Monterrey, Nuevo León.- En le marco del 4º. bSecure Conference en esta ciudad, Adrián Palma, director general de Integridata y consultor en seguridad informática, habló sobre uno de los temas más sensibles del Cloud Computing; la seguridad. De hecho, citó una encuesta de IDC (realizada en 2008) en la que74% de los respondientes dijeron que su mayor preocupación era la seguridad, seguido del desempeño y la disponibilidad.
Palma aclaró que el concepto de Cloud es un término evolutivo que describe el desarrollo de muchas tecnologías existentes y enfoques para convertir la computación en algo diferente. “El cómputo en la nube describe el uso de una serie de servicios, aplicaciones, información e infraestructura compuesta por infinidad de recursos de computación en Internet. Sus características esenciales: autoservicio “on demand”; amplio acceso a la red; reservas de recursos en común; rapidez y flexibilidad”, abundó el conferencista.
Dentro de los tres niveles que cubre el Cloud, Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) e Infrestructure-as-a-Service, Palma advirtió que entre más básico sea el servicio (IaaS) más la seguridad estará del lado del cliente. Al contrario, en SaaS el cliente no gestiona y controla la red de servidores, el sistema operativo, el almacenamiento, ni aplicaciones individuales, con la posible excepción de parámetros de configuración específicos de la aplicación para usuarios limitados.
En PaaS el cliente puede controlar algunas configuraciones del entorno del hosting de aplicaciones.
A continuación, Palma mencionó cinco razones para adoptar la nube:
Cinco razones para evitar la nube:
¿Qué preguntarle a un proveedor de cloud computing?
Cinco preguntas para usted mismo:
1.- ¿Están listas sus aplicaciones?
2.- ¿Dónde estarán sus datos?
3.- ¿Cómo serán protegidos sus datos?
4.- ¿Se verá afectado el servicio con mis clientes?
5.- ¿Cuál será su estrategia de salida?
Guía para la seguridad de Cloud de la Computing Security Alliance:
1.- Marco de la arquitectura de Cloud Computing
2.- Gobierno y gestión de riesgos de las empresas
3.- Cuestiones legales y eDiscovery
4.- Cumplimiento normativo y auditorías
5.- Gestión del ciclo de vida de la información
6.- Portabilidad e interoperabilidad
7.- Seguridad tradicional, continuidad del negocio y recuperación de catástrofes
8.- Operaciones del Centro de Datos
9.- Respuesta ante incidencias, notificación y remediación
10.- Seguridad de las aplicaciones
11.- Cifrado y gestión de claves
12.- Gestión de acceso e identidades
13.- Virtualización
Por último, Palma sugirió a los más de 200 asistentes a la cuarta edición del bSecure Conference que hay que “pensar dos veces lo que se puede poner en la nube, cuestionarse cuál será la visión de los auditores, cómo puede ser probada la privacidad, cómo no perder el control y qué pasa si el proveedor es comprado”.
Sus recomendaciones finales fueron:
No considerar siquiera utilizar la nube para información sensible.
Considerar el Cloud Computing igual a su site de datos
Considerar las implicaciones de regulaciones internacionales
Ascender en la nube con precaución
Demandar la transparencia del proveedor
Incluir a jurídico y auditoría
Hacer un análisis de riesgos
Apegarse a las políticas
Seguridad y legalidad en la nube
Joel Gómez, abogado especializado, afirmó: “El Cloud Computing llegó para quedarse. Y la mejor muestra de ello es que 80% de nosotros ya somos usuarios sin saberlo”.
Algunos de los aspectos legales que tocó Gómez con relación a la nube:
Aspectos contractuales de la seguridad en la nube
“La única manera de regular el Cloud Computing hoy es a través de contratos. No hay una ley”, dijo tajante el abogado. Debido a la falta de legislación aplicable, el conferencista habló de los aspectos a considerarse al elaborar un contrato. En el ámbito de la aplicación de procesamiento de datos, hay que contemplar qué tipo de datos pueden ser procesados y para qué propósitos, dijo Gómez.
En cuanto a subcontratantes, bajo qué condiciones el proveedor puede subcontratar partes del servicio de computación en la nube.
En el borrado de la información, prever que problemas se pueden derivar de los respaldos. ¿Qué pasa si se mueve el cliente a otro proveedor? ¿Qué tal si no destruyó la información como se le indicó al proveedor o, al contrario, como asegurarse de que existan los respaldos de información en caso de requerirlos?
Otro aspecto es considerar las consecuencias de la pérdida de información y los remedios legales, ¿cuáles serán las penas convencionales, daños y perjuicios?
Otras medidas a considerar en seguridad de la información:
¿Está encriptada? ¿Libre de virus/spyware?
¿Es segura la transferencia o solo el almacenamiento?
¿Plan de recuperación en caso de desastre? (DRP)
Segregación de información. ¿Están mis datos separados de los de otros clientes?
Riesgos en la privacidad
Para algunos tipos de información y ciertas categorías de usuarios de la nube, los derechos y obligaciones de privacidad y confidencialidad pueden cambiar cuando un usuario revela información a un proveedor de servicios de Cloud. Compartir información con un proveedor puede socavar privilegios probatorios legalmente.
“La información en la nube puede tener un efecto significativo en las protecciones de privacidad y confidencialidad de aquellos quienes procesan o almacenan la información. La información puede estar sujeta a las leyes del país donde el servidor físico está ubicado”, afirmó Gómez.
Por último, el abogado sentenció que es necesario que los proveedores de Cloud tengan mejores políticas y términos de contratación.
[Recuadro]
Otros tips importantes
Es tiempo de experimentar con servicios basados en nubes
Sea cauteloso con servicios que no sean de misión crítica o alto riesgo para evaluar el Cloud Computing
Comience a documentar modelos de administración y gobierno para el uso futuro de nubes
Evalúe a los proveedores en métodos tradicionales y no tradicionales
Adopte un modelo de madurez
SÍGUENOS
© 2010 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260