¿Qué tan segura es la nube?

Andres Bang de LinkedIn, Gary Clark de Juniper, Tom Leighton de Akamai, Gordon Ritter de Emergence Capital y Cristina Alesci de Bloomberg

¿Qué tan segura es la nube? Varios panelistas en la Cumbre de Tecnología Empresarial Bloomberg de la semana pasada hablaron sobre ese tema, especialmente a raíz de las revelaciones de Snowden y la violación de Target. La mayoría era optimista sobre el potencial de los proveedores de nube pública para ofrecer una mejor seguridad que casi cualquier servicio de datos interno. Sin embargo, incluso los más optimistas reconocieron que muchas empresas se sienten más cómodas con un mayor control sobre sus datos.

Por ejemplo, Andres Bang, Jefe de Ventas Globales y Sistemas de Operaciones para LinkedIn, dijo que su firma era un gran cliente de servicios de nube pública y, como tal, dependía de dichos proveedores. Pero, dijo, la compañía mantuvo la información de sus miembros en una nube privada, por lo que tenía más control. Gary Clark, CTO de TI de Juniper Networks, dijo que ve a muchos departamentos de TI evolucionar en agentes de servicios en la nube, con el 80 por ciento o más de sus aplicaciones en la nube y el resto en una nube privada. En términos generales, vio a las empresas mantener su información más privada en la empresa.

Dependiendo de la seguridad en el centro de datos, es un modelo que está a punto de fallar, según Tom Leighton, CEO y cofundador de Akamai Technologies. No es suficiente defenderse únicamente con productos en el centro de datos; debe interceptar y procesar antes de que ingrese al centro de datos.

CIA: Eres "solo tan fuerte como tu eslabón más débil".

Gus Hunt, ex director de tecnología de la CIA

En otra sesión, Gus Hunt, ex Director de Tecnología de la Agencia Central de Inteligencia (CIA) y actual CEO de Hunt Technology, señaló que los grandes proveedores de la nube tienen una seguridad "realmente excelente", porque necesitan eso para atraer clientes. Habló sobre cómo la CIA estaba usando la nube de Amazon, aunque en una copia especial que Amazon maneja detrás de los muros de la CIA (que a su vez están protegidos por armas y otra seguridad física).

Pero señaló que la seguridad es "solo tan fuerte como su eslabón más débil". Explicó que si tiene una carga de trabajo con una vulnerabilidad además de un proveedor de la nube, esas vulnerabilidades continúan existiendo. Pero una vulnerabilidad en una carga de trabajo no afecta a otras dentro de la nube. Entonces, dijo, asegurar sus propias cargas de trabajo sigue siendo una tarea crítica.

Hunt dijo que el problema de seguridad se está convirtiendo en una "cosa difícil e intratablemente difícil" y dijo que era realmente difícil para cualquier compañía individual descubrir cómo protegerse. Entonces vio el surgimiento de compañías de seguridad como servicio que instrumentarán su red y controlarán la seguridad. Pero dijo que esta fue una "carrera armamentista sin fricción" con información compartida sobre cosas como el malware casi instantáneamente, lo que lo hace cada vez más difícil.

Al final, dijo, nos centraremos más en proteger los datos que en las redes. "Son los datos, estúpidos", dijo. Necesitamos hacerlo para que sea difícil encontrar los datos. Pero si alguien pasa, necesita ser rápidamente detectado y reparado.

A la larga, Hunt dijo que las personas obtendrán más control sobre sus datos y su privacidad, gracias a técnicas como el cifrado y descifrado, y la capacidad de falsificar ubicaciones. Eso es genial para los ciudadanos privados, dijo, pero plantea grandes desafíos para la aplicación de la ley. "Podrá controlar sus datos hasta un punto de grano fino".

Mitigar el riesgo y el "efecto Snowden"

Wade Baker de Verizon Enterprise Solutions, Mike K. Brown de BlackBerry, Dr. Burt Kaliski Jr. de VeriSign, John N. Stewart de Cisco

John N. Stewart, Director de Seguridad de Cisco, señaló que un problema es que no tenemos una buena definición de buena o mala en la seguridad empresarial, por lo que es difícil comparar la seguridad de un proveedor de la nube con una nube empresarial. Y Wade Baker, director general de investigación e inteligencia de Verizon Enterprise Solutions, dijo que si bien los problemas de seguridad pueden ocurrir en la nube, a menudo no importa, porque rara vez es causada por la nube.

Burt Kaliski, Director de Tecnología de VeriSign, también planteó el concepto de pasar a un "enfoque centrado en la información", con muchos mecanismos de protección, pero manteniendo la mayor parte de esto invisible para el usuario final.

Según Stewart, la seguridad en la nube simplemente pone en primer plano "todos los pecados que no resolvimos", citando cuestiones como el problema de los nombres de usuario y las contraseñas. Dijo que las compañías estaban demasiado concentradas en el perímetro, el "exterior crujiente", no en el centro de sus datos, y eso tenía que cambiar. Señaló que proteger los datos tiene mala reputación, con DRM, pero podría ser muy importante. Pero advirtió, "a la mayoría de los usuarios no les importa el riesgo, les importa hacer su trabajo de la manera más eficiente".

Kaliski dijo que hay muchos otros factores importantes en la seguridad empresarial, incluida la buena gestión de la información, centrándose en la confianza de todos los elementos en un sistema, auditoría y gestión de claves.

Todos coincidieron en que el "efecto Snowden" ha llamado la atención sobre los problemas de seguridad, con muchos consumidores internacionales que ahora ven a los Estados Unidos como malvados, mientras que otros piensan que eso significa que los Estados Unidos saben cómo arreglar las cosas.

Raimund Genes de Trend Micro, Rick Howard de Palo Alto Networks, Cedric Leighton anteriormente de la NSA, Michael Riley de Bloomberg News

Siguió otra sesión sobre el impacto de Snowden, con la principal preocupación de que esto condujera a la "tribalización de Internet", según el coronel Cedric Leighton, ex subdirector de capacitación en la NSA y ahora CEO de Cedric Leighton Associates. Señaló que Internet fue diseñado para ser global, pero ahora estamos escuchando cosas como una "nube alemana" o una "nube suiza" además del "gran firewall de China". Las revelaciones de Snowden han servido como una excusa para renacionalizar las cosas, dijo, y esto está perjudicando significativamente al mundo y a Internet, con muchas consecuencias no deseadas.

Raimund Genes, director de tecnología de Trend Micro, señaló que Snowden también comenzó una discusión sobre seguridad en general. "Si Snowden puede obtener documentos de la NSA, ¿qué dice sobre nuestra industria?" preguntó. Habló sobre lo difícil que era confiar en los contratistas internos y la necesidad de hacer una Internet más segura en general, y dijo que creía que el gobierno tenía un papel.

Estuvo de acuerdo en que "Internet fue creado para ser global" y dijo que algunas de las nuevas reglas europeas diseñadas para mantener los datos dentro de su país o región de origen son ridículas.

Si bien él y Leighton acordaron que el gobierno tenía un papel en hacer que Internet sea más seguro, Rick Howard, Director de Seguridad de Palo Alto Networks, dijo que todo el incidente demostró que la industria ha hecho un buen trabajo al proporcionar seguridad, y dijo que los vendedores Bien, tenemos que ser mejores acerca de cómo incorporar la seguridad en más soluciones. "Los clientes tendrán que estar seguros independientemente de lo que haga el gobierno", dijo.