Debaten sobre seguridad en la nube

IBM, McAfee, Salesforce.com, Symantec y Trend Micro. Expertos en cloud computing y seguridad discuten sobre los riesgos y mejores prácticasAlejandro González El crecimiento del uso del cloud computing en las empresas ha hecho que muchas de ellas se cuestionen si es una forma segura de almacenar la información que tiene que ver directamente con sus negocios.Expertos en seguridad y proveedores de servicios en cloud computing platicaron con Interfase sobre qué tan seguro es para las compañías guardar su información en la nube.Gerardo Kató, gerente de estrategia cloud computing en IBM México; Marco de la Garza, ingeniero de ventas de McAfee para Latinoamérica; Enrique Perezyera, presidente de Salesforce para Latinoamérica y El Caribe; Leonardo Castro, director general de Trend Micro México, y expertos de Symantec coincidieron en que tener información en la nube podría ser tan seguro como tenerla en un centro de datos, si se tienen buenas prácticas. 1 ¿Cómo se garantiza la seguridad de mi información cuando se trabaja en un ambiente de nube?· IBM: La información en la nube está garantizada por los mismos mecanismos que usamos hoy día en el mundo de internet. Firewalls, segmentación lógica de particiones, encriptación, VPNs.· McAfee: Hoy por hoy la seguridad es local, es decir, el cliente tiene que confiar en que el proveedor tenga algún tipo de seguridad en su ambiente. Este tipo de propuesta permitirá brindar seguridad no sólo a la infraestructura, sino que además ayudar a asegurar el tráfico de los usuarios hacia los servicios.· Salesforce: La seguridad comienza desde el momento que transmites la información en el browser que viaja encriptada. Cuando llega a los centros de datos, se guarda encriptada, de tal manera que ni nosotros como proveedor la podemos ver.· Symantec: Hoy en día, tal como sucede en un ambiente tradicional, es fundamental contar con un esquema de seguridad completo que considere una protección integral, el monitoreo, control e inclusive un plan de recuperación de desastres.· Trend Micro: Mediante herramientas o servicios específicos que ofrezca el proveedor. Sin embargo, es muy común en los clientes una sensación de que las herramientas que protegen su información en ambientes físicos cumplirán con ese mismo propósito en ambientes virtualizados y en la nube. Esto no es así. Se presentan desafíos completamente nuevos que las herramientas tradicionales de seguridad no logran resolver. 2 ¿Cómo auditar realmente la seguridad de mi proveedor de nube?· IBM: La auditoría más confiable es que no tengas incidentes de seguridad, pero normalmente se usan herramientas como Tivoli para garantizar la seguridad de la información.· McAfee: Verificar que el proveedor cuenta con la infraestructura mínima para proveer el servicio: firewall actualizado, antivirus, sistema de conexiones remotas a través de VPNs o enlaces dedicados, algún tipo de relación entre el proveedor de servicio y un fabricante enfocado a seguridad.· Salesforce: Cualquier aplicación en la nube debe tener una serie de certificaciones, las más importantes son ISO 27001, SYSTrust, son algunas de las certificaciones más importantes. Por otra parte, nuestros clientes realizan ataques controlados para poder detectar vulnerabilidades y repararlas.· Symantec: Tal como sucede con cualquier proveedor de servicios, es importante asegurar aspectos de cumplimiento y seguridad por parte de proveedores de servicios en la nube.· Trend Micro: Una alternativa es pedir asesoramiento al proveedor de seguridad habitual de la empresa (que conoce nuestros problemas y desafíos) para que nos ayude a evaluar qué nivel de seguridad real nos ofrece el proveedor de servicios en la nube. 3 ¿En quién recae la responsabilidad: en el usuario o el proveedor?· IBM: Depende el nivel de servicio contratado y el proveedor debe garantizar un mínimo de disponibilidad de los sistemas vía SLAs (Service Level Agreements o Acuerdos de Niveles de Servicio).· McAfee: Las responsabilidades deben venir detalladas en el contrato; sin embargo, el usuario que contrata deberá considerar tener siempre un método de respaldo o resguardo de la información si es que no es provista por el proveedor del servicio.· Salesforce: En ambos. La seguridad de tu información recae en mí como proveedor que garantizaré que la información va a estar totalmente resguardada. Si el cliente en algún momento creó dentro de la empresa un esquema de seguridad que tiene fallas, eso no lo puede controlar el proveedor.· Symantec: La responsabilidad de la seguridad en la nube, tal como sucede en ambientes tradicionales, es responsabilidad de los dos. Mientras que el usuario pueda cumplir con los procesos y contar con una seguridad íntegra, y el proveedor cuente también con políticas y tecnología de seguridad adecuada.· Trend Micro: Es el usuario quien debe hacer las preguntas adecuadas para entender si el proveedor está a la altura de sus expectativas en cuanto a esos puntos.   4 ¿Es el asunto de la seguridad un "muro" para que las empresas en México se suban a la nube?· IBM: Muro no, inquietud sí. Un cliente bien informado puede tomar la decisión correcta. Se va a subir a la nube por temas de ahorros y el de seguridad no será un problema, simplemente una inquietud que fácilmente se puede disipar.· McAfee: Por ahora sí, es una tecnología nueva que promete reducción de costos pero no todas las empresas estarán dispuestas a poner su información en manos de un tercero; sin embargo, siguiendo el lineamiento de validación de seguridad e infraestructura, no debería ser problema.· Salesforce: Realmente no, los bancos son las empresas más celosas de la seguridad y los más grandes del mundo utilizan los servicios en la nube. Ya no es un obstáculo, lo fue hace muchos años, pero cuando el cliente se dio cuenta de que el tema de la seguridad no es dónde están tus datos sino dónde están seguros, cambió totalmente la discusión.· Symantec: La seguridad será el habilitador principal para la adopción del cómputo en la nube.· Trend Micro: En muchos casos el principal muro. Las empresas han confiado en un modelo de seguridad "de afuera hacia adentro". Esa forma de pensar no es adecuada para la implementación de servicios en la nube.   5 ¿Cuál es tu mejor argumento para convencer a los jefes de sistemas de que la nube es segura?· IBM: Los sistemas en nube ofrecen los mismos mecanismos de seguridad y confiabilidad que los que se tienen en el centro de datos de los clientes.· McAfee: La nube ofrece reducción de costos, movilidad, mantenimiento, menor nivel de especialización del personal e incremento de disponibilidad.· Salesforce: Si lo utilizan empresas de seguridad y lo utilizan los bancos más grandes del mundo, y cuando ellos se encuentran una amenaza una vez que la resolvemos lo siguen utilizando, ésa es mi garantía de que siempre vas a estar en la punta de la tecnología en términos de seguridad.· Symantec: Mientras se protejan de cerca las aplicaciones y los datos, y se implementen enfoques centrados en la gobernabilidad de la información, tecnologías de seguridad y cumplimiento, el uso del cómputo en la nube será confiable.· Trend Micro: Los usuarios deben informarse acerca de los riesgos que implica el mover sus servicios a entornos virtualizados y en la nube.