Inicio Articulos. Seguridad en la nube: una responsabilidad compartida (parte 2)

Seguridad en la nube: una responsabilidad compartida (parte 2)

En la primera parte de este artículo observamos cómo, en un modelo tradicional, la administración de infraestructura es responsabilidad 100% de la organización; en el modelo de nube, la responsabilidad se comparte.

La nube posee un éxito muy importante y creciente; poco a poco las empresas adoptan este paradigma, pero se quedan con dudas antes de dar el paso.

 

¿Cómo confiar en un Service Provider?

Certificaciones y normas

  • Infraestructura

Un criterio estandardizado que permite evaluar la seguridad que ofrece un centro de datos es el nivel que tiene al respeto del “Telecommunications Infrastructure Standard for Data Centers”, que define cuatro niveles de centro de datos.

El más sencillo es el nivel 1, básicamente se refiere a una sala de servidor, como muchas empresas tienen. El más complejo es el nivel 4, que está diseñado para alojar los sistemas informáticos más críticos, con subsistemas totalmente redundantes, la capacidad de operar continuamente durante un período de tiempo indefinido durante cortes de energía primarios. El nivel de “Tier” determina también el porcentaje de disponibilidad y entonces el tiempo anual de parada.

  • Software

Al igual que la parte infraestructura, el software está a prueba en los centros de datos. ¿Si contrato un servicio de nube pública, cómo puedo saber que la plataforma que voy a utilizar para mis servicios es diseñada según criterios rigorosos y las mejores prácticas?

Agencias como CSA (Cloud Security Alliance) entregan certificaciones que aseguran que la oferta de nube respeta algunos criterios predefinidos y esenciales para este tipo de servicio.

ISO 27001 (Information technology — Security techniques — Information security management systems — Requirements) y ISO 9001 (Quality Management Systems) son también indicadores fiables del nivel de confianza que pueden tener al respeto de una solución de nube.

Además, algunas actividades requieren certificaciones propias. Ejemplos podrían ser PIC DSS (Payment Card Industry Data Security Standard) o HIPAA (Health Insurance Portability and Accountability Act).

 

¿Quién me podría ayudar a migrar a la nube?

Ahora que eligieron quién va a ser el Service Provider, tienen que decidir si quieren migrar a la nube solos o con el apoyo de una empresa especializada. El nivel de conocimiento que tiene su equipo de sistemas de la plataforma escogida, la experiencia que tienen al respeto de una migración hacia la nube, el tiempo y el dinero que quieren dedicar a este proyecto son criterios que pueden influenciar la respuesta.

La decisión queda de su lado, pero identificamos riesgos que hay que considerar. El apoyo de un especialista va a ayudar en responder a estas preguntas:

  • ¿Qué servicios migrar?

Las aplicaciones y servicios críticos que son sensibles funcionarían mejor y más eficientemente en una infraestructura “in-house”. Las aplicaciones sensibles a la latencia o que requieren una infraestructura grande deberían quedarse en las instalaciones de la empresa también. Recomendamos empezar con servicios “cloud friendly”, tipo correo electrónico, sitio web o aplicaciones que fueron desarrolladas para entornos virtualizados y, posteriormente, ir moviendo hacia la nube otros servicios de mayor complejidad.

  • ¿Cómo diseñar una arquitectura en la nube?

Una de las problemáticas de las organizaciones que quieren migrar a la nube es que a menudo diseñan una infraestructura en nube como si fuera “in-house”. Es un error frecuente. Una solución en la nube necesitará menos recursos porque vamos a dimensionar la infraestructura según una demanda media, la nube se encargará, de manera elástica, de adaptarse a la demande creciente o decreciente de la aplicación (noción de pico – escalabilidad).

  • ¿Cómo evalúo el costo probable?

Puede ser muy difícil evaluar un costo. Regresando al punto del dimensionamiento de la infraestructura, vemos empresas que evalúan mal el costo y tienen sorpresas desagradables cuando cae la primera factura. Tener la oportunidad de contar con el apoyo de un integrador es muy recomandable porque él conoce el modelo de negocio del Service Provider en la nube.

  • ¿Cómo aporto esta cultura en la empresa?

Migrar a la nube no es suficiente, el reto es traer también los cambios necesarios para aprovechar de toda la potencia de la nube. Temas como desarrollo, seguridad, monitoreo deben de ser adaptados al paradigma de la nube.

 

En conclusión

Vimos que los pormenores de la seguridad en la nube son complejos, pero identificados. Ahora entonces ya no nos preguntamos si la nube es segura o no, la pregunta ahora es cómo identificar, según sus especificaciones y su sector de actividad, el mejor proveedor y el especialista que me va a acompañar para que el proyecto sea un éxito. También es responsabilidad del cliente preguntarse cuáles son las medidas que, de su lado, puedo tomar para maximizar la seguridad de su sistema y aplicaciones.

Por Romain Malenfant, Director Comercial en Cobalt Bond