1

Las principales preocupaciones en torno a la seguridad del cloud computing

Se dice que a menudo los Directores de TI pasan por alto la seguridad de las nubes privadas y que se preocupan más por la seguridad de la nube. Pero esto puede ser un grave error.

Cuando hablamos de la seguridad de un conjunto de sistemas, solemos referirnos a las prácticas de administración implementadas para ellos de forma colectiva, no solo a tecnología, que por si sola es insuficiente. Cuando se considera un modelo de nube pública, privada o híbrida se tienen que medir aquellas prácticas que sirven para cada caso concreto, no solo una lista de estándares tecnológicos.

Se cree que las nubes públicas podrían ser más seguras que las nubes privadas porque, por definición, las nubes públicas tienen que aplicar un conjunto consistente de prácticas de seguridad.

Para saber qué estándares de nube necesita una organización, hay que preguntarse qué tipo de nube o combinación se busca. ¿Se trata de una simple virtualización, PaaS, SaaS u otra? Los estándares suelen estar escritos para satisfacer un tipo de nube y un solo caso empresarial. Los proveedores pueden estar certificados para una amplia gama de estándares, pero si no son adecuados para un uso concreto no son relevantes, no hay que dejarse cegar por una lista impresionante de certificaciones.

Saber Elegir….puede ser clave en su seguridad

Para elegir los productos cloud adecuados, una organización tiene que entender qué uso quiere hacer de ellos y también cómo quiere gestionar los servicios cloud una vez estén implementados.

Si se quiere un control administrativo hay que estar seguro de que esto será posible. Como por ejemplo, existe la solución Steelhead Cloud Accelerator, que ha sido desarrollada en colaboración con Riverbed. Lo interesante es que  combinan la mejor optimización de Internet pública de la empresa Akamai con la mejor optimización de red de área extensa (WAN) privada, y todo controlado mediante una caja Riverbed colocada en las instalaciones del cliente.

Las organizaciones tienen que verificar y entender las medidas de seguridad que ofrecen los proveedores cloud. No es recomendable pedir a un proveedor que desarrolle soluciones únicas para ser implantadas en una organización.

Un proveedor puede estar dispuesto a hacer algo para todos sus clientes pero no lo va a hacer solo para una organización aunque esté incluido en su contrato. Incluso si se implementa, probablemente no será sostenible a largo plazo, porque no forma parte de las prácticas principales ofrecidas a todos los clientes. Esto significa que puede convertirse en un punto débil en la seguridad.

Hay que obligar a los proveedores que nos faciliten sus estructuras de seguridad y control, no especificar lo que queremos. Elija la empresa que le ofrece lo que quiere como práctica estándar para todos los clientes.

Estas son las tres primeras amenazas para la seguridad de la nube de las que las organizaciones deberían preocuparse:

1. Denegación de servicio: A medida que las empresas trasladan un mayor número de sus operaciones al mundo online y dependen más de su sitio Web para interactuar con sus clientes, distribuir datos y realizar ingresos directos, se incrementa el impacto de una caída del sitio Web. En los últimos años, esto ha sido una de las primeras amenazas debido a tres factores principales: la proliferación de banda ancha de alta velocidad, la capacidad para creadores de malware de amasar muchos ordenadores en un BotNet, y el auge de actores caóticos que perturban los sitios para conseguir publicidad. Las capacidades de las herramientas de ataque y del volumen total del ancho de banda disponible para los atacantes significan que esto seguirá siendo una importante amenaza.

2. Fraude: Desde personas que desbaratan los contenidos de un sitio Web para establecer su propio escaparate ilegítimo hasta atacantes que utilizan un sitio de comercio electrónico como modo de robar tarjetas de crédito e intercambiarlas por productos, el fraude afecta a casi todas las empresas que hacen negocio en Internet. Aunque hay maneras de separar a los estafadores de los usuarios legítimos, suelen requerir un importante volumen de potencia de procesamiento que ralentiza la experiencia del usuario.

3. Robos de datos: Debido a que las empresas almacenan datos –desde la información de las tarjetas de crédito hasta los datos sobre la salud y la propiedad intelectual – en aplicaciones Web, los atacantes atacan ahora los sitios Web y la infraestructura subyacente.

Ahora…revise sus prioridades y chequee sus niveles de seguridad…no sea orgulloso, no se arrepentirá.