Percepción vs. La realidad
Los profesionales de TI a menudo perciben la nube como insegura o menos segura que tener sus aplicaciones y datos residiendo dentro de sus propios centros de datos. Pero las percepciones no necesariamente coinciden con la realidad.
Cuando CA y Ponemon Institute encargaron un estudio de más de 900 profesionales de TI en mayo de 2010, descubrieron que los profesionales de TI creían que los riesgos de seguridad eran más difíciles de reducir en la nube, incluida la protección de la ubicación física de los activos de datos y la restricción del acceso de usuarios privilegiados a informacion delicada. La encuesta encontró que el personal de TI admitió que tenía un conocimiento incompleto sobre cuáles de sus recursos informáticos se implementan en la nube, principalmente porque estas decisiones las toman los usuarios finales fuera de cualquier revisión de TI. Aproximadamente la mitad de todos los encuestados reconocen que muchos recursos de la nube no se evalúan para la seguridad antes de la implementación dentro de sus organizaciones.
Tal vez todo el alboroto se deba más a las aplicaciones web inseguras que a la propia nube. Muchas de las principales vulnerabilidades de seguridad web, como las secuencias de comandos entre sitios y la inyección de SQL, existen casi desde que se inventaron los servidores web y, por alguna razón, todavía molestan a muchas instalaciones corporativas. Irónicamente, un informe de mayo de 2010 de Derek Brink de Aberdeen Group muestra que a los usuarios de herramientas de seguridad web basadas en la nube les fue mejor que a sus equivalentes locales con menos incidentes de malware.
Ciertamente, existen entornos de nube más o menos seguros, al igual que existen centros de datos locales más o menos seguros. Cloud Security Alliance es una organización sin fines de lucro formada para promover la garantía de seguridad entre los proveedores de computación en la nube. La Alianza promueve las mejores prácticas de seguridad y crea consenso en torno a problemas de seguridad particulares. Fundada hace dos años por un consorcio de proveedores y administradores de TI de usuarios finales, ha creado varios grupos de trabajo, como los que se enfocan en las operaciones del centro de datos, eDiscovery y administración del ciclo de vida.
Cualquiera que compre servicios en la nube debe buscar respuestas claras y convincentes a cuatro preguntas:
¿Cómo se cifran los datos, tanto en uso como en reposo, cuando se almacenan en la infraestructura de la nube?
¿Existen controles de acceso detallados?
¿Cuánto de la infraestructura de la nube es redundante?
¿Qué tan bien están protegidas las aplicaciones web?
Analizamos cada uno de ellos con más detalle en las siguientes páginas.
