Algo de seguridad en el marco de la computación en nube

(Artículo preparado para difusión interna en la Red Científica Peruana -RCP)

Con respecto a la seguridad, si se selecciona un proveedor de calidad de servicios en la nube, su seguridad en la nube será tan buena como, o mejor que su seguridad actual, en la mayoría de los casos. Normalmente, el nivel de seguridad que se recibe estará diseñado para satisfacer las necesidades de los clientes de mayor riesgo en la nube. Si las TIC (tecnologías de la información y comunicaciones) no están profundamente arraigadas en el negocio, probablemente la seguridad sea escasa -o limitada cuando mucho- ¿para qué pedir más entonces?

La seguridad en este caso se ve como algo bastante oneroso: pocos expertos; todos los empleados tienen interés en los datos -y, potencialmente, todos tienen acceso a ellos; sistemas obsoletos; otros.

La evaluación de riesgos es la clave para la seguridad en la nube. Exigir a su proveedor sustento de la evaluación de riesgo que realiza y cómo intenta mitigar los problemas encontrados es una buena medida. Otras medidas son las siguientes: multi-arrendamiento (lo que provee al cliente seguridad al grado máximo); evaluación de la seguridad (proceso continuo); riesgo compartido (¿cuál es la arquitectura real con la que se provee el servicio? ¿hay terceros involucrados?); centros de datos distribuidos; selección del personal teniendo presente la seguridad (ii); seguridad física; políticas; codificación; fuga de datos.

(ii) En el artículo “Nuevo significado de ROI: riesgo para el personal interno“, se comenta que “en una encuesta de seguridad realizada por Ernst & Young, se indica que las organizaciones con sede en EE.UU. pierden alrededor de un seis por ciento de sus ingresos anuales debido al fraude por acceso a información privilegiada. Para las empresas más pequeñas dentro del Fortune 1000 del año pasado, eso representa $ 100.000.000. No es de extrañar que el SANS Institute haya colocado las amenazas internas en la parte superior de su lista anual de amenazas cibernéticas que la industria enfrentó en 2008“.

¿Me comentas?