Coviello de RSA: Cloud Computing No es suficiente

Los servicios basados ​​en la nube se están implementando sin prestar suficiente atención a garantizar estos servicios y la información que manejan. Ese fue el hallazgo de un estudio reciente encargado por RSA Security.

Si bien los hallazgos del informe son alarmantes, todavía hay tiempo para que los proveedores de estos servicios resuelvan el problema, dijo Art Coviello, vicepresidente ejecutivo de EMC y presidente de RSA. Seguridad. La clave es considerar la seguridad como una parte integral del servicio y no como una función complementaria, dijo.

Coviello se sentó recientemente con IDG News Service para analizar la seguridad de los servicios basados ​​en la nube. Lo que sigue es una transcripción editada de esa conversación:

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

Servicio de noticias IDG: ¿Le sorprendieron los hallazgos del informe?

Art Coviello: Fue sorprendente Para mí, gran parte de esta computación en la nube se estaba haciendo con la seguridad relegada, porque veía la computación en la nube como una oportunidad para realmente cambiar la forma en que las personas abordaban la seguridad. Básicamente, estás reconstruyendo la infraestructura de la información desde cero. Pasarán años antes de que todos estos sistemas heredados se trasladen a nubes internas, privadas o nubes externas, o alguna combinación de ellas. En definitiva, es hacia donde se dirige y, debido a eso, porque tenemos conocimiento y previsión de todos los problemas que hemos tenido en materia de seguridad durante la última década y media.

Uno podría pensar que hemos aprendido nuestra lección sobre la construcción seguridad. Habiendo dicho eso, todavía es muy temprano. Aunque la investigación me parece alarmante, no necesariamente considero concluyente que sea así.

IDGNS: es parte del problema de que los vendedores no son necesariamente responsables de todos los riesgos asociados con la oferta. estos servicios? ¿Los servicios serían más seguros si tuvieran que asumir por completo ese riesgo?

Coviello: Podría ser si la persona que compra estos servicios no tiene cuidado. Pero es difícil imaginar que cualquier proveedor responsable de estos servicios deliberadamente haga insegura su oferta. Ay de ellos, van a cerrar el negocio bastante rápido. Lo único que puede estar seguro es si hay una violación de seguridad en uno de estos servicios, alguien simplemente tomará su infraestructura e irá a otra parte. Es mucho más fácil hacerlo en un entorno de nube de lo que podría ser si hubiera subcontratado su infraestructura.

IDGNS: ¿Cómo sabe una empresa que un proveedor de computación en la nube ofrece un servicio seguro?

Coviello: Enterprises tener los recursos y la habilidad para evaluar la capacidad del proveedor de la nube y su capacidad de seguridad, y sería estúpido no hacer una investigación exhaustiva porque están subcontratando todo.

IDGNS: ¿Cuál crees que es la mayor debilidad de seguridad? para los servicios de computación en la nube?

Coviello: Es casi demasiado pronto para decirlo. ¿Cuántas instancias ve de computación en la nube? Puedo darte un número de lugares donde podría haber inseguridades. Lo que la gente tiende a preocuparse es la mezcla de información, y esa es probablemente la menor de las preocupaciones de alguien porque es muy fácil dividir los datos. Lo que les debería preocupar más es cuáles son los controles de acceso, cuáles son los mecanismos de autenticación, cómo se aseguran de que la información no se filtre a alguien afuera.

Me preocuparía por esas cosas, pero estas son cosas que van a tener que ser investigados y desarrollados a medida que la gente comienza a tener una idea de lo que se trata la computación en la nube.