Son pocas las personas que a estas alturas no han logrado contagiarse de entusiasmo al ver los beneficios que ha traído la computación en la nube para las empresas. Tanto así que muchas organizaciones ya han hecho o están haciendo la transición de tecnologías “on-premise” hacia la nube. Solo es necesario ver el repunte de ventas de Microsoft gracias a Office 365 y Azure, o los números de Salesforce y Oracle para comprobarlo. Sin embargo, hay todavía una gran cantidad de compañías que tienen serías dudas. ¿Realmente hay costo-beneficio, es escalable, es confiable? y sobre todo, ¿es seguro?.
Estas dudas se han extendido aún más con la reciente tendencia de adquirir servicios de seguridad basados en la nube (SecaaS). Este modelo contiene todas las características de la computación en la nube incluyendo un acceso bajo demanda conveniente a funcionalidades especializadas que pueden ser rápidamente aprovisionadas y liberadas sin mucho esfuerzo.
Según varios analistas se espera un incremento sostenido de los servicios de seguridad basados en la nube en los próximos años. SecaaS ha sido impulsada por varios factores, entre los que se destacan los crecientes requerimientos de aseguramiento de la información, la reducción de los presupuestos de TI, la falta de personal especializado y la necesidad de cumplir con regulaciones y normas de forma rápida. Sin embargo, siguen compartiendo muchos de los temores de otros servicios en la nube.
Preocupaciones
La disponibilidad es una de las más comunes preocupaciones pues para la mayoría de servicios se requiere un funcionamiento 24/7. No debe ser de otra forma ya que la seguridad es una función que nunca descansa. Siempre que pretenda adquirir servicios de seguridad basados en la nube debe pedir al proveedor que demuestre la existencia de controles que aseguren la disponibilidad ofrecida en los acuerdos de nivel de servicio (SLAs, por sus cifras en ingles).
Al igual que otros servicios del modelo Cloud, la personalización es uno de los miedos constantes pues siempre queremos que las soluciones se acomoden a la forma en que trabaja la empresa. Aunque es clave que el servicio tenga amplias funcionalidades que le permitan hacer la mayoría de cosas que usted desea, es importante que sepa desde el primer momento que las ofertas SecaaS no van a permitirle personalizar con tanto detalle como podría hacerlo con soluciones on-premise. Sin embargo no siempre esto es malo. Piense que el proveedor ha establecido un modelo basado en mejores practicas -en la mayoría de los casos- gracias a su conocimiento y experiencia y además de comprar una aplicación esta obteniendo también una re-ingeniería y gestión de procesos.
El miedo a estar atado a un proveedor no deja de ser preocupante, sobre todo si los datos pueden transferirse a otro proveedor en caso de terminar el contrato. Aunque la mayoría de proveedores ofrecen mejores precios por establecer contratos con plazos a mediano y largo plazo, una de las ventajas de la nube es que se puede contratar, en muchos casos, de forma mensual, de tal manera que si el servicio no cumple sus expectativas no esta obligado a continuar con este.
La integración de los servicios con otras tecnologías o procesos de la empresa es también un aspecto que inquieta a algunos. Es importante tener en cuenta cuando se piense adquirir servicios de seguridad basados en la nube como estos pueden ser integrados a la arquitectura tecnológica de la organización y de que forma la información que resulte de los mismos se recibirá y tratará, en caso de ser requerido.
Por último, encontramos la mayor preocupación cuando hablamos de nube: la seguridad. Probablemente el aspecto que mas incomoda es la posibilidad de que el proveedor pueda acceder a información confidencial. , la estructura de la red o credenciales de los usuarios. De todas formas el proveedor debe demostrar que su entorno de seguridad tiene controles efectivos que protegen la privacidad y confidencialidad de los datos de identificación personal y las comunicaciones de divulgaciones no autorizadas.
Asegurar que los controles se encuentran siempre al día y en funcionamiento es una responsabilidad de los proveedores para proteger la confidencialidad, integridad y disponibilidad de la información. Como parte de las nuevas responsabilidades del equipo de seguridad cuando se externaliza una función es recomendable establecer auditorias al proveedor de servicios o solicitar pruebas de que el proveedor realiza verificaciones periódicas de los controles. Dependiendo de su tamaño, madurez, y de los servicios contratados los proveedores no tendrán objeción alguna con este requerimiento. Finalmente, no olvide revisar como incluir los servicios externos en los planes de continuidad (BCP) y de recuperación de desastres (DRP).
Ventajas
Adicionalmente, a pesar de las preocupaciones de los clientes, los proveedores SecaaS son usualmente competentes en la protección de datos e infraestructura crítica pues esto hace parte de las capacidades y actividades centrales de sus negocios. Además, cuentan con procedimientos de recuperación de desastres robustos para proteger la información y en muchos casos con certificaciones para demostrar la seguridad de sus entornos. No es exagerado indicar que son incluso más seguros que los entornos de los clientes, ya que no solo recae en ellos la responsabilidad propia, sino también la información de terceros.
Los beneficios económicos son siempre resaltados tanto por los proveedores como por los analistas pues ninguna o tan solo una pequeña inversión de capital es requerida al inicio, se elimina el costo de adquisición de licencias, entrenamientos continuos a los encargados de la administración de las soluciones, entre otros. Adicionalmente costos escondidos como los de energía, refrigeración y mantenimiento de las instalaciones son reducidos gracias a la menor cantidad de servidores ejecutando aplicaciones y la consiguiente liberación de espacio en los centros de datos.
Sin embargo, probablemente la mayor ventaja de los servicios de seguridad basados en la nube es que se tiene acceso a tecnologías en constante actualización para combatir amenazas; en un mundo donde su cantidad y complejidad va en aumento. Lo mejor de todo es que las grandes empresas con presupuestos y equipos robustos ya no son las únicas con acceso a capacidades de seguridad de vanguardia. SecaaS permite a las pequeñas a medianas empresas con capacidad mínima de seguridad interna acceder a los servicios más avanzados de seguridad de la información.
