1

Cloud Computing: Las prácticas de encriptación varían ampliamente en el mundo

Seguridad_CloudAUn estudio del Ponemon Institute ha descubierto que más de la mitad transfieren datos confidenciales o sensibles a la nube, a la vez que toman diferentes enfoques para cifrar o encriptar esos datos.

En el informe, en el que se ha estudiado a 4205 directivos de TI y de negocio de todo el mundo, el 31% dijo que esperaban transferir datos sensibles a la nube dentro de los próximos 24 meses, mientras un 16% dijo que no.

No obstante, sólo el 35% de los encuestados en Estados Unidos indicaron que conocían que pasos estaba dando el suministrador de la nube para proteger esos datos sensibles, respuesta no muy diferente de la de otras partes del mundo, incluyendo Reino Unido, Francia, Australia, Japón y Brasil. Un 57% expresaron confianza en que “los suministradores de la nube en mi organización tienen la capacidad necesaria para salvaguardar los datos sensibles o confidenciales en la nube”.

¿Cómo va a complicar la nube, la virtualización y las SDN la seguridad en el futuro?

Patrocinado por Thales, el estudio mostró que el encriptación de datos sensibles y confidenciales se hace a menudo antes de enviar los datos o en el proceso de transferencia, o bien el suministrador de la nube los encripta una vez que están almacenados en la nube.

El 37% de los encuestados dijeron que su propia organización daba los pasos para encriptar los datos cuando se transfieren a o desde la nube por la red. El 31% dijeron que encriptaban los datos antes de transferirlos a la nube, y un 11% de las organizaciones gestionaban el proceso de encriptación ellos mismos dentro del entorno de la nube. El 10% restante contestaron “ninguna de las anteriores” o “no aplicable”. El informe destaca que las diferentes opciones de gestión de encriptación en el entorno de la nube, eran relativamente uniformes para los tres tipos de servicios, SaaS, IaaS y PaaS.

La gestión de las claves de cifrado utilizadas para asegurar los datos en la nube era otra de las preguntas del estudio. Un 29% dijeron que su propia organización gestiona las claves de cifrado cuando se encriptan los datos en la nube, un 26% dijo que era una “combinación” de ambos, un 23% dijo que era el suministrador de la nube solamente y un 21% que era un servicio de un tercero (no el suministrador de la nube).

En los entornos IaaS es la organización interna de TI la que más probablemente gestione las claves de encriptación, mientras que en un entorno SaaS es más probable que sea una combinación de la organización y el suministrador la que gestione las claves.

En una pregunta sobre la importancia relativa del protocolo de cifrado conocido como Key Management Interoperability Protocol, un 27% lo definió como “importante” o “muy importante”, mientras que un 33% dijo que KMIP sería muy importante es su estrategia de cifrado en los próximos 12 meses. Las áreas nombradas como más importantes estaban las aplicaciones y el almacenamiento basados en la nube, sistemas de almacenamiento, infraestructura de aplicaciones e infraestructura de red, mientras que era visto como menos importante para aplicaciones remotas y dispositivos de usuario final.

Ellen Messmer, CIO