Red de información TI para profesionales ITMedia NetWork

lunes, 30 de enero de 2023
Actualizado a las 3:14


Búsqueda avanzada

Publicidad

Publicidad

Análisis

La seguridad de la nube no ha de ser una obsesión para los CIOs: Sin bajar la guardia, deben confiar en sus proveedores de cloud

19 Octubre 2011

Aunque se multiplican informes y opiniones sobre las debilidades del cloud en materia de seguridad, hay cada vez más analistas, como el vicepresidente de Gartner Neil MacDonald, que defienden que los riesgos no son tantos, que la seguridad en la nube no debe obsesionar a los CIOs y que, ni mucho menos, ésta haya de ser la principal preocupación: como en otras áreas de las TIC, hay que elegir bien nuestros proveedores y confiar en ellos.

Surgen al fin voces tranquilizadoras, que contrastan con otras, incluidos alarmantes estudios y encuestas que, muchas veces más por prevención que por riesgo real, sitúan a las inseguridades de la nube como principal problemática a tener en cuenta a la hora de decidir infraestructuras o aplicaciones cloud

Entre ellas podemos citar la que ha realizado la asociación CompTIA entre profesionales y empresas del sector TI, porque entre sus conclusiones está el que para un 65% de los encuestados, la seguridad es el área del cloud que más atención y claridad precisa.

Ante estos argumentos, Neil MacDonald recomienda tranquilidad, control y confianza y respalda esto en que los suministradores de servicios cloud tienen un enfoque muy diferente de la seguridad hasta el punto de que sea cual sea la solución de protección tradicional que se considere, en la nube es o puede ser mejor y más eficaz.

Entre las razones que subraya MacDonald están el que las grandes marcas del cloud, como Google, IBM, HP, Microsoft, Amazon o Salesforce, consideran que las máquinas van a fallar en algún momento por lo que cuidan mucho que no se interrumpa el servicio: el lograr un suministro permanente e independiente del fallo de alguno de los elementos individuales que constituyen la infraestructura o la plataforma.

Un cambio importante de mentalidad respecto a las actuales buenas prácticas en las que las operaciones y, con ellas, la seguridad TI, no pueden fallar, ni tener brechas o vulnerabilidades: la seguridad tiene que estar dentro del entorno y no ser algo que se añade.

En todo tipo de sistemas y dispositivos, desde servidores y mainframes centralizados a infraestructuras distribuidas, redes, sistemas personales, y mucho más los móviles, la seguridad puede decirse que es un ingrediente del último momento: cuando todo está diseñado o desplegado, se empieza a pensar en las amenazas y en proteger y securizar.

En este sentido, hay que reconocer que la mayoría de los problemas, también en el caso de las vulnerabilidades y brechas de seguridad, se deben a errores humanos. Sin embargo, la automatización elimina cualquier posibilidad de este tipo de fallos siempre que se proporcione libertad a los profesionales y expertos en seguridad a establecer las correspondientes políticas con la más alta prioridad.

De hecho, son los responsables de seguridad los que asumen mayores compromisos para cumplir los objetivos, muchos más que otros suministradores. Por otra parte, basta con echar un rápido vistazo a un contrato de licencia para hacerse una idea de cómo se incrementan esas responsabilidades: desde el instale bajo su responsabilidad y si hay algún problema nos llama, a los SLAs, o contratos de nivel de servicio, que garantizan un 99,99% de disponibilidad y, en caso de que tengamos la mala suerte de que nos toque ese 0,01%, un 20% de descuento o indemnización.

Hay que destacar también que ese enfoque obliga a los usuarios a pensar en los resultados y reconocer que una cosa es el control y otra, bien distinta, la seguridad, al tiempo que recomiendan acabar con los silos de las TI, las redes, los puestos, el almacenamiento, los servidores: todo puede organizarse en torno a la seguridad, manteniendo todas las capacidades de cada una de las áreas y mejorando el comportamiento del conjunto.

Tampoco hay que olvidar que los proveedores de servicios en la nube, subraya el vicepresidente de Gartner, seguro que dedica mucho más personal de seguridad y sistemas de control de acceso al data center que cualquier empresa, por muy grande y avanzada que sea.

Finalmente, las empresas del mundo cloud adoptan con entusiasmo el cambio de modelo y paradigma, mientras que la mayoría del personal de TI, directivos incluidos, lo odian y más si bien en forma de parches o actualizaciones. Para las compañías cloud el cambio es su razón de ser y la seguridad forma parte de su oferta, es un servicio más.

Porque, al fin y al cabo, aunque hablemos de capacidad de proceso, almacenamiento, networking o aplicaciones, el cloud no es otra cosa que un conjunto de servicios que se contratan y consumen bajo demanda y se pagan en función de su uso.

La selección del proveedor cloud

Es evidente que la elección del proveedor es lo verdaderamente crítico porque no todos son HP, IBM o Google ni sus centros de datos van a estar en un bunker inexpugnable en algún lugar sobre el arcoíris.

Es muy importante elaborar pliegos de condiciones, valorar propuestas, preguntarlo todo y, como dice MacDonald, no solo comprobar hasta qué punto está protegido el centro de datos, también como está segmentado y compartido por el resto de los clientes, quién tiene acceso y, en definitiva, quién va a ser su gestor TI en la nube.

Porque gran parte de la innovación de las TIC actuales va a estar directamente relacionada y dirigida al cloud y allí va a estar también nuestra información. Conviene tener todas las respuestas y, entre ellas, tener un gestor conocido de nuestro cloud y, también, aunque seguramente no nos lo dirán, saber dónde estarán nuestros datos y programas, dónde se encuentra ese lugar sobre el arcoíris.

ShareThis

Publicidad

Publicidad

Publicidad

Opinión

Brian Foster, vicepresidente de Gestión de Productos de MobileIron

Códigos QR: Una furtiva amenaza a la seguridad

La proliferación de códigos QR, como ‘atajo’ cómodo y sencillo para acceder desde el móvil a informaciones, funciones o webs ha despertado el interés de los ciberdelincuentes convertidos en vía sencilla de difundir malware. Brian Foster, vicepresidente de Gestión de Productos de MobileIron, analiza el fenómeno y señala aspecto a tener en cuenta para protegerse de versiones maliciosas de los códigos QR

Soluciones

Seresco participa en el proyecto CIP - Olive para el cultivo eficiente de olivares en Egipto

Seresco participa, junto a empresas españolas y de Egipto, en el proyecto CIP - Olive de agricultura de precisión, financiado por el CDTI y el ITIDA egipcio, que contempla el desarrollo de un sistema integrado de IoT basado en la nube y que permitirá controlar los principales problemas que se presentan en los olivares, como son plagas e infecciones

techWEEK info

TechWEEK forma parte de la red de información TI para profesionales de IDG Communications.


Sitios especializados de ITMedia NetWork: IT CIO.es, IT PYMES.es, IT SEGURIDAD.es, Strategic Partner, NUEVAempresa.com.

ITMedia NetWork. © 2006 - 2023 Information Technology & Media S.A. (CIF A-84950211). Todos los derechos reservados.

Envío de artículos por email de techWEEK.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de techWEEK.es

Procesando envíos...

Envío de artículos por email de techWEEK.es

Email enviado. Cerrar

Envío de artículos por email de techWEEK.es

Error en el envio. Pulse aqui para cerrar.Cerrar