Cloud | Artículos | 15 JUN 2010

Nube sí. Pero segura

Mariano Benito.
Los proveedores de servicios de ‘nube’ han empezado a mostrar recientemente sus bondades sobre la seguridad de sus servicios. Una buena noticia. Porque era una ausencia clamorosa. Aun así, la seguridad está insuficientemente tratada. De nuevo, se cometió el error de primero crear algo y después tratar que sea seguro.
Un servicio seguro se preocupa de tres aspectos: confidencialidad, (que sólo pueda acceder a la información quien esté autorizado), integridad (la información no se altere durante su uso) y disponibilidad (pueda accederse a la información en todo momento).
Por diseño, a la nube se le reconoce una gran disponibilidad de servicios. Sin discusión, los problemas empiezan al hablar de la integridad. Concediendo que el proveedor de nube es más eficaz manteniendo la información sin cambios, ningún proveedor permite en su SLA la posibilidad de verificar si efectivamente se está haciendo. Sólo queda la confianza ciega en el proveedor y corregir el problema cuando se detecte.
La confidencialidad es un problema mayor. Basta recordar que hasta enero de 2010 el acceso a gmail no se cifraba, dejándolo a tiro de indiscreciones. Y, ¿cómo aseguro que sólo yo decidido quién accede a mi información, si la autenticación no está bajo mi control? ¿Cómo aseguro que los empleados del proveedor no tienen accesos que no deben? ¿Se cifran los buzones de correo de Gmail? Aún hay más problemas. La nube se basa en economías de escala. Habitualmente, el proveedor de nube será una compañía mayor que su cliente, posiblemente con un departamento legal más potente y contratos que remiten a legislación no nacional. Si hay diferencias cliente-proveedor, el cliente está en desventaja. Y recordar que, en estos momentos, los SLA de los principales proveedores de nube sólo ofrecen un porcentaje de disponibilidad, sin cubrir áreas como protección de datos o movimientos internacionales. Son SLA incompletos. Por su parte, cada proveedor ha implantado sus nubes a su manera. Sin un estándar de nube que permita a un cliente migrar entre proveedores, si lo desea, hay problemas de interoperabilidad, que podría derivar en que los servicios migrados a la nube tengan que rediseñarse en cada cambio de proveedor. Y si mi proveedor de nube desapareciese, ¿cómo garantizo la disponibilidad sin migración rápida a otro proveedor?


Mariano Benito, director de seguridad de GMV Soluciones Globales Internet.

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios