inicio
Regístrate al boletín      Twitter Facebook Linkedin RSS
Mapa del sitio
28/09/2016
Unisys, AEC
Unisys, AEC
23/09/2015
Debido a que la mayoría de soluciones en la nube opera como un servicio, los directores de tecnología creen que pueden perder el control sobre sus activos críticos de IT.

 Fuente;  orlandogomez.co

La nube se convirtió en el nuevo paradigma de computación en las empresas. Sus beneficios son tan variados que saltan a la vista y hacen sonreir a los IT managers que los disfrutan; eso incluye recortes dramáticos en costos, alta disponibilidad, mayor velocidad al implementar aplicaciones y mejores índices de calidad del servicio. Y aunque la virtualización y el fenómeno cloud pueden ayudar a romper los enlaces físicos entre las infraestructuras y los usuarios finales, las amenazas de seguridad son un riesgo latente que debe evaluarse todos los días.

 

Surgen entonces dudas razonables sobre si es conveniente confiar en el modelo de seguridad del proveedor, ya que en un entorno virtualizado el control sobre la seguridad física se pierde y queda en manos de un tercero, que además comparte los recursos informáticos con otras empresas que contratan los mismos servicios.

 

Es así como la gestión de información confidencial y recursos críticos de TI plantea serias preocupaciones acerca de la vulnerabilidad debido a la naturaleza intrínseca de la computación en la nube, en la cual el almacenamiento suele residir en entornos virtuales externos potencialmente hostiles que pueden dar lugar a riesgos por robo, fraude y actividades maliciosas.

 

La nube, preocupación creciente

La falta de visibilidad sobre quién está accediendo a los datos corporativos en un entorno cloud es una preocupación creciente de los directores de tecnología, quienes se preguntan todos los días ¿Quién tiene acceso a mis datos confidenciales?

 

“Cuando una organización afronta el reto de adoptar modelos de operación en la nube la principal duda -e incluso la principal barrera- es la seguridad”, explica Wolfgang Castillo, experto de seguridad de Unisys Colombia. “El hecho de que los datos viajen por Internet, se alojen en centros de cómputo con ubicación física desconocida -en la cual existe incluso la posibilidad de que su competencia y otras organizaciones estén usando este mismo servicio- pudiendo tener acceso a información corporativa, genera alarmas y pánico al usar servicios en la nube.”

 

¿Quién tiene acceso a mis datos confidenciales?

 

Por ello, se hace necesario validar la estructura de prestación del servicio del proveedor de cloud para solicitar altos niveles de seguridad, ya que la simple encriptación del navegador no sirve del todo y las soluciones basadas solo en dispositivos del tipo firewall pueden no ser suficientes.

 

“En el mercado existen soluciones que permiten manejar niveles de encriptación mucho más seguros que incluso gestionan componentes para crear grupos de trabajo”, prosigue el ejecutivo de Unisys. “Un ejemplo es el nivel de seguridad que provee Amazon Web Services, el cual es apropiado para servicios que requieren estructuras complejas de confidencialidad.”

 

Como el almacenamiento en la nube también representa un riesgo potencial, Germán Patiño, gerente de desarrollo de negocios para la región Andina de Easy Solutions, advierte que “las empresas deben implementar autenticación de doble factor, ya que esta es la forma más rápida y más efectiva de protegerlas para evitar el acceso a personas no autorizadas que puedan cometer ataques de phishing, robo de cuentas y robo de información.”

 

BYOD es vulnerable

Otro desafío es la gestión de acceso a aplicaciones cloud desde dispositivos móviles aprovisionados por los empleados (BYOD), que deben estar bajo las políticas de seguridad corporativas.

 

Es en este punto donde las empresas deben encontrar un balance correcto entre la seguridad y la facilidad de uso, y “debido a que los usuarios finales son muy rápidos en abandonar aplicaciones difíciles de usar o que requieren demasiados pasos, se hace imprescindible implementar tecnologías transparentes que se integren fácilmente a las aplicaciones mediante características nativas del dispositivo móvil”, según recomienda Germán Patiño. “Las mejores soluciones que permiten este equilibrio entre seguridad y facilidad de uso son la autenticación combinada con biométricos y tecnologías push.”

 

Al establecer un esquema como este, las empresas pueden elaborar un mapa de comportamiento por usuario para identificar transacciones o acciones sospechosas: “Las mismas medidas de seguridad que se implementan en los computadores de escritorio y portátiles deben ser desplegadas en dispositivos móviles”, recalca el ejecutivo.

 

Gobernabilidad, riesgo y cumplimiento

Ahora bien, de nada sirve la seguridad del proveedor cloud si los hackers pueden obtener credenciales de acceso para entrar por la puerta principal y hacer de las suyas. Por ello, es conveniente que los IT managers “adquieran un profundo conocimiento de la legislación local y las regulaciones exigidas por entes de control para cada sector de la economía”, asegura Juan Nieves, experto de seguridad de Trend Micro. “Por ejemplo, la Ley 1273 de 2009 sobre delitos informáticos, la 527 de 1999 sobre mensajes de datos, comercio electrónico y firmas digitales y las regulaciones sobre Habeas Data, entre otras.”

 

Regulaciones internacionales tales como la Ley Sarbanes & Oxley y los estándares PCI DSS, ISO27001, ISO31000, ISO22301, Cobit e ITIL –que plantean buenas prácticas de seguridad- debe estar igualmente en la lista de chequeo periódico de todo director de tecnología.

 

Como es muy posible que los servicios en la nube se conviertan en una amenaza latente para los negocios, Juan Nieves aconseja que debe implementarse una ‘estrategia orientada al tratamiento del riesgo’, de forma tal que “la organización identifique cuál es el nivel de exposición que su negocio posee y se realicen los planteamientos de gobernabilidad a nivel de lineamientos claros y específicos desde la propia junta directiva con base en el cumplimiento de las normativas involucradas para cada operación en particular e implementen los controles necesarios que les permita hacer un tratamiento del riesgo de manera oportuna”.

 

Los beneficios en costos, flexibilidad y agilidad de los procesos que brindan las tecnologías y servicios en la nube seguirán impulsando a las empresas a migrar su infraestructura, aplicaciones y servicios críticos hacia entornos cada vez más virtualizados. Mientras esto sucede, los riesgos de seguridad siguen aumentando y los directores de tecnología enfrentan el desafío de obtener servicios cloud más robustos, con capacidades de gestión flexibles y rentables que aseguren una ventaja competitiva, cumpliendo con regulaciones cada vez más exigentes.
 




2016
Todos los derechos reservados

SPC