La seguridad de los datos en el mundo ‘Cloud’

La seguridad de los datos en el mundo ‘Cloud’

Antes de contratar servicios en la nube asegúrese de que su información estará protegida.

Los datos deben ser protegidos durante todo su ciclo de vida y por esto cuando se gestionan en la nube es fundamental establecer el nivel de confidencialidad de los mismos y el esquema de seguridad idóneo.

En el mundo de las tecnologías de la información y las comunicaciones (TIC), se ha mencionado cada vez con más frecuencia e interés el concepto de ‘cloud computing’ o computación en la nube, pero ¿realmente a qué se refiere este concepto y de dónde surgió?

Expertos opinan que el concepto ‘cloud’ es una evolución de Internet, donde no solo se tiene acceso a contenidos multimedia, comercio electrónico, redes sociales y en general a todas aquellas funcionalidades ya conocidas por los usuarios, sino que también se tiene acceso a servicios de infraestructura tecnológica (IaaS – ‘Infrastructure as a Service’), servicios de plataformas de desarrollo y despliegue (PaaS – ‘Platform as a Service’) o servicios de software especializado (SaaS – ‘Software as a Service’) ofrecido por demanda o número de usuarios, y no a través del tradicional esquema de licenciamiento ‘on- premise’.

¿Cuáles son los beneficios reales de este nuevo concepto tecnológico que tanta fuerza ha tomado? Son diversos y van desde ahorros en costos de adquisición de infraestructura o licenciamiento propio, hasta la posibilidad de contar con ambientes tecnológicos altamente escalables, capaces de responder de manera más eficiente a las cambiantes necesidades del negocio, sin caer en el sobre-aprovisionamiento de activos tecnológicos cuyo retorno de inversión es muy difícil de justificar. De igual forma, la implementación de sistemas altamente disponibles puede lograrse de manera mucho más rápida, incluso garantizando redundancia geográfica en regiones diametralmente opuestas a nivel mundial.

 

El mundo ‘cloud’: ventajas y retos

La evolución del ‘cloud’, nos ha llevado a un nuevo concepto conocido como ‘infrastructure as Code’ o infraestructura como código, que básicamente propone que las decisiones de crecimiento o decrecimiento de una infraestructura tecnológica las tome un sistema capaz de interpretar los niveles de carga, aprovisionando de manera automática más capacidad de procesamiento o reduciendo la ya aprovisionada, logrando así eficiencia en costos y en rendimiento.

De igual forma, permite automatizar e incluir en flujos de aprobación el aprovisionamiento de recursos dirigidos a nuevos proyectos o campañas cuya ejecución se realizará en un periodo de tiempo definido. Sin embargo, como no todo puede ser perfecto, existen algunos elementos que desmotivan la decisión de migrar a este modelo, y uno de los principales se relaciona con la seguridad de los datos que finalmente se van a depositar sobre la infraestructura subyacente que soporta todos los servicios que ofrece el mundo ‘Cloud’.

Para entender por qué esto puede ser un problema se debe conocer el modelo principal de seguridad que la mayoría de las empresas ha venido aplicando en las últimas décadas, denominado modelo de seguridad perimetral. En palabras más simples, podemos pensar que los sistemas críticos de negocio, con sus respectivas bases de datos, se encuentran ubicados en una zona a la cual solo tienen acceso los usuarios de la empresa, quienes cuentan con los permisos garantizados, con el nivel de segregación adecuado, los mismos que personas externas o ajenas a la organización desconocen, pues estos no se encuentran expuestos de manera pública. De esta manera se establece una especie de perímetro que define hasta dónde llega la red privada de la empresa y qué sistemas se exponen públicamente a terceros.

Este modelo tiene mucho sentido cuando se tiene control total de los elementos tecnológicos que están soportando estos sistemas críticos; sin embargo, en las soluciones ‘cloud’ esto no es tan cierto, pues dependiendo del servicio contratado (IaaS, PaaS, SaaS), se esta delegando en un tercero la administración de la capa de infraestructura (servidores físicos, unidades de almacenamiento, etc.), de la capa de plataforma (contenedores de aplicaciones), o de la capa de aplicación (software especializado contratado como servicio).

Por lo tanto, al delegar esta administración, a pesar de los acuerdos de confidencialidad firmados con los proveedores y de las certificaciones en normas de seguridad de la información que estos puedan demostrar, aún queda la posibilidad de que alguno de sus empleados pueda ingresar directamente a los servidores físicos o las unidades de almacenamiento y tomar la información allí archivada sin la autorización del dueño de la información.

¿Cuál sería la estrategia para evitar este riesgo? Primero que todo se debe identificar el tipo de información que se va a transferir hacia la solución ‘Cloud’ contratada, así como el nivel de confidencialidad de la misma, y aplicar sobre la información de mayor confidencialidad un esquema de seguridad enfocado en el dato, el cual permita proteger los datos durante todo su ciclo de vida, desde el mismo momento en el que salen del perímetro seguro, mientras son transportados y durante el tiempo que estén almacenados sobre la infraestructura administrada por el proveedor de ‘Cloud’.

{quote}

Dado lo anterior, se puede hacer uso de herramientas que permitan un adecuado nivel de protección como protocolos de comunicación segura tipo ‘Secure Socket Layer’ (SSL) o ‘Transport Layer Security’ (TLS), a través de los cuales se asegura el tránsito de los datos entre la infraestructura privada y la infraestructura del proveedor de ‘Cloud’.

El Cifrado al vuelo (‘encryption in use’), también permite codificar los datos justo antes de almacenarlos y descifrarlos de manera muy rápida cada vez que son requeridos por una aplicación con los respectivos privilegios de acceso; y finalmente la ‘tokenización’ de datos (‘tokenization’), a través de la cual es posible enmascarar los datos críticos, conservando su tipo (numérico, decimal, texto, etc.) y su tamaño.

Finalmente, se puede concluir que el mundo ‘cloud’ ofrece muchas ventajas, pero a la vez supone varios retos asociados con la seguridad de los datos. Sin embargo, es posible implementar estrategias que permitan mitigar o eliminar los riesgos asociados en la nube, obteniendo un balance importante entre desempeño, seguridad, escalabilidad y disponibilidad de las soluciones tecnológicas desplegadas sobre estos servicios.

 

Por: Carlos Peña

Director de Tecnología, Certicámara S.A.

e-max.it: your social media marketing partner
Read 6070 times
Certicámara

Artículos de contenido técnico-jurídico sobre seguridad informática, comercio y gobierno electrónico, dirigidos al sector público y privado, y en general a consumidores digitales y usuarios finales. Los textos son escritos por expertos profesionales en Derecho y Tecnologías de la Información.