¿Qué está ocurriendo y cómo pueden las empresas reducir riesgos y mejorar su seguridad para cuidar sus datos?¿Qué está ocurriendo y cómo pueden las empresas reducir riesgos y mejorar su seguridad para cuidar sus datos?
Por CJ Radford, vicepresidente del departamento Cloud para Vormetric (Grupo Thales), una empresa integral de seguridad de datos de alto desempeño que además es socia de Rackspace.
Incluso cuando cada vez más empresas confían sus datos confidenciales a la nube, muchos siguen negando las amenazas a las que se enfrentan estos datos.
Esa es una de las dos conclusiones del Data Threat Report anual de Vormetric, que descubrió que aunque las empresas han aumentado el uso de datos confidenciales en la nube de 54% a 85%, la seguridad sigue siendo el principal obstáculo para la adopción de la nube. Aunque tres cuartos de las empresas estadounidenses encuestadas mencionan problemas de brechas y ataques a la seguridad de sus datos en la nube, solo 24% utiliza sistemas de encriptación para protegerlos.
¿Qué está ocurriendo y cómo pueden las empresas reducir riesgos y mejorar su seguridad?
Sus datos confidenciales ya están en la nube
Conforme el panorama informático sigue evolucionando, se adoptan servicios de cómputo en la nube en prácticamente todos los niveles de la infraestructura informática. En los departamentos de TI, el almacenamiento de respaldos, la recuperación tras desastres y las aplicaciones de cadenas de suministros suelen ser los primeros servicios de cómputo en la nube que se adoptan, ya que ésta ofrece costos y economías de escala muy atractivos. Y mientras centralizar las TI ha sido siempre la norma para muchas empresas, en la actualidad, muchas unidades de negocio ajenas a las TI están adoptando aplicaciones de cómputo en la nube cada vez con más frecuencia para realizar tareas como la gestión de las relaciones con los clientes, la inteligencia empresarial, los servicios de asistencia y la automatización del marketing digital.
Al analizar este asunto más a fondo, observamos que muchos proveedores de nubes probablemente están utilizando servicios de cómputo en la nube como Amazon Web Services, Microsoft Azure, Google Cloud Platform u otros para ofrecer sus servicios. Esto significa que todos los tipos de datos confidenciales (datos de clientes, información empresarial confidencial, información de empleados y datos financieros) probablemente ya estén almacenados en algún tipo de nube. Y esto a su vez significa que la supervivencia de una empresa depende de que se tomen medidas para mantener la seguridad de los datos y la privacidad de los clientes, socios y empleados.
Una de estas medidas debería ser la encriptación con una administración de claves controlada por la empresa.
La encriptación es esencial en la nube
El Cloud Controls Matrix Working Group, parte de la organización sin fines de lucro Cloud Security Alliance, que se dedica a definir y a concienciar sobre buenas prácticas de seguridad en la nube, ha creado un marco de seguridad que ofrece una estructura e información detallada y clara sobre la seguridad en la nube.
Recomiendan:
• La segregación de datos mantiene los datos separados y protegidos de otros datos en la nube para asegurar su confidencialidad.
• La administración de claves segura permite controlar y administrar integralmente las claves criptográficas.
• Los controles de acceso a datos definen quiénes son los usuarios o aplicaciones que tienen acceso a datos confidenciales protegidos.
• La auditoría y monitoreo del acceso a datos rastrea y registra toda la actividad de acceso a datos para ayudar a identificar de forma proactiva accesos no autorizados.
• La destrucción de datos permite borrar datos “digitalmente” destruyendo claves de encriptación, lo que hace que los datos no se puedan leer.
Estas buenas prácticas abogan por una sólida encriptación en reposo de los datos y una buena administración de las claves controladas por la empresa, lo que permite a las organizaciones proteger, dirigir y mantener el control de sus datos en la nube. En el modelo de responsabilidad compartido, la encriptación establece un importante control de la seguridad para imponer una clara separación de responsabilidades entre la empresa y su proveedor de servicios en la nube.
Al aplicar la encriptación y la administración de claves, las empresas pueden controlar y asegurar sus datos en la nube. Las empresas poseen las claves, por lo que pueden estar seguras de que los administradores del proveedor de servicios en la nube nunca podrán ver sus datos de forma transparente. Además, si existen copias no autorizadas de los datos en la nube, seguirán estando protegidas, ya que la propiedad y el acceso a las claves están bajo el control de la empresa. De hecho, cuando las cargas de trabajo y los proyectos de la empresa están completados, pueden estar seguros de que todos los datos encriptados, e incluso las copias desconocidas de los datos, se pueden eliminar para siempre simplemente destruyendo la clave. A esto lo llamamos seguridad de datos “permanente”.
Adopte la estrategia de encriptar todo lo importanteSi la encriptación y la administración de claves son tan efectivas para proteger datos en la nube, ¿por qué su adopción es tan baja en las implementaciones de la nube?Puede ser porque las empresas en proceso de adopción de la nube simplemente no hayan encontrado una estrategia de encriptación que funcione y se pueda aplicar a los distintos tipos de datos que se encuentran en sus negocios. En el pasado, la encriptación se veía como una medida de seguridad táctica que se aplicaba a las bases de datos, a los archivos, a los discos duros y a los dispositivos personales en los momentos necesarios. Este enfoque fragmentario es bastante complicado para implementar y administrar distintas tecnologías de encriptación y sus claves asociadas conforme crece la utilización. Actualmente, todos los tipos de datos, incluyendo bases de datos estructuradas, archivos desestructurados y nodos de big data, pueden asegurarse bajo una solución de encriptación de datos en reposo como Vormetric Data Security Platform, con una solución de administración de claves cotidianas que facilita la implementación y la administración.Con una estrategia de “encriptar todo lo importante” implementada en una plataforma integral de encriptación y administración de claves, las empresas pueden proteger y controlar eficazmente todos sus datos en cualquier parte.
Con una estrategia de “encriptar todo lo importante” implementada en una plataforma integral de encriptación y administración de claves, las empresas pueden proteger y controlar eficazmente todos sus datos en cualquier parte. Esto significa que las empresas pueden estar seguras de que sus activos más importantes están protegidos en la nube y adoptar servicios en la nube con confianza para impulsar su crecimiento.
