Por Acacio Martín, Director General Fortinet Iberia
El cloud computing está cada vez más presente en el mundo empresarial. Los CIOs están convencidos de que, implementado correctamente, el cloud computing puede mejorar enormemente la agilidad y productividad de las compañías a la vez que reducir el coste de la infraestructura. Tanto las grandes como las pequeñas empresas trasladarán partes significativas de sus operaciones a la nube en uno o dos años.
Pero no todas aquellas organizaciones que realicen la migración a la nube obtendrán los resultados deseados. Aquí señalamos los cinco errores en los que no se debe incurrir:
1. No optar por el modelo cloud adecuado
Las compañías que se trasladan a la nube pueden elegir entre las clouds públicas, privadas, comunitarias o híbridas.
- Cloud pública: Pertenece a un proveedor cloud y está disponible al público general en la modalidad de pago por uso.
- Cloud privada: Pertenece a la organización que la ha desplegado y es para uso interno del arrendatario.
- Cloud comunitaria: Es un modelo cooperativo compartido por un conjunto de arrendatarios, normalmente de la misma industria.
- Cloud híbrida: Conjuga los modelos de despliegue cloud anteriores, permitiendo que las aplicaciones y los datos se muevan fácilmente de una nube a otra.
Cada tipo de nube tiene sus propias ventajas. Los factores a considerar antes de adoptar un modelo u otro es la criticidad para el negocio de las aplicaciones que la empresa quiere mover a la nube, los problemas de regulación, los niveles de servicio necesarios, los patrones de uso para las cargas de trabajo y cómo debe estar integrada la aplicación con otras funciones de la empresa.
2. No integrar la seguridad de la nube dentro de su política de seguridad corporativa
Sus políticas de seguridad corporativa y seguridad en la nube deben estar integradas. En vez de crear una nueva política de seguridad en la nube, hay que ampliar las políticas de seguridad existentes para adaptarlas a esta nueva plataforma. Para modificar su política para la nube, hay que considerar factores similares: dónde se encuentra almacenado el dato, cómo está protegido, quién accede a él, cumplimiento de normativa y acuerdos de nivel de servicio.
Cuando esto es adecuado, la adopción de cloud computing puede ser una oportunidad de mejorar las políticas y postura de seguridad.
3. Contar con el proveedor de servicios basados en la nube
No asuma que sus datos están asegurados automáticamente porque cuenta con un proveedor de servicio. Necesita hacer una revisión de la tecnología y los procesos de seguridad de su proveedor, comprobar cómo están asegurando sus datos e infraestructura. Concretamente deberá controlar lo siguiente:
Portabilidad de la aplicación y los datos: ¿Le autoriza su proveedor a exportar aplicaciones, datos y procesos ya existentes a la nube? ¿Puede usted importarlos fácilmente?
Seguridad física del centro de datos: ¿Cómo protege físicamente el proveedor de servicios sus centros de datos? ¿Utilizan centros de datos SAS 70 Type II? ¿están suficientemente entrenados y formados los operadores de sus centros de datos?
Seguridad de accesos y operaciones: ¿Cómo controla su proveedor el acceso a las máquinas físicas? ¿Quién puede acceder a ellas y cómo están gestionadas?
Seguridad del centro de datos virtual: La arquitectura cloud es clave para la eficiencia. Hay que descubrir cómo están integradas y securizadas piezas individuales como los nodos de computación, los de red y los de almacenamiento.
Seguridad de aplicación y datos: Para implementar sus políticas, la solución cloud nos permite definir grupos, perfiles con control de acceso basado en roles, políticas de claves y encriptación de datos (en tránsito y reposo).
4. Creer que ya no es responsable de la seguridad de sus datos
No piense que por externalizar sus aplicaciones o sistemas pueden abdicar de la responsabilidad ante una brecha de datos. Algunas pymes caen en este error pero deben entender que son los responsables últimos de los datos de clientes y terceros implicados. Sería su CEO el que iría ante los tribunales, no el proveedor de la cloud.
5. No conocer la normativa local
Los datos que son seguros en un país pueden no estarlo en otro. En muchos casos vemos como los usuarios de servicios cloud no saben dónde está su información. De hecho, en el proceso de armonización de las leyes de protección de datos de los estados miembros, la Unión Europea es muy estricta a la hora de proteger la privacidad mientras que en América las leyes, como la US Patriot Act, otorgan al gobierno y a otros organismos control ilimitado para acceder a información que pertenece a compañías.
Siempre hay que saber donde se encuentran nuestros datos. Si fuera necesario, almacene sus datos en más de una localización. Es aconsejable elegir una jurisdicción donde podamos acceder a ellos en caso de que el contrato con el proveedor se terminara inesperadamente. El proveedor de servicio debería darnos la flexibilidad sobre dónde queremos que esté nuestra información.
En conclusión, la adopción de la tecnología en la nube conlleva una serie de riesgos a tener en cuenta, y las firmas deben conocerlos bien para evitarlos y maximizar sus inversiones en cloud computing.
