COMPARTIR:Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

El estudio Know Your Cloud promovido en 2013 por Intel Security (antes McAfee) muestra que las empresas están más preocupadas por la seguridad en sus puntos de acceso o sus servidores de correo, que en los servicios que contratan en la nube.

El mismo evidencia que 56% de las compras de servicios públicos en la nube, en empresas de más de 20 mil empleados, son hechos directamente a proveedores, sin pasar por el departamento interno de TI; mientras que en las empresas con menos de mil empleados el porcentaje sube hasta 64%.

Quizá a causa de esta situación las tres principales preocupaciones de las empresas estudiadas en este informe son la pérdida de datos o bien la fuga de los mismos (73% en promedio); el control del acceso y la autentificación (66% en promedio), así como el monitoreo de la seguridad y la administración de incidentes y su visibilidad (55% en promedio).

Las cifras muestra que en todas las empresas del estudio, ya sean desde menos de 1000 hasta más de 20 mil empleados, el departamento interno de TI no tiene todo el control en la adquisición de servicios en la nube y, por consiguiente, no puede establecer políticas de seguridad para reducir riesgos de fugas de información.

Información sensible en la nube, un reto de seguridad

De acuerdo con el documento Orchestrating security in the cloud elaborado por SANS Institute, en 2015, la clase de datos que comúnmente almacenan o procesan en la nube pública los 486 profesionales de las TIC entrevistados para el estudio, son: con un 52%, datos sobre inteligencia de negocios e información financiera y contable; con 48% información sobre los registros de empleados; 40% información personal de sus clientes; en tanto que 20% de los encuestados aseguró que también la usan para guardar y procesar información sobre propiedad intelectual.

De esta forma, la encuesta muestra que las tres clases de datos almacenados en la nube están entre los más sensible que una empresa puede manejar y que son parte del núcleo de su negocio, por lo que la ausencia de políticas de seguridad, así como de procedimientos autorizados para manejar esa información podría, incluso, poner en riesgo a toda una organización.

 

No obstante, antes de continuar hablando de los riesgos de seguridad en la nube es necesario entender de manera puntual este concepto para comprender el verdadero alcance del problema. Cuando se habla de la nube, nos referimos a una red de servidores poderosos que proporcionan diferentes servicios, aplicaciones y plataformas, en algunos pueden almacenarse y tener acceso a datos, en tanto que otros ofrecen diversos servicios en línea.

Este “espacio virtual”, lo que generalmente se conoce como “nube”, se divide en tres partes:

● Infraestructura como servicio (Infrastructure as a Service o IaaS por sus siglas en inglés). Este es el nivel básico dentro de los servicios y se utiliza mayoritariamente para almacenar datos e información. Existen varias empresas dedicadas a rentar espacio para guardar información o para hacer respaldo de la misma.
● Plataforma como Servicio (Platform as a service o PaaS por sus siglas en inglés). Situada en el sector medio, permite a los desarrolladores de software crear aplicaciones con grupos de herramientas y estándares, además de proporcionarles canales para distribuirlas y venderlas, todo en la misma plataforma.
● Software como Servicio (Software as a Service o SaaS por sus siglas en inglés). En este nivel los usuarios rentan el software que funciona en los servidores y pagan una renta mensual en lugar de comprar una licencia, al mismo tiempo evitan ocuparse de actualizaciones, compatibilidad con el sistema operativo y mantenimiento.

¿Cómo evitar amenazas si utiliza la nube?

Los servicios que su empresa tenga en la nube deben contar con una administración y una seguridad similar a la de cualquier elemento de Tecnologías de la Información (TI) por medio de herramientas, servicios, monitoreo y sobre todo por políticas de seguridad.

Asimismo, es importante considerar que aunque su empresa no utilice o planee utilizar los servicios de nube, probablemente sus empleados si lo harán, por lo tanto es necesario que el área de TI realice una evaluación de los procesos de negocio, las aplicaciones empresariales y de los datos existentes de acuerdo con la importancia que tengan en la organización.

Después de esa evaluación deberá crear una política para usar la nube, en la cual conviene tener una explicación muy precisa de lo que sí puede ser “subido” a la nube y de lo que no está permitido en la organización; de igual forma, para las aplicaciones que pueden utilizarse o implementarse deben quedar claras las precauciones, así como las herramientas necesarias para utilizar la nube de forma segura.

Finalmente, si su empresa ya decidió comenzar a migrar a la nube le recomendamos ampliamente verificar que su seguridad interna esté optimizada al 100% para evitar que la red de su empresa sea vulnerable.

Por Edgar Vásquez Cruz, Field Account Manager, Intel Security

COMPARTIR:Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

NO COMMENTS

DEJAR UN COMENTARIO