Es claro que para muchas empresas la seguridad de los servicios en la nube se convierte en un auténtico obstáculo para su adopción. De hecho, un reciente estudio realizado entre más de 300 directores de informática reveló que el 78% consideraba que la seguridad era la principal reticencia a la hora de adoptar tecnologías de nube y, en particular, de nube pública. El uso de la nube aumenta, principalmente por sus ventajas en elasticidad, escalabilidad y flexibilidad. Pero, ¿hay suficiente seguridad en la nube?
En este punto es fundamental recordar que muchas decisiones sobre seguridad implican realizar algún tipo de concesión. Estar seguro en la nube supone renunciar a una forma de control por otra. Los controles de seguridad tradicionales se basan en la ubicación: si se sabe dónde está algo y se puede reclamar su propiedad, entonces probablemente esté seguro. Si no se sabe dónde está y parece que un tercero es su propietario, entonces probablemente no esté seguro.
En la nube la seguridad basada en la ubicación como concepto desaparece, ya que no se puede identificar la ubicación exacta de los datos (edificio, sala, bastidor, unidad, dispositivo). Lo cual es positivo: hay alguien que administra los datos, alguien que probablemente cuenta con un presupuesto mayor y más recursos dedicados a protegerlos de ataques externos, de otros clientes, o incluso del propio proveedor.
¿Significa esto que para lograr los beneficios prometidos por el cloud computing la concesión ha de ser renunciar a toda seguridad? La respuesta es clara: no.
La concesión en este caso supone cambiar lo que entendemos por control. Abandonar el antiguo modelo de control basado en la ubicación y adoptar uno nuevo en su lugar. Un modelo creado a partir de acuerdos de nivel de servicio, estándares de seguridad auditables y tecnologías de protección de la privacidad e integridad (cifrado y firmas digitales). Se puede conservar el control (y la propiedad) de los datos aunque no se tenga el control (ni la propiedad) de la infraestructura.
De algún modo este modelo no es tan novedoso: ya lo usamos para la conectividad. Ahí donde las conexiones compartidas (Internet) han reemplazado a las conexiones dedicadas (líneas privadas), estamos confiando en este mismo modelo para mantener seguros nuestros datos que circulan. Y el modelo también se extiende al proceso y almacenamiento de los datos.
Existe además otro factor, al que denominaría desinterés ajeno: los proveedores de servicios de nube no conocen el contexto de los datos ni el valor que les damos, lo que puede reducir mucho las amenazas internas. Pero, ¿se preocupan además por su seguridad? Los proveedores de servicios en la nube saben que redunda en su propio interés establecer controles que impongan suficiente separación entre sus tareas administrativas y los datos de sus clientes. Controles que también hacen de la nube una plataforma de difícil acceso para quienes buscan robar datos o lanzar ataques.
Los proveedores también tratan de conseguir economías de escala construyendo de la manera más automatizada posible: menor intervención humana significa menos oportunidades de cometer errores, lo que implica menos riesgos.
La pregunta correcta no es entonces "¿Cuánta seguridad?", sino "¿Cuánto riesgo?". Las decisiones en materia de seguridad que se toman a partir de una óptima evaluación del riesgo permiten obtener el equilibrio adecuado, realizando las concesiones justas. Es interesante verificar con el proveedor sus estrategias de gestión de riesgos. Los mejores estarán encantados de compartirlas, porque saben que es la forma de ganar la confianza de los clientes. Es probable que hayan previsto y eliminado riesgos en los que los demás ni siquiera habíamos pensado.
El cloud computing resuelve muchos problemas de manera eficaz. Y está madurando: en comparación con hace solo un par de años, hay más ofertas y más flexibles, ofertas de compañías conocidas y de confianza. Si la seguridad en la nube es lo suficientemente buena como para que crezca la adopción de sus servicios por parte de algunos, entonces es posible que también sea lo suficientemente buena para el resto.
No hay comentarios:
Publicar un comentario