El cloud computing puede ayudar a los beneficios de la compañía, pero compromete la seguridad, según el investigador Bruce Schneider.
IDG News Services | Por: Fred O’Connor
Atentos profesionales de la seguridad informática. Los suministradores de servicios de cloud computing vienen por sus puestos de trabajo. Puede ser inevitable, o se puede retomar el control estudiando rigurosamente cómo la organización utiliza la tecnología. En cualquier caso, la vida está cambiando para los expertos de seguridad de TI. Compañías como Google y Amazon han resuelto la gestión de la configuración mientras las empresas eluden este proceso, ha afirmado Marcus Ranum, director de seguridad de Tenable.
“Esa es la razón por la que Amazon va a tener vuestros puestos de trabajo en 10 años. Estamos fracasando como industria”, ha comentado Ranum recientemente en una reunión de la Asociación de Seguridad de Sistemas de Información, capítulo de Nueva Inglaterra de los Estados Unidos. Para mantener seguros los datos de su empleador, y potencialmente salvar sus puestos de trabajo, los profesionales de la seguridad tienen que defender la gestión de configuración, afirmó.
La gestión de configuración significa el registro y actualización de datos del software y hardware utilizado en una empresa. Entre otras cosas, significa anotar en detalle qué aplicaciones se utilizan en el ordenador de cada empleado. Muchas compañías ven difícil la gestión de configuración porque requiere que una organización entienda lo que los empleados hacen, como opera el negocio y por qué se adquirió una cierta tecnología, preguntas que no todas las empresas pueden contestar, añadió. Así que esquivan el proceso, y en su lugar se dirigen a los suministradores de la nube, que parecen entender mejor la seguridad, dijo Ranum.
Mientras que mantener el control de la tecnología de una compañía puede parecer desalentador, la recuperación de una violación de datos o determinar qué ordenadores están infectados con malware es todavía más difícil, dijo Ranum. Al menos, puede ayudar a las compañías a gestionar sus vulnerabilidades.
Por ejemplo, el saber qué software utilizan los empleados de marketing permite a una compañía detectar que actividades no son normales, tales como instalar un compilador o tratar de acceder a la información de recursos humanos. Esas acciones podrían significar que los ordenadores del departamento de marketing están infectados con malware.
El mostrar cuánto dinero puede ahorrar la gestión de configuración puede ayudar a vender el concepto, sostuvo Ranum. La alta dirección podría estar más interesada si supieran cuánto dinero se gastó en la limpieza de malware de los ordenadores que no eran parte de un plan de configuración.
Con el tiempo, es inevitable que los encargados de la seguridad de la empresa vean sus puestos disminuidos, comentó por su parte el investigador de seguridad y privacidad Bruce Schneier durante su intervención en el evento.“Estamos perdiendo el control de nuestra infraestructura de TI”, afirmó, porque el cloud computing está gestionando cada vez más tareas que solían hacer los departamentos de TI, como correo electrónico y colaboración. Otras razones son que cada vez más empleados hacen su trabajo desde dispositivos portátiles personales.
Las organizaciones se han ido a terceras partes para la gestión de TI y también esperan que éstas gestionen la seguridad, comentó. Mientras que el cloud computing puede ahorrar dinero a las compañías, los empleados de TI no saben lo suficiente sobre las prácticas de seguridad de los suministradores.
“Las razones financieras son buenas, pero está sufriendo la seguridad”, dijo Schneier. Pero él piensa que en el futuro la informática empresarial será tratada como una utilidad, igual que la electricidad, que será gestionada por un suministrador de servicios. “Esto significa que una gran parte de la seguridad estará centralizada y las organizaciones perderán el control sobre la misma”, agregó.