Navegación

Artículos Relacionados

La seguridad en la nube es cosa seria


Realidad Digital
La seguridad en la nube es cosa seria

Por: Fernando Thompson.Director General de Tecnologías de la Información
Universidad de las Américas Puebla. Clasificado como uno de los mejores 10 CIOs y líder en TI.

La seguridad es uno de los aspectos más importantes a considerar al momento de hacer la transición hacia la nube. Aquí algunas recomendaciones generales para mantener los datos seguros, así como los componentes de seguridad que corresponden al proveedor.
Fernando Thompson

• La seguridad de los datos siempre será responsabilidad del cliente, no del proveedor de la nube.
• El usuario debe seguir las políticas de seguridad, incluso para sus dispositivos personales.
• La nube híbrida es excelente solo si se tienen claros sus componentes de seguridad.

Dentro de los múltiples beneficios que la virtualización y la nube entregan, se encuentran la administración de servicios, actualizaciones de Sistemas Operativos y aplicación de parches, mejora del TCO, disponibilidad de información crítica, etcétera. Sin embargo, hay temas indelegables que corresponden al CIO y que debe atender con toda diligencia, empezando por las obligaciones contractuales del proveedor y las del cliente, así como las evaluaciones previas para requerimientos (compliance) y elementos de protección de los datos.

Desafortunadamente muchas empresas y organismos no practican el “due diligence” al momento de seleccionar a sus proveedores, ya que no solo se trata de elegir una solución. El integrador o canal debe contar con personal certificado y experiencia comprobable. Empero, ese es otro tema.

Lo que hoy compartiremos son las prácticas de seguridad que deben seguirse en la nube en sus modalidades de Infraestructura como Servicio (IaaS), Software como Servicio (SaaS) y Plataforma como Servicio (PaaS). Es un tema importante si consideramos que, de acuerdo con IDC, la seguridad en la nube presentará un crecimiento de 24.8% para México en 2016.

La seguridad en la nube presentará un crecimiento de 24.8%

Infraestructura como servicio
Software como servicio
Plataforma como servicio

Cada una de estas opciones conlleva prácticas de seguridad a cargo del cliente, otra parte la ve el proveedor. Sin embargo, es muy común que muchos clientes ignoren cuáles son esas sutiles diferencias. Por ejemplo, en la Figura 1, los requerimientos de seguridad para IaaS son básicamente los mismos que hoy tiene en su Data Center. La seguridad de los datos siempre será responsabilidad del cliente, no del proveedor de la nube. Para ejemplo basta un botón: Recordemos el infame caso de la base de datos del Instituto Nacional Electoral que fue expuesta por un partido político cuando decidió subirla a la nube, y de pronto una persona dedicada a enviar publicidad en medios electrónicos tuvo acceso inmediato a más de 82 millones de registros con los datos de ciudadanos mexicanos.

La regla de oro es utilizar herramientas de encripción en todo momento, al mover y alojar información. Todos los equipos de cómputo (PCs y Laptops) deben tener encriptados los discos duros a 256 bits, las claves de acceso de los usuarios deben tener una longitud mínima de 10 caracteres alfanuméricos, y sugiero que sean cambiados cada tres meses. Es fundamental seguir estas indicaciones, aunque no le guste al usuario, ya que es por su propio bien y de sus datos personales. De hecho, esta práctica la debe seguir para los dispositivos propios (Smartphones y tabletas). En temas fundamentales de red, el uso de las redes privadas virtuales (VPN) es forzoso y debe ser literalmente de un extremo al otro.

Las auditorias de redes, servidores, aplicaciones de parches y dispositivos son una práctica muy recomendable para evitar ataques cibernéticos. La nube privada y pública son excelentes soluciones si, y solo si, se tienen claros todos y cada uno sus componentes desde la perspectiva de la seguridad.

Figura 1

Yo no soy un especialista en seguridad, pero como CIO ya durante más de quince años, desde la iniciativa privada, gobierno federal y educación superior, he aprendido de errores y le dedico mucho tiempo a la actualización de temas relacionados a infraestructura y plataformas. La infografía de IDC, Una nueva estrategia de seguridad para un nuevo escenario de negocios, señala que la seguridad se ha convertido en un punto crítico para las organizaciones en américa latina.

Para cada tipo de nube hay puntos de seguridad que corresponde al proveedor y otros al cliente. No existe un solo fabricante que tenga la “bala de plata” que solucione la amplia gama de requerimientos de seguridad, por eso es que debe dedicarse tiempo a revisar los contratos, estudiar las soluciones de mercado para aplicaciones y datos, pero, sobre todo, seguir el sentido común actualizando los sistemas operativos con la mayor frecuencia posible.

En la Figura 2 te comparto los elementos que debes integrar para garantizar la seguridad de tus sistemas y aplicaciones. Hay una gama amplia de componentes a seleccionar.

En artículos subsecuentes hablaremos del IT-Governance, que va íntimamente ligado a esta colaboración, y el factor humano que es la pieza clave para todo lo anteriormente descrito.

Por Fernando Thompson, CIO de la UDLAP
y Experto en la Materia de Realidad Digital

Figura 2

Fuente 1 IDC

Fuente 2  Informa BTL

Fuente 3  Forbes

Fuente 4 The CIU

Fuente 5 Computerworld

Show Comments (0)

Comentarios

Suscríbete a nuestra Newsletter

Date de alta y recibe las novedades más interesante sobre las soluciones de Realidad Digital que necesitas en tu empresa.

Continuando acepto la aviso de privacidad

0
Connecting
Please wait...
Enviar Mensaje

Nuestro horario de atención en línea es de lunes a viernes, de 9 am a 6 pm.
Deje un mensaje y nos comunicaremos con usted.

* Nombre
* Email
* Dudas o comentarios
Inicie sesión ahora.

¿Necesita ayuda? Ahorre tiempo al iniciar su solicitud de asistencia en línea.

* Nombre
* Email
* Dudas o comentarios
Teléfono
¡Estamos en línea!
Feedback

Gracias por usar nuestro servicio de asistencia en línea.

¿Cómo evalúa nuestro apoyo?