Un estudio de Ponemon Institute y CA Technologies muestra que proveedores y usuarios de cloud computing tienen visiones distintas acerca de la seguridad en la nube.

CA Technologies y Ponemon Institute, una firma de investigación independiente especializada en privacidad, protección de datos y políticas de seguridad de la información, han publicado un estudio que muestra que los proveedores y los consumidores de cloud computing no coinciden en sus puntos de vista sobre el enfoque, la prioridad y la responsabilidad acerca de la seguridad en la nube.

El estudio, titulado “Security of Cloud Computing Providers”, indica que los proveedores de cloud se centran más en proporcionar las ventajas de coste y rapidez de implantación, dos de las principales razones citadas para migrar a cloud computing. La mayoría de los proveedores de cloud (79 por ciento) asignan sólo el 10 por ciento o menos de los recursos de TI a actividades relacionadas con seguridad o control. Esto coincide con otro resultado según el cual menos de la mitad de los encuestados está de acuerdo o muy de acuerdo con que la seguridad es una prioridad.

“El foco en costes reducidos e implementación más rápida puede ser suficiente para los proveedores de cloud computing ahora, pero a medida que las organizaciones lleguen al punto en que lo único que quede para migrar a cloud computing sean los datos y las aplicaciones más sensibles, se encontrarán en un punto muerto”, señala Mike Denning, director general de Seguridad en CA Technologies. “Si el riesgo para la seguridad es mayor que los beneficios potenciales de ahorro de costes y de agilidad, podríamos llegar un punto de “estancamiento del cloud computing”, en el que la adopción se ralentice o se detenga, hasta que las organizaciones crean que la seguridad cloud es tan buena o mejor que la seguridad de sus propios sistemas”.

Otros interesantes resultados que arroja el estudio son:

Menos del 20 por ciento de los proveedores cloud de los Estados Unidos y Europa ven la seguridad como una ventaja competitiva. Menos del 30 por ciento de los encuestados considera la seguridad como una responsabilidad importante. Menos del 27 por ciento de los encuestados opinan que sus servicios cloud protegen y aseguran sustancialmente la información del cliente.
La mayoría de los proveedores cloud (69 por ciento) creen que la responsabilidad principal de la seguridad la tiene el usuario de cloud, mientras que sólo el 35 por ciento de los usuarios de cloud computing creen la seguridad es responsabilidad suya. Sólo el 16 por ciento de los proveedores de cloud computing piensa que la seguridad es una responsabilidad compartida, frente al 33 por ciento de los usuarios que creen en ese deber compartido. El 32 por ciento de los proveedores y usuarios de cloud computing coinciden en que la seguridad es responsabilidad del proveedor.

Los proveedores y usuarios de cloud discrepan al opinar sobre el grado de sensibilidad de la propiedad intelectual y la nube. El 68 por ciento de los usuarios de cloud computing piensa que es demasiado arriesgado utilizar su propiedad intelectual en cloud computing, comparado con el 42 por ciento de proveedores cloud que opinan lo mismo.

“Teniendo en cuenta la preocupación, tan comentada, sobre los riesgos potenciales para la información confidencial y sensible en la nube, creemos que sólo es cuestión de tiempo que los usuarios de soluciones de cloud computing exijan sistemas de seguridad mejorados”, apunta Larry Ponemon, presidente y fundador del Ponemon Institute. “Sin embargo, hasta que esto suceda, los usuarios del cloud computing deben ser conscientes de su responsabilidad de evaluar los riesgos antes de migrar a la nube. Deberían examinar a fondo a los proveedores y sus aplicaciones e infraestructura en función de su capacidad para salvaguardar la información. Por último, los usuarios y los proveedores de cloud computing deben considerar la importancia de la responsabilidad conjunta para crear un entorno informático seguro”.

Acerca del estudio

El Ponemon Institute encuestó a 103 proveedores de servicios cloud de los Estados Unidos y a 24 de seis países europeos, incluyendo España. Los encuestados afirmaron que los servicios más frecuentemente ofrecidos eran: software como servicio (55 por ciento), infraestructura como servicio (34 por ciento) y plataforma como servicio (11 por ciento). El 65 por ciento de los proveedores cloud que participaron en este estudio implantan sus recursos TI en entornos de cloud públicas, el 18 por ciento en clouds privadas y otro 18 por ciento en clouds híbridas. Este estudio es el segundo de una serie de dos sobre el estado de la seguridad en la nube. Para el primer informe, titulado “Security for Cloud Computing Users”, se llevaron a cabo 925 entrevistas, 283 en Europa, a directores de informática, de tecnología, financieros y de seguridad de la información de Alemania, España, Estados Unidos, Francia, Holanda, Italia, Reino Unido y Suiza.

Casi dos tercios

Reciente estudio realizado por Ipswitch revela que el 63,7% de las organizaciones consideran incorporar tecnologías Cloud para este año.

La División de Network Management de Ipswitch reveló los resultados de un estudio que realizó, entre algunos de sus 100.000 clientes, acerca de la inversión en Cloud durante 2011.

El estudio reveló que sólo el 36,3% de las organizaciones no están planeando inversión alguna en cloud; lo que sugiere que los temores previos en torno a la migración hacia cloud quizás hayan desaparecido.

Los resultados exhiben que la seguridad sigue siendo una consideración importante para las compañías que buscan invertir en la nube, y las soluciones orientadas a cloud parecen ser un mejor foco de inversión, en la medida en que son percibidas como más fáciles y seguras de manejar si se desenvuelven en un entorno de nube privada, tal como ha indicado el 29% de los encuestados.

Los resultados completos acerca de la pregunta “¿En cuál de los servicios basados en la nube invertirá más durante 2011?” fueron:

• No planeo ninguna inversión: 36.3%
• Nube privada: 29%
• Nube pública (por ejemplo: Amazon, Microsoft Azure): 13.3%
• Combinación de nube pública y privada: 21.3%

“Estos resultados muestran que el 2011 podría convertirse en el año de la masificación del Cloud Computing, a pesar de que la mayoría prefiere primero migrar hacia una nube privada; lo cual es entendido como una tarea más fácil de gestionar y monitorear en caso de problemas”, expresó el Presidente de la División de Network Management de Ipswitch, Ennio Carboni.

Fuente: Ipswitch.

Cloud Computing

El informe “El Despertar de la Nube”, elaborado por la consultora Accenture, revela los planes que las grandes empresas de todo el mundo tienen para la nube durante los 18 meses venideros. Muy pocas empresas ignoran la nube y su implementación más recurrente es establecer procesos entre varias organizaciones.

El informe de Accenture Cloud Rise: Rewards and Risks at the Dawn of Cloud Computing (El despertar de la Nube: Beneficios y Riesgos en el Amanecer del Cloud Computing), publicado en noviembre de 2010, está ahora disponible para descarga gratuita (documento PDF) para todos los interesados.

Accenture basa su informe en varias fuentes. Una de las más importantes fue una encuesta realizada entre 669 grandes empresas de nueve países, representativas de un total de 20 rubros. Se entrevistó a los directores de empresas que han incorporado la nube y tecnologías afines, analizando además informes relacionados con la implementación de la nube.

Según el informe, lo más importante que está ocurriendo es que las grandes empresas ya no se conforman con “mirar las nube” sino ya están abocadas al proceso de incorporarla a sus propios procesos de trabajo y negocio.

El documento recalca que el elemento fundamental de la nube es que los usuarios tengan acceso, independientemente del lugar en que se encuentren, a recursos de procesamiento de datos vía Internet, desde redes remotas.

Se precisa además que la nube está configurada con el fin de asegurar que un desempeño incrementado sea posible sencillamente agregando nuevos servidores, y que el software pueda ser ejecutado en cualquier servidor con capacidad disponible. Una nube puede ser pública o cerrada, y su finalidad es entregar cuatro distintos tipos de servicios: software, infraestructura, procesos de negocio y plataformas.

El informe indica que el 44% de las grandes empresas de los países cubiertos por la encuesta; Australia, Brasil, Francia, Japón, China, Singapur, Gran Bretaña, Alemania y EEUU, ya usan nubes para un gran número de objetivos, que frecuentemente implican la ejecución de aplicaciones críticas. En el transcurso de 2012, el porcentaje aumentará a 54%. La combinación de grandes recursos y gran flexibilidad es decisiva para los líderes consultados, quienes consideran ventajoso poder recurrir a nubes compartidas para así evitar responsabilidades operativas e inversiones.

Otro efecto importante de la nube es que permite a las nuevas empresas establecer sistemas TI muy avanzados con una inversión mínima. Esto fomenta, en general, la creación de nuevas empresas y, en particular, tiene especial relevancia para empresas emergentes de países con poca trayectoria TI, como China.

Las empresas establecidas han mostrado un gran interés por usar la nube como plataforma tecnológica de soporte para procesos de negocio entre organizaciones y para facilitar el intercambio de información y toma de decisiones, indica el informe.

Las consideraciones de seguridad parecen no disuadir a las empresas de usar la nube. Paralelamente, parece haber una falta de interés de las autoridades públicas para establecer estándares comunes de seguridad, protección de la privacidad y tecnología. Algunas empresas incluso se interesarían por un sistema de certificación pública para proveedores de servicios de cloud computing. El informe de Accenture dedica un capítulo propio al papel de las autoridades frente a la nube. Al respecto, se menciona la importancia crítica de contar con banda ancha de alta velocidad, estable y garantizada.

El informe presenta seis formas distintas en que las empresas están utilizando la nube para ahorrar costes. Una de las más relevantes es trasladar los sistemas de correo electrónico y mensajería de sistemas TI propios a servicios en la nube. Al respecto, se menciona el caso del periódico New Zealand Post, que ahorra 2 millones de dólares neozelandeses (1 200 000 euros / 1 544 000 dólares) al año, y de la empresa francesa Rexel, que redujo sus costes en 33%.

La nube también permite tener acceso a una gigantesca capacidad de cálculo para proyectos TI intensos pero de corta duración. Un ejemplo es el diario New York Times, que actualmente ofrece a sus lectores acceso a 15 millones de artículos. El proceso de conversión del material a PDF no habría sido posible sin la nube, informó el periódico a Accenture.

Fuente: Accenture

Investigación encomendada por HP orienta al sector empresarial frente a amenazas actuales y futuras respecto de los datos almacenados en la nube, brindando a la vez estrategias para asegurarlos.

Cloud Security Alliance (CSA) y HP anunciaron los hallazgos de la nueva investigación que detallan las amenazas potenciales que rodean el uso de los servicios cloud.

El documento de investigación, titulado “Top Cloud Security Threats Report” es el resultado de una exhaustiva investigación de profesionales especialistas en seguridad de información en 29 empresas, proveedores de soluciones y compañías de consultoría expuestas a algunos de los más exigentes y complejos entornos cloud del mundo. Las principales conclusiones fueron presentadas en la Cloud Security Summit de la RSA conference.

“Los servicios cloud son claramente la próxima generación de tecnología de información que las empresas deben dominar. Tenemos una responsabilidad compartida para entender la amenazas de seguridad que acompañan los servicios cloud y aplicaremos las mejores prácticas necesarias para reducirlas”, afirmó Jim Reavis, Fundador de Cloud Security Alliance.

La investigación identifica las vulnerabilidades más urgentes que amenazan la obstaculización de las ofertas de servicios cloud para que no alcancen su potencial completo. Por ejemplo, las compañías deben estar concientes del “abuso y uso perverso de computación cloud”, que incluye amenazas como botnet Zeus y troyanos InfoStealing, software malicioso que ha comprobado efectividad especialmente en comprometer recursos sensibles privados en ambientes cloud.

Sin embargo, no todas las amenazas en esta categoría están arraigadas en una intención maliciosa. A medida que evoluciona la web social, más sitios dependen de Interfaces de Programación de Aplicaciones (APIs, por sus siglas en inglés), un conjunto de operaciones que permiten la interacción entre programas de software, para presentar datos de fuentes diferentes.

Los sitios que dependen de múltiples APIs frecuentemente sufren de “inestabilidad en seguridad de enlace” en el cual un API sin seguridad puede afectar adversamente un conjunto mayor de participantes. Juntas, estas amenazas encierran una combinación de vulnerabilidades existentes que son magnificadas con gravedad en entornos cloud así como también nuevas técnicas específicas para cloud que colocan datos y sistemas en riesgo. Amenazas adicionales delineadas en la investigación incluyen:

– Fuentes maliciosas con acceso a información.
– Vulnerabilidades de Tecnología Compartida.
– Pérdida/filtración de datos.
– Plagio de Cuentas/Servicio y Tráfico.

“A fin de reducir el riesgo de negocio asociado al servicio cloud, las compañías deben invertir tiempo y recursos para asegurar adecuadamente sus activos en los centros de datos”, afirmó Archie Reed, miembro del comité de CSA y especialista técnico jefe para servicios cloud en Secure Advantage de HP.

Fuente: HP