No transcurren más de un par de semanas sin leer sobre violaciones de seguridad en las cuales fueron extraídos datos sensibles de las grandes empresas, bien conocidas. Sony fue la última víctima, con los correos electrónicos y otros datos robados de los servidores internos. Antes de Sony, fue un quién es quién en el mercado minorista, con ataques de hackers contra Target y Home Depot.
¿Por qué está pasando esto ahora? En su mayor parte, estas empresas tienen seguridad tradicional en sistemas tradicionales. Pero lo que funcionó en 2005 no funciona en el 2015, ya que los hackers están aprendiendo cómo explotar las vulnerabilidades de los sistemas existentes. Hasta que estas empresas tengan una mejor planificación y tecnología de seguridad, se producirán más brechas. Cuente con ello.
Es escalofriante considerar estos acontecimientos a medida que avanzamos hacia la nube pública. En las nubes públicas, las compañías colocan datos fuera de su control, lo que hace que se sientan más expuestos que los datos almacenados en los servidores que están en el pasillo. Pero el hecho es que la computación en la nube no tuvo la culpa de estas violaciones de alto perfil; ellas ocurrieron en sistemas internos tradicionales.
Hay dos razones por las cuales las brechas de nubes no son tan generalizadas como algunos piensan. En primer lugar, cuando las empresas adoptan sistemas basados en la nube –especialmente nubes públicas– TI trabaja horas extras en la planificación de la seguridad. En segundo lugar, TI solo utiliza la tecnología de seguridad en la nube de primer nivel, como los sistemas basados en la gestión de identidad federada que están mejor equipados para realizar el seguimiento del entorno y los jugadores humanos.
Hoy en día, se está llegando a un punto en que la nube pública es realmente más segura que los sistemas tradicionales –eso es, siempre que que los usuarios de la nube hayan hecho la planificación adecuada para la seguridad y la gobernanza, y hayan invertido en la tecnología adecuada.
Gobierno de la nube y la seguridad van de la mano
La gobernanza es nueva para la mayoría de las empresas, pero es un requisito para pasar a la nube. La idea es monitorear el uso de recursos de nube, tales como servidores y servicios, y limitar lo que los sistemas y los usuarios pueden hacer con esos recursos. La vinculación de la gobernanza con una estrategia sólida y tecnología de seguridad reduce la probabilidad de una brecha.
Para crear una sólida estrategia de seguridad en la nube, recuerde que gobernanza y la seguridad son sistémicos. Usted no solo las atornillar después de una implementación y espera lo mejor. Además, no emplee estrategias de seguridad y tecnología separadas para sistemas de nube y que no están en la nube. Si los hackers irrumpen en uno, por lo general accederán al otro. Es crucial proporcionar un conjunto coherente de procesos basados en la tecnología adecuada.
Las víctimas de una brecha son todas culpables de no tratar la seguridad como un esfuerzo continuo. Los procesos, la
capacitación y la tecnología deben ser abordados de manera consistente. Es como un juego de golpear al topo (Whack-a-mole).
Aparte de la tecnología que la hace posible, la planificación de la seguridad de la nube es la misma que para los sistemas locales. Amplíe su plan de seguridad empresarial para incluir la nube, en lugar de utilizar nuevos enfoques para los sistemas basados en nube. Sin embargo, la nube le da a muchos departamentos de TI la licencia necesaria para finalmente revisar los sistemas de seguridad obsoletos.