Estrategias

Gartner recomienda no confiar solo en la seguridad que ofrece el proveedor cloud

El vicepresidente de Gartner, John Pescatore, considera que la seguridad cloud debe contar con protecciones añadidas a las que ofrecen los proveedores de los servicios. Los clientes no deberían confiar exclusivamente en las medidas establecidas por sus proveedores.

La información más sensible necesita ser protegida, tanto la referida a clientes como las aplicaciones críticas, o la información sobre producción, por ejemplo. Todas ellas deben contar con sus propios controles de seguridad. “Según te mueves hacia modelos basados en cloud hay algunas cosas que puedes confiar a tu proveedor, pero los datos de negocio más críticos y la información sometida a control regulatorio, raras veces”, asegura Pescatore en un webinar reciente.

La seguridad sigue siendo el principal problema de las compañías a la hora de desplegar una estrategia cloud, pero Pescatore cree que hay formas de aliviar estos temores. Una clave, asegura, es tener provisiones de seguridad que estén diseñadas para proteger concretamente aplicaciones cloud, datos o cargas de trabajo.

Un gran ejemplo es la información sobre tarjetas de crédito. La certificación de la industria de tarjetas de pago (PCI) requiere que cualquier dato sobre clientes que sea almacenado electrónicamente esté encriptado. Algunos proveedores de servicios cloud ofrecen servicios de encriptación, como parte de sus ofertas de almacenamiento cloud. Pero, hay una gama de aplicaciones de terceros disponibles que permiten encriptar y proteger ante ataques DDoS, o establecer medidas de control de acceso a medida de un proyecto en la nube. Muchas de ellas se ofrecen ya en formato cloud.

Ya hay gran variedad de productos de seguridad en cloud que cubren numerosas funciones. Proveedores como Zxaler, Websense o ScanSafe de Cisco son puertas de entrada que se sitúan entre el usuario y el proveedor cloud para monitorizar qué dato se está poniendo en la nube y asegurar que no entra en el sistema del usuario información o aplicaciones maliciosas. Y si la nube se utiliza para alojar una Web, hay servicios de protección específicos, como Imperva, CloudFlare e incluso algunos de Akami, por ejemplo.

Sin embargo, para Pescatore la seguridad cloud está en un nivel básico. La mayoría de las empresas comienzan con un viaje hacia cloud privadas o internas y ése es un buen lugar para empezar con los controles de seguridad también. “Lograr seguridad correcta en nubes privadas primero y luego extenderla hacia nubes híbridas y públicas es una buena estrategia”, sugiere. Disponer de procesos ya implantados para proteger entornos virtualizados de ataques externos también resulta importante, insiste.

El experto considera que el foco de la seguridad cloud debe estar en los procesos de protección de la propia nube. Crear políticas de seguridad globales, luego asegurar que son implantadas a lo largo de todos los despliegues cloud y ajustarse a ellos. Las vulnerabilidades aparecen cuando hay políticas inconsistentes o controles de seguridad que pueden ser forzados, asegura. “Realmente no hemos visto todavía grandes nuevos ataques que estén intentando comprometer la infraestructura cloud o el nivel de virtualización”, asegura. “La realidad hoy es que resulta fácil para los hackers atacar a las compañías a través de servicios cloud”, concluye.

Whitepaper emc-cio-it-as-a-service-wp Whitepapers