Una autoridad en seguridad web cree que nuestros datos podrían estar más seguros en la nube.
Para muchas compañías, la computación en la nube suena como un negocio arriesgado. Les preocupa que el almacenamiento de los datos de los clientes, o la ejecución de software de importancia crítica en los servidores de proveedores como Amazon o Google, pudiera hacer que sus datos fueran más vulnerables ante ataques, una exposición pública o su pérdida. Una gran cantidad de datos en la nube se encuentran en servidores compartidos -una especie de dormitorios de datos públicos- donde los bits una empresa podrían estar separados de los de sus competidores solo por una pared virtual.
Sin embargo, estos temores están fuera de lugar, afirma Jeremiah Grossman, fundador de WhiteHat Security y dedicado a asesorar a empresas tales como la evaluadora de crédito Fair Isaac y el gigante de las recetas médicas CVS Caremark acerca de su seguridad en la red. Grossman, antiguo director de seguridad de la información en Yahoo, ofreció algunos consejos acerca de la nube en una entrevista con el editor adjunto de Technology Review, Brian Bergstein.
TR: ¿Por qué cree que hay ventajas de seguridad en el hecho de pasarse a la nube?
Grossman: La empresa promedio, ya sea pequeña, mediana o la más grande entre las grandes, se dedica a su respectivo negocio. Un banco no está en el negocio de la tecnología. Una tienda minorista no está en el negocio de la gestión de infraestructura de TI (Tecnología de la Información). Un proveedor de servicios como Amazon tiene habilidades muy particulares para conseguir que las infraestructuras sean realmente seguras. Lo que se obtiene de un proveedor en la nube es economía de escala -y a otra persona que solucione los problemas.
Este es el ataque de piratería en la nube más ingenioso del que he oído hablar: alguien contrata a un proveedor en la nube para ejecutar una aplicación web en un servidor compartido, y después "revienta la nube" para infectar a otros usuarios de la misma máquina. Se trata simplemente de un ataque teórico, ¿o ya se ha llevado a cabo?
Es teórico en el sentido de que nunca hemos oído que se haya realizado en el mundo real. Hemos visto diferentes tipos de ataques en los que es posible salir de los contenedores virtuales [en los que residen los datos de cada cliente en la nube]. Rápidamente se les pone un parche, pero son enteramente posibles. Probablemente no sea un ataque que pueda llevarse a cabo, puesto que existen otros muchos más fáciles de realizar. Sin embargo, debemos asumir que la separación entre los clientes se romperá en algún momento. Hay que conseguir ser fuertes ante ese tipo de situación, en parte mediante el establecimiento de reglas sobre el cifrado de datos y sobre quién puede tener acceso a ellos.
Entonces ¿cuál es la peor situación a la que pueden enfrentarse las organizaciones que se pasen a la nube?
Desde un punto de vista empresarial, si ejecutamos el sistema nosotros mismos poseemos una noción de la resistencia, es decir, en caso de una catástrofe, tanto si es un desastre natural o la quiebra de una empresa, de algún modo tenemos el control de la infraestructura. No tenemos demasiado control en lo que respecta a los proveedores en la nube en caso de que cierren sus negocios, o si son adquiridos por nuestro competidor más cercano. De pronto nuestro proveedor en la nube, del que depende nuestro negocio, se evapora y se va. ¿Cuál es nuestro plan de contingencia? Esa es una consideración importante.
Algunos directores de información tienden a ejecutar aspectos de sus sitios web en la nube, pero mantienen el control de algunas aplicaciones clave. ¿Existe algún problema de seguridad en el traspaso entre un servicio en la nube y los sistemas situados en instalaciones propias?
Esa será la situación de la gran mayoría de las empresas: "Voy a alojar mi propio sitio web, pero todos mis pagos se van a ejecutar a través de un tercero". Hay muchos beneficios en el hecho de hacerlo así, aunque también es una situación compleja. La complejidad tiende a ser el enemigo de la seguridad. Cuanto más complejo hagamos nuestro flujo de datos, más complejos serán los sistemas y todas las interconexiones, y más difícil será su gestión, su comprensión y la mitigación de todas las amenazas.
Copyright Technology Review 2011.
No hay comentarios:
Publicar un comentario