Explican expertos implicaciones de seguridad de la nube
Email |
¿Desea imprimir?
Regístrese ahora
Expertos consideraron que antes de considerar los atributos tecnológicos del cómputo sobre la nube, deben tomarse en cuenta aspectos como la privacidad y la confidencialidad de la información, así como los contractuales a los que el proveedor y la empresa se obligarán.
En el marco del Séptimo bSecure Conference organizado por Netmedia, Adrián Palma, director general Integridata, dijo a los asistentes que las organizaciones deben responder a preguntas tales como qué realmente pueden subir a la nube, si los auditores requerirán mayor especialización y alcance en las auditorias, cómo puede ser probada la privacidad en el cumplimiento normativo, cómo se mantendrá el control de la información y de los niveles de servicio, así como preguntarse qué pasaría si el proveedor fuera adquirido por otra compañía.
Asimismo recomendó considerar si se utilizará la nube para información sensitiva y que, de hecho, habría que asumir la seguridad del cómputo en la nube tal como ya lo hacen con su centro de datos.
“Deben preguntarse si están listos. ¿Están listas las aplicaciones?, ¿ya definió dónde estarán los datos, cómo serán protegidos, si se verá afectado el servicio con sus clientes y cuál será su estrategia de salida si no funciona, para que sea lo menos dolorosa para ambas partes”, dijo.
Por su parte, el abogado especialista en derecho informático Joel Gómez reconoció que el cómputo en la nube es un tema que genera muchas expectativas, mucha discusión y también incertidumbre, debido a que actualmente no hay leyes ni tratados internacionales que regulen el cómputo en la nube, por lo que hasta ahora el único instrumento es un contrato entre las partes, adviritió.
“La ley se mueve más lento que la tecnología. La aplicación de viejas leyes a nuevas tecnologías genera incertidumbre. Por el momento, los contratos son la respuesta a los vacíos legales. La idea es que sean justos (los contratos), que no sean unilateralmente redactados, que sean negociados con los usuarios. No se vale hacer un contrato para todos sus clientes porque todos son diferentes”, afirmó.
El especialista en derecho informático ejemplificó los riesgos de contratos unilaterales desventajosos para el cliente con los contratos de las empresas de almacenamiento físico de archivos en méxico, las cuales solo se comprometen a devolver el valor del papel resguardado en caso de pérdida.
Algunos aspectos legales del cómputo en la nube descritos por Gómez son la creación de monopolios y oligopolios que llevarían a elaborar contratos unilaterales y poco ventajosos para los clientes, la confidencialidad de la seguridad de la información, los riesgos de la privacidad de la información, así como el uso de información en la nube para litigar investigaciones gubernamentales.
En el aspecto contractual, opinó el abogado, la organización que desea contratar cómputo en la nube debe saber si su información residirá en un solo servidor o si estará viviendo en distintas partes de la nube de forma dinámica.
Gómez aconsejó que si la orgazación decidiera eliminar su información almacenada en la nube, el cliente debería especificar en el contrato que, si lo requiere, el proveedor también la eliminará.
” Además el cliente debe saber en qué países podría residir su información, sobre todo por cuestiones legales. Además, es necesario pactar lo relativo a las auditorias para que el cliente pueda verificar que el proveedor de cómputo en la nube está cumpliendo con lo pactado en el contrato, incluyendo niveles de servicio, si se encuentra especificado”, abundó.
Aspectos de seguridad que deben tomarse en cuenta antes de subir a la nube
Adrián Palma llamó la atención de los asistentes al indicar que la principal preocupación de los usuarios empresariales cuando piensan en cómputo en la nube es en dónde vivirán los datos, si lo manejará un tercero, si ofrecerá seguridad y cumplimiento a normativas, cómo se manejarán los privilegios de acceso, la disponibilidad de los datos, la viabilidad del proveedor como atributos de servicio y prácticas de seguridad, así como si le garantiza reducir el riesgo.
De acuerdo con IDC, la mayor preocupación de las organizaciones en el tema es la seguridad, seguida del desempeño de sus aplicaciones desde la nube.
Joel Gómez sugirió a los asistentes que al acercarse a un proveedor de cloud computing indage sobre qué medidas de seguridad tiene, si se encripta la información, si su infraestructura está libre de malware como el spyware y si es segura la transferencia de la información, por ejemplo.
Las empresas deberán definir qué información es confidencial y cuál no, cuál debe cumplir con normas de privacidad y cuál no, coincidieron los expertos.
“Los riesgos en materia de privacidad varían significativamente de un proveedor a otro, cada uno define una política de privacidad que puede tener diversas aristas. Cada industria, de hecho, enfatiza los activos de información de manera distinta”, señaló Gómez
La misma ley en México define qué información es confidencial o de cuál debe guardarse su privacidad para evitar problemas legales.
La ley de Propiedad Industrial en México dice a la letra en su artículo 82 que “el secreto industrial es toda información de aplicación industrial o comercial que guarde una persona física o moral con caracter de confidencial que le signifique obtener o mantener una ventaja competitiva o económica frente a terceros en la realización de actividades económicas y respecto de la cual haya adoptado los medios o sistemas suficientes para preservar su confidencialidad y el acceso restringido a la misma.”
Razones a favor y encontra de la nube
Inicio rápido, escalabilidad, agilidad del negocio, desarrollo más rápido del producto, no hay gastos adicionales como mantenimiento o actualizaciones.
Por qué no. Ancho de banda puede estropear el presupuesto. El desempeño de la aplicación puede deteriorarse, si los datos no cumplen o satisfacen los requerimientos de seguridad en la nube, demasiado grande para escalar.
Retos de seguridad.
1. Triángulo CIA
2. Guías y normativas a ser adoptadas.
3. Procedimientos que se emplearán para poder migrar hacia la nube.
4. Privacidad.
5. Debe tenerse un plan de recuperación de desastres.
Artículos relacionados
- Cómputo en la nube está muerto sin seguridad
- Operará en la nube 80% de la seguridad IT en 2010
- Temen 50% de las empresas adoptar Cloud Computing por riesgos en seguridad
- Cisco se equipará con soluciones de seguridad Web
- McAfee refuerza oferta de cómputo en la nube
