Protección en la nube

“Todos tenemos nuestro sabor y estilo de estos servicios”, comentó Mauricio Sajbert, director de ingeniería en Sun; puede ser que para unos sea accesar servicios a través de Web, para otros utilizar servicios virtualizados en Web y otros tantos que lo entienden como software as a service.

“Todo lo anterior es parte de la nube, pero aún está en definición y formación. En este proceso se definirán los estándares y las certificaciones que se requieren para que una empresa pueda confiar, de forma parcial o total, sus operaciones en un proveedor de cloud computing,” agregó Sajbert.

Por otro lado, Ramón Salas, director regional para México y Centroamérica de Websense, destacó que el “cloud computing ha sido importante en empresas que están en crecimiento o que se encuentran en diversas zonas geográficas, ya que no tienen que hacer inversiones muy altas en cada una de las localidades en las que se encuentran”.

Por el momento, la seguridad depende del conocimiento que se tiene del proveedor, al saber que está bien establecido y que tiene políticas de protección, por lo que la seguridad dependería de conocer los términos y condiciones que se firma con el proveedor.

A pesar de que no existen las certificaciones, Sajbert consideró que los riesgos son bajos, pues los ambientes virtualizados son seguros, ya que trabajan aislados. “Lo que se tiene q

Respecto del futuro, el ejecutivo señaló que se verán que ciertas políticas tomarán más relevancia, como el manejo de identidades. “Muchas empresas tendrán la información en sus centros de datos administrada por ellas mismas o haciendo outsourcing de la gestión, otras tendrán sus datos hospedados con un proveedor de cloud computing, quien les dará infraestructura virtual donde instalarán sus sistemas operativos y aplicaciones.

“En cualquiera de estos casos, lo importante es el manejo de identidad, donde cada empresa designe los accesos y la administración de las aplicaciones, asegurando que nadie más pueda acceder y vulnerar los datos”.

En el dinamismo que caracteriza a las empresas, el manejo de identidades y roles se vuelve importante, sector donde los distribuidores pueden hacer negocios con la seguridad.

Para ello, habría que entender qué tipo de negocio es, “pues de antemano se abren muchas oportunidades, sobre todo para que los distribuidores puedan vender servicios, sin contar con infraestructura propia, la cual rentan de un tercero”, comentó el entrevistado.

Así como en cloud computing no existen estándares de seguridad, en Web 2.0 tampoco; las denominadas redes sociales están establecidas por la oferta específica de ciertos proveedores, donde aún no hay estándares establecidos o certificaciones de privacidad de la información en ellos.

“Los más comunes son confiables; quizás se debe tener cuidado con los términos y condiciones, cosa que no comúnmente se hace, pero acatando estos términos, se establece que el usuario se atiene al poner su información en el sitio de ellos”.

En algunos casos, los proveedores indican que podrán mercadear la información que está en sus servidores. La principal observación es leer los términos y recomendaciones para saber qué puede hacer el proveedor con la información que se le está confiando.

“Inicialmente, estas redes se usaban para entretenimiento o diversión, pero muchas empresas las están utilizando para hacer negocio, la visión de Websense es decirles sí a estas tecnologías y lograr que las compañías se adapten a los cambios desde el punto de vista de seguridad”, agregó Salas.

Jorge Osorio, especialista de seguridad para la PyME en Trend Micro, señaló que pareciera que cloud computing es un concepto nuevo, sobre todo para usuarios finales, porque no están acostumbrados a que el antivirus haga validaciones en Internet.

“Están acostumbrados a las actualizaciones que viven en sus equipos”, lo que Trend Micro plantea es que seguridad en la nube pueda ser real y que el usuario, al navegar en Internet, valide los sitios donde entra”.

De la misma forma con el correo electrónico, todo ello basado en la consulta y validación de datos en Internet.

Osorio comentó que para proteger a la nube existen varias formas, pues cada proveedor de seguridad plantea esquemas distintos para proteger los datos. “Nosotros, por ejemplo, estamos haciendo alianzas con los proveedores de servicios, para que directamente el ISP dé el servicio protegido al usuario”.

De acuerdo con el entrevistado, la tendencia en amenazas en la nueva forma de entregar la tecnología radicará en que los ciberdelincuentes seguirán atacando las transacciones de los usuarios, por lo menos en un año y medio más.

“Seguirán haciendo dinero secuestrando computadoras, tomando el control para enviar spam, hacer denegación de servicio, todo ello con amenazas más silenciosas, de las cuales el usuario no se percatará”.

El escenario anterior podría complicarse y traducirse en oportunidad de negocio, pues, de acuerdo con el ejecutivo, entre todo tipo de usuarios, la seguridad se sigue viendo como algo banal, pues siguen haciendo comparaciones entre antivirus para saber cuál detecta más o menos y en cuánto tiempo, cuando en realidad este tipo de parámetros ya no son válidos.

“Ahora se debe ver cómo reacciona una solución de seguridad, cómo es la actualización, qué infraestructura tiene más allá del soporte; estos son los elementos que los usuarios deben tener en cuenta”.

“Los proveedores deben ofrecer al cliente una solución para seguridad en Web, correo electrónico y datos. Quien los dé en una misma aplicación, tendrá una gran ventaja competitiva en el mercado, pues los integradores no tendrán que instalar tres aplicaciones diferentes, dándole al canal una ventaja importante”, advirtió Salas.

“Capacitamos al canal para que conozcan bien las soluciones e inviten a sus usuarios a comprarla y compararla”, concluyó Salas.

Según información de Trend Micro, en 2005 había 38 nuevas amenazas Web por hora, en 2008 hasta 1,800 en el mismo periodo, ya fueran simples o combinadas, y en su mayoría todas eran conocidas. Además, cada dos segundos se crea una nueva amenaza, ya sea virus, troyano, phishing.