por rob_enderle

¿Por qué no se debería confiar en los suministradores de servicios cloud?

Noticia

21 oct. 20154 minutos

Ya es difícil confiar en los propios empleados, así que todavía menos en los empleados de los suministradores de servicios en la nube.

También te puede interesar:

Crece la adopción de servicios Cloud entre las empresas
Los proveedores cloud influyen en las infraestructuras del 50% de los CIO

Dicho de forma simple, no se puede confiar en los empleados de los suministradores de servicios en la nube. Francamente, tampoco podemos fiarnos de nuestros propios empleados, pero al menos nuestra capacidad de monitorización es mucho mayor. Ya tuvimos avisos tempranos del problema de cualquier que tiene acceso a datos seguros cuando se pilló a empleados de Google acechando en los accesos de los clientes. Hemos visto desde robos a sabotajes, que resultan en el despido de los empleados cuando se les pilla, pero nunca se informa al exterior.

Estamos en un mundo donde países como China y Rusia sondean agresivamente los repositorios de datos, y donde van los países van los criminales. La forma más fácil es tener acceso a las credenciales de los empleados o que sea el empleado el que obtenga la información, tal como hizo Snowden.

Dado el gran valor que tiene la información y las herramientas que puede utilizar un estado para engañar o forzar a un empleado a que dé acceso a la información, ya es hora de empezar a revisar los servicios cloud y clasificarlos por su capacidad de proteger los datos de ellos mismos.

Una de las áreas claras que están siendo atacadas son los servidores de comunicaciones. Esto es particularmente visible cuando se ha descubierto que Hilary Clinton, la candidata demócrata a la presidencia de los Estados Unidos, utilizó un servidor privado de correo, y que el servidor estuvo probablemente comprometido porque no estaba adecuadamente protegido. Dadas las filtraciones de Snowden, no está claro ahora si esta información habría estado efectivamente más segura dentro del gobierno.

Las comunicaciones son críticas y se puede dañar fuertemente a una compañía o a un país si se da acceso a personas sin autoridad para verlas. Los empleados de TI, tanto internos como los que trabajan para un suministrador de servicios cloud, no deberían tener nunca la autoridad para ver de forma amplia las comunicaciones, pero como hemos visto con el caso Snowden, estamos lejos de donde deberíamos estar.

Idealmente, las comunicaciones deberían ser adecuadamente cifradas en la fuente y solo descifradas por la gente autorizadas a ver la correspondencia. Ciertamente, con un suministrador cloud el cifrado debería realizarse y ser el adecuado para proteger el paquete cuando deja la compañía, y permanecer cifrado e inaccesible hasta que regrese. Bajo ninguna circunstancia un suministrador cloud debería poder, ni por accidente ni a propósito, poder leer un fichero seguro bajo su cuidado.

El gran problema que veo son las analíticas y el “compliance”. La misma compañía necesita poder analizar la información segura, tanto para identificar actividades ilegales que ocurran dentro de la compañía como para responder con efectividad a los requisitos legítimos de acceso. Si no se puede hacer esto la compañía podría verse forzada a quitar la seguridad o crear una puerta trasera para acceder, y en ambos casos eliminaría cualquier valor relacionado con el cifrado en primer lugar.

Esto sugiere dos enfoques, uno donde el servicio reside en la nube en forma cifrada, pero dentro de la compañía en una forma que pueda ser analizada. O uno donde el servicio reside completamente en un núcleo virtual seguro que sólo la compañía pueda acceder pero que tenga el suficiente espacio para atender los requerimientos de comunicaciones y las funciones de reporte y análisis que sean requeridas por políticas o por la ley.

De hecho, este enfoque de núcleo/contenedor debería existir en la compañía también para protegerse mejor de actividades ilícitas. Y una vez en un núcleo virtual, moverse entre suministradores de servicio en la nube o dentro o fuera de nuestras instalaciones debería ser relativamente fácil.

No hace falta decir que todo ello debería estar cubierto con los necesarios controles de acceso y seguridad, porque ningún contenedor es seguro si los que tienen que acceder no pueden ser monitorizados y asegurados.

Es necesario repensar la seguridad. No se debería por tanto confiar en ningún empleado de un suministrador de servicios en la nube. Teniendo en cuenta el entorno actual, es problemático incluso conf

Por rob_enderle

Contributor

Rob Enderle is president and principal analyst of the Enderle Group, a forward looking emerging technology advisory firm. With more than 25 years’ experience in emerging technologies, he provides regional and global companies with guidance in how to better target customer needs with new and existing products; create new business opportunities; anticipate technology changes; select vendors and products; and identify best marketing strategies and tactics.

In addition to IDG, Rob currently writes for USA Herald, TechNewsWorld, IT Business Edge, TechSpective, TMCnet and TGdaily. Rob trained as a TV anchor and appears regularly on Compass Radio Networks, WOC, CNBC, NPR, and Fox Business.

Before founding the Enderle Group, Rob was the Senior Research Fellow for Forrester Research and the Giga Information Group. While there he worked for and with companies like Microsoft, HP, IBM, Dell, Toshiba, Gateway, Sony, USAA, Texas Instruments, AMD, Intel, Credit Suisse First Boston, GM, Ford, and Siemens.

Before Giga, Rob was with Dataquest covering client/server software, where he became one of the most widely publicized technology analysts in the world and was an anchor for CNET. Before Dataquest, Rob worked in IBM’s executive resource program, where he managed or reviewed projects and people in Finance, Internal Audit, Competitive Analysis, Marketing, Security, and Planning.

Rob holds an AA in Merchandising, a BS in Business, and an MBA, and he sits on the advisory councils for a variety of technology companies.

Rob’s hobbies include sporting clays, PC modding, science fiction, home automation, and computer gaming.

The opinions expressed in this blog are those of Rob Enderle and do not necessarily represent those of IDG Communications, Inc., its parent, subsidiary or affiliated companies.