adrian_ilie825 - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Lo que toda empresa debe considerar sobre la seguridad de los datos en la nube

Ya que los aspectos de seguridad de la nube son uno de los elementos que levantan mayor duda entre las empresas de América Latina respecto a mover sus datos hacia ella, aquí tiene algunas recomendaciones para tener en cuenta si tiene la nube en sus horizontes.

Los expertos señalan que existen múltiples razones o beneficios –que van desde cuestiones económicas, hasta prácticas que marcan tendencia en las empresas y usuarios– para subir datos a la nube. En general, los proveedores líderes del mercado de nube pública (como Amazon Web Services, Microsoft y Google) ofrecen un nivel general de seguridad en sus centros de cómputos y equipos de infraestructura mucho más avanzado que el de los centros de cómputo propios de las empresas.

Pero es importante entender los límites de la responsabilidad entre el proveedor y las empresas contratantes. Temas como el control de acceso físico, el parchado de los equipos de almacenamiento y red, y la seguridad de la red física, por ejemplo, son manejados por los proveedores. Ahí se torna clave, por parte de las empresas, garantizar los aspectos de control de acceso a los datos, y aplicar las mejores prácticas de gestión de identidad, segregación de datos y segmentación de las redes lógicas.

Empresas van a la nube, pero siguen temiendo por su seguridad

Una encuesta realizada por Extreme Networks determinó que más del 17% de los clientes globales ya han implementado una red administrada en la nube, y casi un 55% (en comparación con 41% en 2016) está investigando o planea implementar soluciones de nube en los próximos dos años. Entre los resultados destacados se indica que los encuestados usan actualmente la nube con mayor frecuencia para apoyar el correo electrónico (59%) y el almacenamiento de archivos de datos (41%). Además del 18% que actualmente utiliza la nube para apoyar la red o la administración del sistema.

Rodrigo Torres, Extreme Networks.

El estudio también reveló que la seguridad sigue siendo vista como el mayor inconveniente potencial de los recursos basados en la nube, y un 76% afirmó que la mejora en la seguridad era un factor motivador para mover las capacidades de TI a la nube. Por eso, como precaución para las empresas al mover sus datos a la nube, Rodrigo Torres, gerente de territorio para el Cono Sur de Extreme Networks, recomienda contar con soluciones que puedan dimensionarse de forma dinámica, a medida que el negocio lo requiera, y que aporten un complemento de seguridad de los datos.

“Uno de los muchos beneficios que ofrece una red administrada en la nube es que utiliza un modelo SaaS (software as a service) para proporcionar, de manera segura, simplicidad de control y un análisis de los dispositivos más preciso. Sin duda alguna, una red administrada en la nube aportará facilidad de uso en la administración e implementación de equipos, además de visibilidad, escalabilidad y seguridad, lo cual le permitirá a la organización poder alcanzar sus objetivos de negocio. Al final del día, es esencial comprender las necesidades de la empresa para poder elegir estratégicamente qué tipo de infraestructura de nube se adecúa más a las necesidades”, indica.

Sepa cómo es la nube a la que quiere mudarse

Rodrigo Valdés, Exceda.

Además, antes de mover datos sensibles a la nube, Rodrigo Valdés, country manager de Exceda Chile dice que todo proveedor debe considerar la diferencia entre una nube pública y una privada. “Obviamente los datos sensibles pueden estar en la nube, pero necesariamente en una arquitectura de nube privada. Al no ser una instalación de carácter propia, la nube pública debe considerar un acucioso cumplimiento de las normas de seguridad por parte del proveedor de la información que exige una plataforma con datos sensibles. Por lo tanto, si es una empresa de transacciones financieras, debe cumplir con requisitos PCI. Las normas son las mismas que con un data center, pero en una nube privada. Si parte de esa información pasa por una nube pública, se debe exigir al proveedor el cumplimiento de las normas estándares y certificaciones correspondientes. Si bien la gran mayoría las cumplen, se trata de fixtures adicionales que deben ser adquiridas por el cliente para confirmar la seguridad de los datos y de las transacciones de sus clientes”, manifiesta.

Cristián López, In Motion.

Igualmente importante es escoger una nube de clase mundial, para lo cual se puede usar recomendaciones de consultores como Gartner. “Una vez seleccionada la nube, las precauciones deben ser las mismas que las que se deben tener en un data center tradicional: canales encriptados como VPN, o si se envían medios magnéticos, estos también debe estar encriptados, y por último revisar si los contratos de servicios tienen alguna restricción para ser almacenados fuera del territorio nacional”, refiere Cristián López, gerente de nube de In Motion.

Marcelo Díaz, gerente general de Makros, advierte que, primero, se debe entender en qué tipo de nube se va a trabajar y qué servicio se consumirá en la misma: SaaS, IaaS o PaaS. “Cada uno de estos requieren un tratamiento distinto y, desde la perspectiva de seguridad, hay responsabilidades que pueden ser transferidas al proveedor o al cliente en sí. Las precauciones van de la mano de la triada de seguridad que es: disponibilidad, confiabilidad e integridad de la información. En esa misma línea, las organizaciones deben buscar un proveedor que entregue información clara sobre dónde se almacena, sobre si hay sites secundarios, sobre uptime, etc. Sin embargo, también existe un componente de parte del cliente y es que los datos irán a la nube generados desde sus equipos, por lo que si no establece medidas de control a nivel de sus usuarios, igualmente podría tener fugas. También existe malware que se aloja en servicios de nube, y la responsabilidad puede ser asociada tanto al proveedor como al cliente, dependiendo del tipo de servicio”, comenta.

Para Lucas Paus, especialista en seguridad informática de ESET Latinoamérica, es necesario considerar cuatro aspectos. “Primero, conozca a su proveedor de servicios. Es decir, con la gran variedad de servicios de cloud computing que existen hoy en el mercado, el primer paso es decidir a quién vamos a confiar la información y sistemas de la compañía. Luego, entienda su negocio y sus necesidades. Este mismo consejo lo hemos aplicado en innumerables ocasiones. Al diseñar una política de seguridad, la certificación de una norma, el esquema de backup o la implementación de nuevas tecnologías. Antes de tomar una decisión importante, siempre debe pensar en cómo afecta su negocio y los objetivos de su empresa. Además, debe cifrar su información. Cifre los datos almacenados en la nube, y también los datos en tránsito; en suma, cifre todo lo que pueda cifrar. Si bien puede demandar un esfuerzo extra y aumentar la complejidad de las operaciones, lo cierto es que añade una capa adicional de seguridad a toda la información confidencial. Finalmente, controle el acceso a la nube. El hecho de que sus datos y aplicaciones ya no estén físicamente dentro de su organización, no significa que puede desligarse de la administración. Su proveedor de servicios puede brindarle numerosos controles de seguridad y mantener la infraestructura protegida, pero si deja la puerta abierta, de nada servirá”, resalta.

¿Cómo estar seguro de que el proveedor cumplirá lo que promete?

Cuando se evalúan las soluciones o los proveedores de nube, se debe formular las preguntas correctas basadas en los requisitos y preferencias de la organización. Además, se debe considerar la ubicación de los centros de datos del proveedor de nube para tener consciencia de dónde se van a hospedar los datos, ya que las normas de seguridad y de cumplimiento pueden variar drásticamente de país a país. 

En un esfuerzo por estandarizar la forma en que el mercado evalúa la seguridad de un proveedor de nube, la Cloud Security Alliance (CSA) y British Standards Institution (BSI) puso en marcha, en 2013, el programa de certificación Security Trust and Assurance Registry (STAR). A través del programa, los proveedores de servicios se someten a una evaluación por terceros de sus entornos de seguridad, dando a los clientes existentes y potenciales una mejor comprensión de qué tan robusta es su seguridad.

Los especialistas indican que las empresas serias son evaluadas continuamente en el cumplimiento de los estándares internacionales de seguridad. “Es posible solicitar los documentos de cumplimientos, e incluso estos son publicados abiertamente en los portales de cada compañía seria de nube. Si no es posible acceder públicamente a ellos, es probable que esté frente a un proveedor de servicios de nube de mala calidad y la recomendación es no seleccionarlo”, advierte López de In Motion.

Fabio Abatepaulo, director de servicios de consultoría de Unisys, señala que los mismos controles y pruebas de seguridad que deberían ser ejecutados por las empresas en sus centros de cómputo deben ser seguidos cuando se trabaja con un proveedor de nube pública. “Muchos proveedores dejan claros los límites de responsabilidad entre proveedor y empresa contratante acerca de los aspectos de seguridad, pero esto no exime que las empresas validen que los controles, tanto de su parte como de los proveedores, estén en regla”, afirma.

Pablo Dubois, Level 3 Communications.

Una de las formas de probar la seguridad, por ejemplo, es realizar pruebas de penetración a la nube, al igual que contar con servicios virtuales de seguridad. “La gran diferencia [en las pruebas de penetración] será que, de encontrar una potencial amenaza, se debe reportar al servicio de nube y esperar a que la corrijan, teniendo que –muy probablemente– asumir el riesgo durante el tiempo de esa ventana de corrección. Algunas infraestructuras de nube permiten montar también servicios virtuales de seguridad sobre esa misma infraestructura. Esto permitiría tener una línea de seguridad más, además de la del proveedor, que al menos el cliente podrá manejar, gestionar y ajustar según sus necesidades particulares”, sostiene Pablo Dubois, gerente regional de productos de seguridad de Level 3 Communications.

Samir El Rashidy,
Orange Business Services.

Para Samir El Rashidy, director de preventas y alianzas para América Latina de Orange Business Services, la clave está en buscar un socio tecnológico con experiencia en planificación, diseño, integración, operación y soporte de este tipo de servicios, que garantice la correcta accesibilidad y seguridad de los datos. “Sobre todo, al momento de la contratación deben confiar en ese proveedor. Por supuesto, la confianza se terminará de ganar y afianzar con el paso del tiempo; pero si el proveedor no logró disipar sus dudas y generarles confianza al momento de la contratación, quizás es mejor seguir buscando. Es importante comprobar la reputación del proveedor, ver con quiénes trabaja, quiénes son sus asociados y qué certificaciones tienen. En el caso de seguridad, tener ISO 27000 certifica que el proveedor tiene los más altos niveles de expertise. Asimismo, el proveedor debe comprender el negocio de su cliente y ofrecerle alternativas que les permitan cumplir su objetivo; y debe poder demostrar de qué forma protege los datos y someterse a auditorías. Los mejores partners tienen equipos expertos, capaces de ofrecer consultorías, asesoramiento y análisis detallados de las debilidades de sus clientes. Una vez verificado el proveedor, me atrevo a decir que la nube es el lugar más seguro donde almacenar los datos, ya que se invierte muchísimo dinero para garantizar la seguridad de la información allí almacenada”, enfatiza.

Evalúe a su proveedor de nube

Lucas Paus, de ESET Latinoamérica, recomienda hacer las siguientes preguntas al seleccionar un socio de nube:

  • ¿Tiene el proveedor auditorías de seguridad externas regularmente?
  • ¿Cuál es su política de actualizaciones y parches? Revíselas periódicamente.
  • ¿Tienen productos antimalware o de detección de intrusos escaneando sus máquinas?
  • ¿Qué tipos de autenticación están disponibles en su servicio?
  • ¿Qué tipos de controles están disponibles para el control de identidad y acceso en las cuentas de sus usuarios?
  • ¿Hay cifrado disponible para tráfico desde y hacia la nube, o en el almacenamiento?
  • ¿Cómo se protegerán los derechos de propiedad intelectual relacionados con los datos alojados en sus servidores?
  • ¿Tienen una política de respuesta a incidentes establecida? Conózcala.
  • ¿Tienen una política de divulgación responsable publicada?
  • ¿Tienen registro de eventos que pudiera permitir un análisis forense en caso de que se produzca un incidente de seguridad?
  • ¿Cuáles son sus políticas relacionadas con la movilidad y retención de datos?
  • ¿Qué opciones hay para borrado o destrucción segura de datos?
Este artículo se actualizó por última vez en octubre 2017

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close