Seguridad de los datos en el cloud computing

Mayo 2017


El proveedor de soluciones de seguridad a las empresas, Unisys, ofrece "Stealth", una solución de seguridad de datos de las empresas. Esta solución fue sometida a un test y adoptada por el Departamento de Defensa de los Estados Unidos para garantizar la confidencialidad de su sistema de información.

Cuando los proyectos de virtualización se multiplican en las empresas, la confidencialidad, la integridad y la disponibilidad de los datos albergados en los centros de procesamiento de datos se volvieron los principales objetivos del cloud computing. Jean-Jacques Cockx, Vicepresidente en Europa de "Technology Consulting and Integration Solutions" para Unisys, explica detalladamente los desafíos de seguridad del traspaso de la información de las empresas al cloud computing.



CCM - En la actualidad, se da la tendencia de los proyectos de virtualización de aplicaciones y terminales de trabajo en la empresa. ¿La tendencia general hacia el cloud computing en qué modifica las reglas de seguridad de informática?

Jean-Jacques Cockx - La ventaja del cloud computing es también percibida como una desventaja, ya que fuerza a las organizaciones y empresas a depender de un prestatario externo al cual confían sus operaciones como la seguridad de la información empresarial.

Es esencial que las empresas que planean pasar su información al cloud computing se aseguren que los proveedores potenciales puedan ofrecerles un control permanente, especialmente sobre los elementos garantes de la continuidad y de la estabilidad de sus operaciones.

Ciertos elementos de control son jurídicos, como la definición de la propiedad de los sistemas de información y la definición de la propiedad de las informaciones que circulan o que son almacenadas en estos sistemas virtualizados. Hay que añadir la problemática de la protección de la vida privada. Este elemento es a menudo ignorado o tratado con retraso, lo que complica el despliegue de los servicios online.

Hay también otras preguntas primordiales: ¿qué pasa si el proveedor decide poner fin a su servicio? ¿Cómo administrar las evoluciones futuras o cómo los nuevos desarrollos vuelven incompatibles los servicios alquilados con los sistemas de organización del cliente? ¿Qué pasa en caso de adquisición del proveedor de servicios por otra empresa?

Otros elementos son de orden organizacional, como el definir una organización conjunta de tratamiento de incidentes, ya sean de naturaleza operacional o de naturaleza de seguridad.

La importancia y los límites de las políticas de confidencialidad también es un tema que la empresa que desea pasar a la virtualización de servicios debe verificar del futuro prestatario. Por ejemplo en caso de extraterritorialidad de los servidores y de las bases de datos, hay que averiguar: ¿Dónde están situados físicamente? ¿Cuáles son las leyes que se aplican y las políticas de confidencialidad que priman?



CCM - Las soluciones de seguridad de los datos que ofrece "Stealth" captaron la atención del Departamento de Defensa de los Estados Unidos. ¿Qué tipo de innovación tecnológica atrajo este interés en particular?

J-J-C. - Con el fin de reducir los costos, el Departamento de Defensa de los Estados Unidos estaba en busca de una solución que garantizaba la confidencialidad de las informaciones en su totalidad y que les permitiera reducir los costos operacionales manteniendo el nivel requerido de seguridad. Stealth fue considerado como respuesta a esta necesidad ya que garantiza un acceso controlado a la información, la confidencialidad y la integridad de la información durante el envío y el almacenamiento de datos. Permite reducir sensiblemente el equipamiento tecnológico (servidores internos) y aumentar la flexibilidad en la gestión operacional de los sistemas de información.

El Departamento de Defensa de los Estados Unidos, como muchas empresas, explota las redes de información en múltiples niveles de seguridad, de no clasificado a muy secreto (top secret). El método tradicional de seguridad y de preservación de la confidencialidad de los datos consiste en prever infraestructuras totalmente separadas, lo que implica desdoblamiento de los servidores, las bases de datos, las estaciones de trabajo y equipos operacionales dedicados.



CCM - Una de las ventajas del cloud computing, es por supuesto permitir a los colaboradores el acceso remoto a las aplicaciones de la empresa, especialmente mediante sus smartphones. Estos son el objeto de numerosas preocupaciones desde el punto de vista de la seguridad de las conexiones a distancia. ¿Cuáles son las medidas de seguridad tecnológicas contra estos riesgos?

J-J-C. - La calidad de la seguridad de un acceso remoto a los datos de la empresa desde un smartphone es un problema real pero poco conocido por los usuarios. El problema se complica por la multitud de los sistemas operativos móviles disponibles, como Symbian, RIM Blackberry, iPhone OS, Windows y Android. Cada sistema operativo tiene sus fortalezas y debilidades, cada uno necesita un análisis de riesgo propio. Las amenazas más frecuentes para los smartphones son los programas maliciosos y espías.

El método de seguridad es relativamente complejo. Los smartphones forman parte integrante de la red tecnológica de terminales de trabajo. Se requiere una mejor información de los usuarios, una gestión integrada del uso de los teléfonos móviles, de ser posible una uniformización de los sistemas operativos, el empleo generalizado del cifrado, el despliegue de antivirus y de cortafuegos.



CCM - Las grandes empresas ven desde luego un interés económico en pasar a utilizar los centros de procesamientos de datos virtualizados. ¿Es menos evidente este interés para las pequeñas empresas? ¿Las pequeñas empresas tienen interés en virtualizar sus datos y aplicaciones?

J-J-C. - Las pequeñas y medianas empresas poseen necesidades muy específicas en materia de soporte informático pero muy a menudo su complejidad es comparable a las necesidades de las grandes empresas. La dependencia de un soporte informático fiable, evolutivo y seguro es esencial para las empresas, ya sean pequeñas o grandes. Las consecuencias de una interrupción de un servicio informatizado, la pérdida o la corrupción de datos tienen el mismo efecto para una pequeña empresa como para una empresa grande. Además, es raro que una pequeña empresa pueda ofrecer el personal necesario para una gestión óptima y segura de su infraestructura informática. Por lo general, es probado que durante un accidente informático, las pequeñas empresas están más expuestas que una empresa grande.

Sin embargo, a diferencia de una empresa grande, las economías de escala para las pequeñas y medianas empresas son menos evidentes. Pero estoy convencido que el cloud computing es una solución que deberían contemplar las pequeñas y medianas empresas, al menos para aplicaciones no específicas.



CCM - Sabemos que una parte de la seguridad de los datos informáticos pasan por el comportamiento racional de los colaboradores. ¿Qué consejos prácticos deben proporcionar las empresas que albergan sus datos o aplicaciones en los centros de procesamientos de datos a sus empleados?

J-J-C. - No creo que haya una diferencia fundamental en el comportamiento de los usuarios sobre la seguridad de los datos desde un terminal en la empresa y una conexión remota desde un dispositivo móvil. Las políticas de seguridad se aplican en dominios similares: acceso, manipulación y distribución de datos, utilización de contraseñas, respeto de las reglas de utilización y de conservación del material, la instalación no controlada de programas externos, reglas de utilización de Internet, etc.

Toda buena política de seguridad requiere de la sensibilización de los usuarios sobre la seguridad informática. Creo que ésta es la piedra angular de toda buena seguridad de la información.

Sitio web de Unisys


Consulta también

Publicado por Carlos-vialfa. Última actualización: 18 de abril de 2012 a las 21:24 por Carlos-vialfa.
El documento «Seguridad de los datos en el cloud computing » se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.