La seguridad en la nube: una realidad tangible

98
Federico González, gerente regional de Sector Financiero para VMware.
Federico González, gerente regional de Sector Financiero para VMware.
Federico González, gerente regional de Sector Financiero para VMware.

Federico González, gerente regional de Sector Financiero en VMware emitió una misiva donde opina sobre la actualidad y el futuro de Cloud. Adicionalmente, elaboró una guía de tres puntos con consejos para crear un entorno seguro.

«Hoy en día, las ventajas de la computación en la nube son claras para los CIO’s y los ejecutivos responsables de los departamentos de tecnología de la información (TI). La reducción de los costos de hardware, una mayor agilidad de la TI y el cumplimiento normativo de alto nivel, son algunas de las muchas ventajas que ofrece la nube. Por eso, según la consultora IDC en un estudio realizado para la compañía de antivirus Symantec en 2013, 44% de las empresas latinoamericanas ya están o consideran estar muy pronto en la nube.

CompTIA, una asociación sin fines de lucro, portavoz de la industria de TI y comunicaciones, en su reporte 2013 de las tendencias de computación en la nube señala que más de la mitad de las 400 firmas estadounidenses de TI participantes citan a la seguridad como su mayor preocupación para su transición hacia la nube. La realidad es, que con los controles y soluciones adecuados la nube es tan segura como una instalación física.

¿Existe una nube segura?

La nube es simplemente una extensión de la infraestructura existente, que puede o no ser vulnerable. La seguridad en la nube se basa en una combinación de políticas, tecnologías y controles desplegados para proteger datos, aplicaciones y la infraestructura de computación. Hay prácticas de seguridad muy efectivas que deben ser configuradas en la nube: verificación, control de acceso, auditoría, privacidad, integridad, confidencialidad y cumplimiento normativo. Los controles para poner en marcha estas prácticas se pueden incorporar en el nivel virtual para que funcionen de forma automática y se asegure el cumplimiento de las políticas.

Otro factor importante es la selección de un proveedor de servicios (CSP) que pueda satisfacer sus requisitos de seguridad en nubes públicas y privadas. Es muy importante el uso de códigos de protección comunes y verificar que la seguridad sea transparente y auditable. Además, debe haber una definición clara de las necesidades de negocio y el establecimiento de acuerdos de nivel de servicio (SLA, por sus siglas en inglés) con el nivel de protección correcto.

Ciertos requisitos de cumplimiento normativo especifican parámetros que deben ser identificados en el SLA. Por ejemplo, en dónde reside la información, el personal, las certificaciones de dicho personal, el acceso a las instalaciones, la habilidad para auditar las facilidades y la frecuencia, el plan de recuperación de desastres, los esquemas de codificación de datos, etc.

Juan José Gutiérrez, director de programa ejecutivo de la consultora Gartner, sugiere la participación de un equipo de computación en la nube formado por representantes legales y de recursos humanos, para asegurar el cumplimiento de las exigencias regulatorias nacionales, laborales y de la industria.

¿Cómo crear una nube segura?

Desde el punto de vista de TI, la estructura virtual tiene que proveer control y visibilidad. Para adoptar la computación de nube sin poner en riesgo la seguridad de la empresa, se deben tener en cuenta los siguientes factores:

1) Los datos deben de estar segmentados según el cumplimiento normativo de la información para que las políticas sigan las cargas de trabajo, a medida que viajan por la nube.

2) La protección debe estar incorporada y automatizada dentro de la infraestructura virtual para que la seguridad se mantenga siempre dinámica, ya que es aplicada por la misma nube.

3) La seguridad debe ser basada en riesgos potenciales y lo suficientemente flexible para lograr anticipar y reaccionar, a medida que las amenazas evolucionan.

Es indispensable que el proceso comience con la definición de un marco de control , riesgo y cumplimiento normativo. Es esencial entender el control operativo cotidiano y la medición de riesgos. Una vez definido el nivel de riesgo, se requiere de políticas de identificación y monitoreo de los mismos, asignar las prioridades y establecer un plan que asegure el cumplimiento de las leyes.

Resumiendo. Para una transición segura a la nube, es necesaria una plataforma que sea flexible, que ofrezca un marco de políticas de seguridad integral que brinde protección a los anfitriones, las redes, VM, las aplicaciones y por supuesto, los datos. Es también muy importante que permita aislar las aplicaciones con diferentes niveles de confianza, poner en cuarentena las aplicaciones sospechosas y proteger la información.

Por último, mantener un cumplimiento normativo constante y acelerar la solución de problemas. De esta forma, se podrán aprovechar todas las ventajas de la computación en la nube. En pocas palabras, los recursos funcionan bien si se planean y se ejecutan de un modo altamente profesional».

Autor