni siquiera tenemos la certeza de si es uno o más los proveedores que acceden a dicha información, etc.
Claramente en estos ejemplos privilegiamos las facilidades del servicio y/o aplicación que instalamos y usamos; sin embargo, cuando tomamos el rol desde la organización hablamos de la seguridad de la data como si nuestros datos personales no tuvieran una importancia equivalente a los del negocio.
Esta es una clara evidencia de que hablar de seguridad como una limitante para que las organizaciones utilicen servicios en la nube resulta ser solo un mito.
