Las empresas gravitan entre la desconfianza y una fe irresponsable hacia el “cloud computing”, según Cisco
El Informe Anual de Seguridad 2009 de la empresa Cisco asegura que “muchas organizaciones son aún reticentes al 'cloud computing', ya que no les gusta tener que renunciar al control de sus procesos y datos”. Por contra, otras le muestran una confianza ciega que raya la irresponsabilidad, ya que “pecan de poca diligencia a la hora de seleccionar a sus proveedores de hosting y evaluar la seguridad de los datos”.
Mercè Molist – “Cloud computing” o computación en nube significa que la información y aplicaciones no están en los ordenadores de la empresa sino de un proveedor externo, de forma que se puede acceder a ellos vía web, desde múltiples dispositivos y localizaciones. Esto abarata las tecnologías, que se convierten en servicios en la "nube", sinónimo de Internet.
Ejemplos cotidianos de computación en nube serían los escritorios virtuales o las redes sociales. Según Cisco, “los altos niveles de confianza en el concepto de 'cloud computing' son los ecos de la gran aceptación de las redes sociales y la predisposición de los usuarios a transmitir información sensible de formas que serían impensables hace una década”.
Así, las mismas personas que muestran las fotos de sus vacaciones o su fecha de nacimiento en las redes sociales, cuando están en su lugar de trabajo “ven poco peligro en intercambiar información empresarial a través de las aplicaciones de 'cloud computing', sistemas de mensajería instantánea y otras redes que rompen el tradicional perímetro de la red empresarial”, afirma el informe.
A estas malas prácticas se añade el hecho de que algunas empresas están entrando demasiado rápido en la computación en nube, “poniendo su fe ciegamente en la habilidad de los proveedores de servicios para securizar sus datos y prevenir problemas regulatorios”. Algo impensable hace diez años, cuando las empresas guardaban su información en redes cerradas y llevarla a un sitio externo no les hacía ninguna gracia.
Hoy, según Cisco, las empresas se han vuelto menos conscientes de los riesgos inherentes en la nube, cuando “deberían considerar el adoptar las sanas dosis de escepticismo que estaban al uso hace diez años, más un alto nivel de conocimiento de este mundo para concienciar y educar a sus trabajadores”.
Esos riesgos no están localizados sólo en las organizaciones sino también en los proveedores de servicios en la nube, desde errores de configuración y exposición inadvertida de datos, hasta ataques de 'hyper-jacking', donde se toma el control del 'software' que administra los servicios, o ataques 'side-chanel VM', cuando los atacantes monitorizan el uso de los servidores compartidos para detectar periodos de alta actividad y lanzar ataques.
Según el informe, cualquier empresa que externalice sus operaciones en infraestructuras controladas por otros debería tener muy claro cómo mantener el control y la seguridad de sus datos. Las preguntas clave serían: “¿Dónde van nuestros activos de información?, ¿cómo van a ser protegidos?, ¿quién tendrá acceso a nuestra información?, ¿cómo podremos llevar a cabo cambios de política, regulaciones y auditorías?”.
Cisco destaca que “los empleados se han acostumbrado tanto a soluciones como el correo basado en web o las redes sociales en su casa, que naturalmente las llevan al lugar de trabajo”, por lo que no tiene mucho sentido prohibir estas tecnologías en las empresas ya que “están muy arraigadas en la forma como la gente intercambia información y trabaja en equipo y las usarán sin pedir permiso al departamento de Internet”.
El Informe Anual de Seguridad de Cisco destaca también que las redes sociales serán el punto más caliente del cibercrimen en 2010, puesto que no hay expectativas de que baje su uso y aumentan en cambio los actos delictivos en ellas. Critica especialmente los servicios acortadores de enlaces, muy usados en estas redes, porque quien pincha en ellos no sabe a dónde le dirigen, pudiendo caer en una trampa.
Cisco 2009 Annual Security Report
Copyright 2009 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.
