SEGURIDAD EN LA NUBE
Una realidad tangible | | | Federico González, Gerente Regional - Sector Financiero VMware. | | | | |  | | La nube es simplemente una extensión de la infraestructura existente, que puede o no ser vulnerable. La seguridad en la nube se basa en una combinación de políticas, tecnologías y controles desplegados para proteger datos, aplicaciones y la infraestructura de computación. Hay prácticas de seguridad muy efectivas, que deben ser configuradas en la nube: verificación, control de acceso, auditoría, privacidad, integridad, confidencialidad y cumplimiento normativo. Los controles para poner en marcha estas prácticas se pueden incorporar en el nivel virtual, para que funcionen de forma automática y se asegure el cumplimiento de las políticas.
Otro factor importante es la selección de un proveedor de servicios (CSP), que pueda satisfacer sus requisitos de seguridad en nubes públicas y privadas. Es necesario el uso de códigos de protección comunes y verificar que la seguridad sea transparente y auditable. Además, debe haber una definición clara de las necesidades de negocio y el establecimiento de acuerdos de nivel de servicio (SLA, por sus siglas en inglés), con el nivel de protección correcto.
Ciertos requisitos de cumplimiento normativo especifican parámetros que deben ser identificados en el SLA. Por ejemplo, dónde reside la información, el personal, las certificaciones del personal, el acceso a las instalaciones, la habilidad para auditar las facilidades y la frecuencia, el plan de recuperación de desastres, los esquemas de codificación de datos, etc.
Juan José Gutiérrez, Director de Programa Ejecutivo de Gartner, sugiere la participación de un equipo de computación en la nube formado por representantes legales y de recursos humanos, para asegurar el cumplimiento de las exigencias regulatorias nacionales, laborales y de la industria.
¿Cómo crear una nube segura?
Desde el punto de vista de TI, la estructura virtual tiene que proveer control y visibilidad. Para adoptar la computación de nube, sin poner en riesgo la seguridad de la empresa, se debe tener en cuenta los siguientes factores:
1) Los datos deben de estar segmentados según el cumplimiento normativo de la información, para que las políticas sigan las cargas de trabajo, a medida que viajan por la nube.
2) La protección debe estar incorporada y automatizada dentro de la infraestructura virtual, para que la seguridad se mantenga siempre dinámica, ya que es aplicada por la misma nube.
3) La seguridad debe estar basada en riesgos potenciales y ser lo suficientemente flexible para lograr anticipar y reaccionar, a medida que las amenazas evolucionan.
Es indispensable que el proceso comience con la definición de un marco de control, riesgo y cumplimiento normativo. Es esencial entender el control operativo cotidiano y la medición de riesgos. Una vez definido el nivel de riesgo, se requiere de políticas de identificación y monitoreo de los mismos, asignar las prioridades y establecer un plan que asegure el cumplimiento de las leyes.
En conclusión, para una transición segura a la nube es necesaria una plataforma que sea flexible, que ofrezca un marco de políticas de seguridad integral que brinde protección a los anfitriones, las redes, VM, las aplicaciones y, por supuesto, los datos. Es también muy importante que permita aislar las aplicaciones con diferentes niveles de confianza, poner en cuarentena las aplicaciones sospechosas y proteger la información.
Por último, mantener un cumplimiento normativo constante y acelerar la solución de problemas. De esta forma, se podrá aprovechar todas las ventajas de la computación en la nube. En pocas palabras, los recursos funcionan bien si se planean y se ejecutan de un modo altamente profesional. | |
