14/12/09 17:58:32
LAS EMPRESAS GRAVITAN ENTRE LA DESCONFIANZA Y UNA FE IRRESPONSABLE HACIA EL "CLOUD COMPUTING", SEGÚN CISCO
Mercè Molist
El
Informe Anual de Seguridad 2009 de la empresa Cisco asegura que "muchas
organizaciones son aún reticentes al "cloud computing", ya que no les
gusta tener que renunciar al control de sus procesos y datos". Por
contra, otras le muestran una confianza ciega que raya la
irresponsabilidad, ya que "pecan de poca diligencia a la hora de
seleccionar a sus proveedores de hosting y evaluar la seguridad de los
datos".
"Cloud computing" o computación en nube significa que la
información y aplicaciones no están en los ordenadores de la empresa
sino de un proveedor externo, de forma que se puede acceder a ellos vía
web, desde múltiples dispositivos y localizaciones. Esto abarata las
tecnologías, que se convierten en servicios en la "nube", sinónimo de
Internet.
Ejemplos cotidianos de computación en nube serían
los escritorios virtuales o las redes sociales. Según Cisco, "los altos
niveles de confianza en el concepto de "cloud computing" son los ecos
de la gran aceptación de las redes sociales y la predisposición de los
usuarios a transmitir información sensible de formas que serían
impensables hace una década".
Así, las mismas personas que
muestran las fotos de sus vacaciones o su fecha de nacimiento en las
redes sociales, cuando están en su lugar de trabajo "ven poco peligro
en intercambiar información empresarial a través de las aplicaciones de
"cloud computing", sistemas de mensajería instantánea y otras redes que
rompen el tradicional perímetro de la red empresarial", afirma el
informe.
A estas malas prácticas se añade el hecho de que
algunas empresas están entrando demasiado rápido en la computación en
nube, "poniendo su fe ciegamente en la habilidad de los proveedores de
servicios para securizar sus datos y prevenir problemas regulatorios".
Algo impensable hace diez años, cuando las empresas guardaban su
información en redes cerradas y llevarla a un sitio externo no les
hacía ninguna gracia.
Hoy, según Cisco, las empresas se han
vuelto menos conscientes de los riesgos inherentes en la nube, cuando
"deberían considerar el adoptar las sanas dosis de escepticismo que
estaban al uso hace diez años, más un alto nivel de conocimiento de
este mundo para concienciar y educar a sus trabajadores".
Esos
riesgos no están localizados sólo en las organizaciones sino también en
los proveedores de servicios en la nube, desde errores de configuración
y exposición inadvertida de datos, hasta ataques de "hyper-jacking",
donde se toma el control del "software" que administra los servicios, o
ataques "side-chanel VM", cuando los atacantes monitorizan el uso de
los servidores compartidos para detectar periodos de alta actividad y
lanzar ataques.
Según el informe, cualquier empresa que
externalice sus operaciones en infraestructuras controladas por otros
debería tener muy claro cómo mantener el control y la seguridad de sus
datos. Las preguntas clave serían: "¿Dónde van nuestros activos de
información?, ¿cómo van a ser protegidos?, ¿quién tendrá acceso a
nuestra información?, ¿cómo podremos llevar a cabo cambios de política,
regulaciones y auditorías?".
Cisco destaca que "los empleados
se han acostumbrado tanto a soluciones como el correo basado en web o
las redes sociales en su casa, que naturalmente las llevan al lugar de
trabajo", por lo que no tiene mucho sentido prohibir estas tecnologías
en las empresas ya que "están muy arraigadas en la forma como la gente
intercambia información y trabaja en equipo y las usarán sin pedir
permido al departamento de Internet".
El Informe Anual de
Seguridad de Cisco destaca también que las redes sociales serán el
punto más caliente del cibercrimen en 2010, puesto que no hay
expectativas de que baje su uso y aumentan en cambio los actos
delictivos en ellas. Critica especialmente los servicios acortadores de
enlaces, muy usados en estas redes, porque quien pincha en ellos no
sabe a dónde le dirigen, pudiendo caer en una trampa.
Cisco 2009 Annual Security Report
http://cisco.com/en/US/prod/vpndevc/annual_security_report.html
Copyright 2009 Mercè Molist.
Verbatim
copying, translation and distribution of this entire article is
permitted in any digital and no commercial medium, provide this notice
is preserved.
<<