Un informe de Wikibon, una empresa de analistas, dice que la seguridad se ha mantenido estable como el principal impedimento para la adopción del servicio cloud público. Esto es un desafío al que me enfrento constantemente en mi función como el CEO de la división de Cloud de Liferay, donde dedico gran parte de mi tiempo a las auditorías necesarias para que Liferay DXP Cloud apruebe en los certificados de seguridad y hablando con analistas sobre este tema. Lo que he descubierto es que, si bien cada organización tiene sus propios matices, queda claro hacia dónde va el mercado. Para simplificar, he dividido sus requisitos en cuatro puntos clave (algo arbitrarios): manejo de datos, mecanismos, tranquilidad y presentación de informes.

Manejo de datos

Mientras que algunas organizaciones siguen almacenando sus datos más sensibles on premise, esto no quiere decir que los datos almacenados en la nube no sean sensibles, tampoco le da a los proveedores del cloud la excusa para disminuir su responsabilidad con la seguridad. De hecho, muchas empresas demandan con razón que sus datos que están almacenados en la nube sean encriptados (especialmente cuando se trata de un entorno en la nube pública) con almacenamiento de claves criptográficas en un servidor independiente o local. El proveedor de soluciones cloud debe también tener políticas sólidas con respecto a los estándares de gestión, retención, migración, eliminación y comunicación de datos. Además, los procesos adecuados con respecto a la formación y contratación interna y externa de los empleados, aunque no siempre son lo más importante para los proveedores de servicios de nube que tienen en cuenta la seguridad, también son fundamentales para asegurar una buena gobernanza.

Mecanismos

El acceso basado en roles es una pieza clave de cualquier sistema de seguridad y en el caso de la nube esto no es una excepción. Los administradores necesitan un sistema que les permita asignar permisos a los empleados según su rol con reglas claras sobre quién tiene acceso a qué información, quién puede hacer ediciones, etc. Esto muchas veces incluye una integración con Microsoft Active Directory y LDAP para soportar la autenticación y autorización de todos los usuarios y dispositivos dentro de una red. Muchas empresas también exigen soporte para herramientas de SSO (Single Sign-On) como OpenID,Open Authorization (OAuth), SAML, Shibboleth y servidores SSO.

Tranquilidad

Quizás el componente fundamental para ofrecer tranquilidad a tus clientes es asegurar un tiempo de actividad casi continuo para las aplicaciones de misión crítica. Hoy en día, la mayoría de los SLA (acuerdos de nivel de servicio) de las empresas especifican un mínimo de 99,5% de tiempo de actividad garantizado por múltiples capas de redundancia en centros de datos distribuidos por todo el mundo. Esto incluye provisiones de copias de seguridad y recuperación en caso de que ocurran desastres imprevistos, o situaciones en las que la demanda aumenta drásticamente debido a factores como campañas de marketing de temporada o el despliegue de una nueva aplicación. El sistema debe ser capaz de adaptarse para tener en cuenta aumentos de tráfico al ampliar y evitar el colapso de los canales digitales.

Informes

Las empresas insistirán no solo en los controles de acceso sino también en los registros precisos con información detallada sobre quién accedió a qué sistemas y cuándo, además de alertas automáticas en caso de que sea detectado comportamiento anormal o si los sistemas se ven comprometidos. En la práctica, esto significa que los proveedores del cloud deberán estar preparados para ofrecer información sobre el tiempo de sesión del usuario (particularmente por administrador o otras cuentas privilegiadas) y sobre el uso de CPU y memoria a lo largo del tiempo, entre otras mediciones.

En Resumen

Los sistemas cloud se han convertido en uno de los principales motores de crecimiento para las empresas, particularmente en la aceleración del tiempo de desarrollo y del time-to-market de las aplicaciones empresariales. Si bien esto es claramente un punto positivo, este cambio también implica que una mayor cantidad de datos sensibles está dejando de ser almacenada on premise para ir al entorno cloud y las empresas deben evaluar cuidadosamente los riesgos que esto conlleva, para que no terminen en medio de la legión de empresas afectadas por las recientes violaciones de seguridad. En particular, la compañías deben conocer qué certificaciones de seguridad tienen sus proveedores cloud, qué procesos tienen en marcha para asegurar que los datos de la organización estén seguros, sus políticas respecto a la contratación interna o externa de sus empleados y la granularidad de métricas que ofrecen a sus clientes.

 

¡No dejes que nada de esto te asuste! La nube es un lugar maravilloso y que aporta mucho valor comercial, sin embargo, así como cualquier otra compra, le debes a tu organización y a tus clientes la responsabilidad de entrar con una comprensión clara del entorno de riesgo.

Descubre más sobre los beneficios de las implementaciones en la nube

La mayoría de las empresas entienden que la nube ofrece beneficios significativos como el aumento de la eficiencia en la gestión de los recursos de TI y un time-to-market más rápido. Sin embargo, la tecnología cloud brinda las empresas digitales con todavía más beneficios.

¡Lee el whitepaper y descubre más!  
Comentarios