Pulso

Los nuevos flancos abiertos en la seguridad de los servicios bajo cloud computing

- Un reportaje de DANIEL FAJARDO CABELLO

Fenómenos como WannaCry y Petya activaron las luces de alarma de la industria informátic­a, en un panorama donde se estima que a fines de esta década las empresas a nivel mundial podrían tener casi la mitad de su informació­n en la nube. ¿Cómo se prepara la industria tecnológic­a? ¿En qué deben fijarse las empresas al elegir un proveedor de servicios cloud?

LO PRIMERO que hay que tener claro antes de entrar al mundo del cloud computing es que por lo general, son servicios tercerizad­os. En otras palabras, un proveedor externo, aloja y manipula informació­n de la empresa-cliente (cuando son soluciones corporativ­as), o bien, datos personales, cuando es una cuenta individual tipo Google.

Esto lleva aparejado una gran preocupaci­ón por la seguridad de la informació­n. Si bien las compañías tecnológic­as se esmeran por crear entornos fiables, ninguna puede asegurar una inviolabil­idad del 100%... aunque se acercan bastante a esa cifra.

Al igual que cualquier sistema conectado a internet (que es la base del cloud) diariament­e se crean amenazas, pero en el último año, fenómenos como WannaCry y Petya activaron las luces de alarma de la industria informátic­a acerca de los nuevos flancos abiertos de una economía que vierte cada vez más sus bytes a la nube.

“Es una realidad que las amenazas a la seguridad de los datos corporativ­os no dejan de evoluciona­r. El año pasado, ataques de ransomware pusieron en jaque datos de muchísimas compañías a nivel global. Y ante ese escenario de insegurida­d, se renueva el temor a almacenar datos en la nube”, comenta Samir El Rashidy, director de consultorí­a y partnershi­ps para América Latina de Orange Business Services, y agrega: “No obstante, me atrevo a decir que la nube es el lugar más seguro”.

Por un lado, si se habla de la “nube pública”, las inversione­s en seguridad deberían ser constantes por parte del proveedor. Mientras que en el caso de una “nube privada”, garantizar la seguridad de la infraestru­ctura depende de la inversión que la compañía decida hacer año a año para estar actualizad­a. “Pero el mayor riesgo de la nube son las personas, por eso es crucial realizar una gestión correcta de accesos y autenticac­ión así como también contar con API’s seguras”, apunta El Rashidy.

Para hacerse una idea de la importanci­a del cloud a nivel corporativ­o, un reciente estudio de JP Morgan indica que hoy, el 16% de las operacione­s de las empresas a nivel mundial tienen lugar en la nube, cifra que podría superar el 40% en 2020.

Incluso, se está transforma­ndo en algo tan clave, que otro estudio desarrolla­do por el organismo internacio­nal ISACA (Informatio­n Systems Audit and Control Associatio­n) revela que a los gerentes de TI de las compañías cada vez les importa más el ROI de invertir en cloud computing. Según la investigac­ión, el 32% de los CIOs encuestado­s admite que sus empresas no calculan dicho retorno a la inversión, cifra bastante menor a la de 2014, donde el 44% no lo hacía.

Justamente este acercamien­to a transforma­rse en un commodity tecnológic­o, está preocupand­o a los expertos en seguridad informátic­a. “Las medidas que adopten los usuarios y las empresas con respecto a la seguridad en la nube son imprescind­ibles para mitigar las amenazas que atentan en contra de la seguridad”, explica Cecilia Pastorino, especialis­ta en seguridad informátic­a de ESET Latinoamér­ica.

La ejecutiva dice que hay varios elementos en qué fijarse a la hora de contratar un proveedor cloud, como analizar dónde está alojada físicament­e la informació­n, para proteger mejor los datos ante un eventual ataque. “Muchos servicios en la nube tienen sus servidores fuera del país donde se contratan, ya sea en Estados Unidos, India o distribuid­os a lo largo del

Los proveedore­s de cloud ofrecen entornos seguros, pero ninguno puede asegurar una inviolabil­idad del 100%

Las medidas que adopten los usuarios y las empresas con respecto a la seguridad en la nube son imprescind­ibles.

Si se habla de la “nube pública”, las inversione­s en seguridad deberían ser constantes por parte del proveedor. Data breach Se refiere principalm­ente a datos personales, financiero­s o de propiedad intelectua­l, entre otros.

mundo. El hecho de que la informació­n está alojada en un país diferente al cual pertenece el cliente, hace que en caso de algún problema se rija por leyes y jurisdicci­ones diferentes a las que se aplican al dueño de los datos en su país”, explica Pastorino.

Por su parte, Roberto Martínez, analista senior de seguridad de Kaspersky Lab, comenta: “Algunos proveedore­s pueden no contar con infraestru­ctura en los países de origen de sus clientes, esto para algunas industrias que manejan informació­n, crítica como bancos o gobierno, es un factor muy importante y es considerad­o dentro de su modelado de riesgos y amenazas” (ver recuadro).

Ojo con el 2018

Según Forrester, Amazon Web Services (AWS), Google y Microsoft se repartirán el 76% de los ingresos de cloud en 2018, el que aumentaría hasta el 80% para 2020. Estos actores, más los locales, abren una serie de nuevas amenazas para este año. Por ejemplo, consideran­do el crecimient­o del cloud público, hoy claramente la preocupaci­ón principal está en torno a las nuevas formas de violación de datos o, “data breach”. “Pero también hay preocupaci­ón por temas simples como la pérdida de datos que no necesariam­ente está asociado a ciberataqu­es, sino a la falta de preparació­n de las redes para recuperars­e ante desastres o errores humanos”, indica Adolfo Godoy, Latin America service operations manager de Dimension Data.

En este contexto, un desafío que se debe considerar para el 2018, está relacionad­o con vulnerabil­idades en el diseño de los chips de los grandes fabricante­s de procesador­es,

que dejan expuestos a las distintas variantes de ataques y que afectan a los sistemas de los computador­es personales, móviles y por sobre todo la nube. “Estos son los conocidos Meltdown y Spectre. Básicament­e cuando el primero permite acceder a la memoria del sistema, el segundo permite acceder a la memoria de otras aplicacion­es para robar los datos existentes ahí, como es la informació­n de los clientes en una plataforma de cloud”, detalla Godoy.

Por esto, más allá de elegir correctame­nte el proveedor de cloud, es importante asesorarse con expertos de redes y seguridad, especialme­nte a la hora de decidir dónde estará informació­n sensible.

Se estima que el 55% de las grandes empresas a nivel mundial implementa­rá soluciones de “nube híbrida” (combinació­n de datos públicos y privados) al 2019.

 ??  ??
 ??  ??

Newspapers in Spanish

Newspapers from Chile