Archivo del sitio

Cloud Computing: privacidad en la empresa

En los siguientes puntos se presentan los diferentes aspectos que se han de tener en cuenta en el área de la privacidad del usuario de Cloud Computing:

a) Desde la perspectiva de los individuos que se conectan a la nube: maximizar el control de usuario individual, crear servicios anónimos para usuarios individuales, crear mecanismos para el uso de identidades múltiples y limitar la información de identidad y autenticación para transacciones de alto nivel.

b) Desde la perspectiva de los proveedores de cloud computing: anonimato de la información personal, cifrar datos si contienen información personal, compartimentar-aislar el procesamiento y almacenamiento de datos, controlar los identificadores únicos, gestionar explícitamente los requisitos de seguridad y privacidad entre los proveedores de servicios cloud computing.

c) Desde una perspectiva global: proporcionar un aviso adecuado sobre la privacidad, soportar el desarrollo de PET (Privacy Enhacing Technologies), utilizar la valoración del impacto de la privacidad y coordinar la aplicación de la privacidad y el cumplimiento a través de diferentes áreas jurisdiccionales (por ejemplo, cuando se pasa de un país europeo a un paraíso fiscal). Si los clientes emprenden procesos del tipo test de penetración no suele ser una buena opción en entornos outsourcing como cloud computing ya que el proveedor de la nube no puede distinguir nuestros test con un ataque real y además nuestros test de penetración pueden potencialmente impactar negativamente en otros usuarios de forma inaceptable.

Retos en seguridad del Cloud Computing

A continuación se enumeran los diferentes retos que el Cloud Computing tiene para mejorar en cuanto a la seguridad que ofrece a sus usuarios:

a) Necesidad de gestión del aislamiento.
b) El multi-arrendamiento.
c) Los retos del registro o logging.
d) Las cuestiones de propiedad de los datos.
e) Las garantías de calidad de servicio o QoS.
f) La dispersión de datos y las leyes de privacidad internacionales como por ejemplo la Directiva Europea de Protección de Datos y el Programa norteamericano Safe Harbor, la exposición de datos a gobiernos extranjeros y las citaciones de datos y las cuestiones de retención de datos.
g) La dependencia en supervisores seguros.
h) La atracción de todo tipo de atacantes debido al elevado valor del objetivo que es la “nube”.
i) La seguridad de sistemas operativos virtuales en la nube.
j) La posibilidad de fallos masivos.
k) Necesidades de cifrado en cloud computing: cifrado para el acceso a la interfaz de control de recursos de la red, cifrado administrativo de acceso a las instancias de sistemas operativos, cifrado de acceso a las aplicaciones, cifrado de los datos de las aplicaciones en reposo-almacenamiento y tránsito.
l) Seguridad de la nube pública en contraposición con la seguridad de la nube interna-privada.
m) Carencia de control de versión SaaS pública.
n) Problemas con el movimiento de PII (Personal Identificable Information) y datos sensibles a la nube (valoración del impacto de la privacidad).
o) Utilizar SLAs para obtener seguridad de nube (requisitos sugeridos para SLAs de nube, cuestiones relacionadas con análisis forense en cloud).
p) Planificación de contingencias y recuperación de desastres para implementaciones de nube.
q) Gestión de cumplimientos como SOX, PCI-DSS, HIPAA, FISMA, etc.
r) Auditorias por ejemplo del tipo SAS 70.

Principales componentes de la seguridad en el Cloud Computing de empresa

Los principales componentes del Cloud Computing desde la perspectiva de la seguridad para las empresas son:

a) Servicios de aprovisionamiento cloud.

Las ventajas principales que puede aportar son la rápida reconstitución de servicios, permite la disponibilidad (provisión en múltiples centros de datos de múltiples instancias) y las capacidades de honey-net avanzadas. El principal desafío identificado, el impacto de comprometer el servicio de aprovisionamiento.

b) Servicios de almacenamiento de datos cloud.

Las ventajas principales que puede aportar son la fragmentación y dispersión de datos, la replicación automatizada, la provisión de zonas de datos (por ejemplo por país), el cifrado en reposo y en tránsito y la retención automatizada de datos. Los principales desafíos identificados son la gestión del aislamiento y el multi-arrendamiento de datos, el controlador de almacenamiento (presenta un único punto de fallo en caso de verse comprometido) y la exposición de datos a posibles gobiernos extranjeros.

c) Infraestructura de procesamiento cloud.

Las ventajas principales que puede aportar son la capacidad para proteger masters y sacar imágenes seguras. En este caso, los principales desafíos identificados son el multi-arrendamiento de aplicaciones, la dependencia en los hipervisores y el aislamiento de procesos y los mecanismos de sandbox para aplicaciones.

d) Servicios de soporte cloud.

Las ventajas principales que puede aportar son los controles de seguridad bajo demanda, por ejemplo la autenticación, el logging, los firewalls, etc. Una vez más, los principales desafíos identificados son el riesgo adicional cuando se integra con aplicaciones del cliente, las necesidades de certificación y acreditación como aplicación separada y las actualizaciones de código.

e) Seguridad perimétrica y de red cloud.

Las ventajas principales que puede aportar son la protección contra la denegación de servicios distribuida o DDoS, las capacidades VLAN, la seguridad perimétrica como IAM/IDS/IPS, firewall, autenticación, etc. Por último, el principal desafío identificado es el de las zonas virtuales con movilidad de aplicaciones.

Cloud Computing en la empresa

La situación actual de severa crisis económica ha despertado el interés general de las empresas por la computación en nube como un mecanismo más para reducir costes. No solo eso, sino que también reduce el tiempo para llevar un producto al mercado, consiguiendo así que nuevos servicios puedan estar disponibles lo antes posible.

¿Cómo ayuda el Cloud Computing a cada tipo de empresa?

MICROEMPRESAS, PYMES Y NUEVAS EMPRESAS

Esta nueva tecnología resulta especialmente interesante para las microempresas y las pymes, ya que ante la dificultad de acceder a capital, la nube les permite reducir sus inversiones en informática manteniendo su competitividad.

Las nuevas empresas también se ven beneficiadas por este fenómeno, debido a que están en una fase de rápido desarrollo y que saben que el modelo de computación en nube facilitará el ajuste de su capacidad informática al crecimiento de su actividad.
De esta manera, tanto las pymes como las empresas recién creadas pueden tener acceso a recursos compartidos que de otra forma no estarían a su alcance. Es decir, nuevos servicios que antes solo podían permitirse las grandes empresas.

Al mismo tiempo, la nube les permite convertir los gastos fijos en variables, conociendo mejor los costes reales de cada producto y minimizando los riesgos financieros en el lanzamiento de nuevos productos o servicios. Esto significa que el coste real de su producto es calculable desde el inicio, en lugar de tener que invertir para responder a una demanda que ni siquiera está garantizada.

 

GRANDES EMPRESAS

En cuanto a las grandes empresas, al tener generalmente mayor margen de maniobra con los recursos financieros, su mayor preocupación en lo que a la nube se refiere es la cesión de su información. Es decir, cómo gestionar el riesgo que supone mover sus operaciones de centros de datos a la nube. Por eso a menudo se opta por privatizar una parte de la nube donde se mantienen los datos y los procesos más sensibles. Por ejemplo, los datos de los clientes de un banco.

 

LA ADMINISTRACIÓN PÚBLICA

La administración pública es otra de las entidades interesadas en beneficiarse de las virtudes de la nube de Internet. Éstas se encuentran inmersas en un proceso de digitalización de los servicios ofrecidos a la ciudadanía. En este caso también la seguridad de la información es un tema prioritario y por ello se hace uso de partes privadas de la nube. Asimismo, las administraciones tendrán un papel fundamental en la evolución de la nube, ya que además de consumidores también son habilitadores o entes reguladores que deben fijar las reglas del juego de este nuevo mercado.

Además del ahorro de costes que puede suponer la utilización de la nube, la agilidad en la obtención de recursos es otra de sus claves, puesto que la presión por innovar de las empresas requiere poder disponer de servicios a la mayor brevedad. Otro aspecto relevante es la escalabilidad, porque si se quiere crecer en oferta, la empresa debe invertir más en sus recursos informáticos, o de lo contrario se podría llegar a colapsar el sistema.

En aquellos casos en los que las ventas tengan carácter estacional o promocional, lo cual implica picos y valles en el uso de los recursos, la flexibilidad en la disponibilidad de la nube permite amoldarse a la demanda real de los recursos. Así se evita el riesgo de que éstos queden infrautilizados durante los períodos menos productivos, y a la vez siendo capaz de soportar picos de trabajo imprevisibles.

OTROS BENEFICIOS PARA LAS EMPRESAS

Además del ahorro de costes que puede suponer la utilización de la nube, la agilidad en la obtención de recursos es otra de sus claves, puesto que la presión por innovar de las empresas requiere poder disponer de servicios a la mayor brevedad. Otro aspecto relevante es la escalabilidad, porque si se quiere crecer en oferta, la empresa debe invertir más en sus recursos informáticos, o de lo contrario se podría llegar a colapsar el sistema.

En aquellos casos en los que las ventas tengan carácter estacional o promocional, lo cual implica picos y valles en el uso de los recursos, la flexibilidad en la disponibilidad de la nube permite amoldarse a la demanda real de los recursos. Así se evita el riesgo de que éstos queden infrautilizados durante los períodos menos productivos, y a la vez siendo capaz de soportar picos de trabajo imprevisibles.