El pasada semana se publicó la traducción de la guía de seguridad en la nube por parte de la Cloud Security Alliance (CSA). En esta edición se completa y actualiza el paradigma de la nube en la empresa. Se ha trata do de definir, qué, cuándo y cómo dar el salto a la nube. No se trata de una cuestión por lo tanto al azar, puesto qeu para saber definir los peligros de la computación en la nube lo primero que debemos saber es si es necesaria para nuestra organización.
La CSA ha definido los entornos de cloud computing como:
La nube es un modelo a la carta para la asignación y el consumo de computación. La nube describe el uso de una serie de servicios, aplicaciones, información e infraestructura compuesta por reservas de recursos de computación, redes, información y almacenamiento. Estos componentes pueden orquestarse, abastecerse, implementarse y desmantelarse rápidamente, y escalarse en función de las dimensiones para ofrecer unos servicios de tipo utilidad.Integrar aplicaciones de seguridad en este tipo de entornos no fomenta precisamente algunos de los principios del cloud computing, como puede ser la flexibilidad y escalabilidad. La abstracción del hardware impide a las organizaciones trabajar con un nivel de seguridad y control semejante al que tienen en entornos locales que ellos controlan y administran. Lo que dicho de otro modo, en cierto modo las empresas pierden el control de la seguridad al pasar a la nube.
Significa esto que ¿trabajar en la nube sea más inseguro que el trabajo en local?. En mi opinión no es así, puesto que para muchas de las pequeñas organizaciones que dan el salto a la nube no tienen responsables que fijen políticas de seguridad en sus propias oficinas y por lo tanto trabajar en la nube suele suponer una mejora en la seguridad. Otra cuestión es en las grandes corporaciones y entidades públicas.
Para mejorar estos aspectos de seguridad de trabajo en la nube la CSA ha definido 13 puntos que van desde el nivel de auditoría, recuperación de desastres, seguridad de aplicaciones o identidades, ciclo de vida de los documentos, portabilidad e interoperabilidad entre otros. Se trata de un documento de referencia imprescindible que ayudará a conocer todas las implicaciones que tiene el salto del trabajo a la nube para muchas empresas.
Vía | INTECO-CERT Más Información | CSA En Tecnología Pyme | El software en la nube explicado en vídeo