Este modelo no es seguro por naturaleza; su seguridad es intangible, creando un falso sentido de protección o de ansiedad de qué está controlado y seguro, o qué no lo está. Los desafíos de seguridad de la nube requieren profunda atención y abarcan muchos aspectos: los usuarios y su control sobre los recursos utilizados, exposición de datos a terceras partes o al mismo proveedor, la necesidad de encriptación, y la virtualización y tecnologías de redes que son expuestas, en la infraestructura de la nube, a amenazas emergentes y de alto impacto, relacionadas con los puntos únicos de falla o usuarios de amplios privilegios y controladores de red. La arquitectura del cloud computing requiere medidas de administración de identidades y accesos, precauciones para asegurar el completo e ininterrumpido control sobre la propiedad de los datos y su uso. Otra consecuencia de la migración al cloud es que el ciclo de desarrollo de sistemas y sus condicionantes de seguridad necesitan ser ajustados para acomodar los elementos y contexto del cloud computing, diametralmente distintos a los del uso interno.
Además de estos desafíos existen muchos otros factores, como los aspectos contractuales y el “accountability” entre usuario y proveedor, confidencialidad y privacidad, los niveles de servicio y potencial dependencia del proveedor y un conjunto de otros desafíos de carácter contractual, incluyendo aspectos territoriales cuando un proveedor o cliente opera en distintas geografías.
Este mercado es aún inmaduro y la situación de la economía global puede afectar a algunos de los actores de la industria en un plazo cercano. La mejora de confiabilidad a través de mecanismos de verificación es necesaria. Por definición el concepto de cloud computing no puede garantizar control continuo y completo de los usuarios sobre sus activos, por estas razones, el establecimiento de la “verificación y evaluación de controles” para asegurar que los proveedores de la nube alcancen sus obligaciones, se convierte en algo relevante para los usuarios (por ejemplo a través de la adherencia de estándares de amplia aceptación y revisiones independientes).
Nuestra visión
Independientemente de los aspectos de seguridad, privacidad y confianza indicados, nuestra apreciación es que más que descartar su uso, los usuarios deben trabajar sobre estos riesgos estableciendo los mecanismos de control que les permitan maximizar los beneficios. Para ello es necesario disponer de un modelo de Risk Intelligence, que permita tomar un enfoque proactivo como parte del proceso de negocios habitual, riesgos medidos e identificados, controles establecidos y beneficios obtenidos.
Existen muchas medidas de seguridad tradicionales que pueden ser adoptadas en el cloud computing, sin embargo es necesaria una evaluación de riesgos específica, que permita aprovechar las oportunidades bajo un entorno operacional, contractual y de cumplimiento regulatorio conocido y administrado. Estas medidas consolidadas en un modelo de riesgos específico posibilitarán que el mercado de cloud computing siga creciendo y obteniendo madurez, lo cual implica un esfuerzo tanto de los usuarios como también, en parte importante, de los proveedores.
