Seguridad informática en la era

del cómputo de nube

¿Cómo garantizar que sus datos empresariales no están en riesgo en un entorno tan
amenazado como el de los servicios de nube? ¿Qué lecciones nos dejaron las brechas
de seguridad en iCloud, Dropbox y otros proveedores similares?

Cómo evitar Ecuación de riesgo ¿Cuál es el mejor Cifrado centralizado

problemas de ayuda a entender la método para de datos en la nube
seguridad con el seguridad en la nube proteger datos
cómputo de nube en la nube?
 Evite
problemas
en la nube
Cómo evitar problemas de seguridad
en el cómputo de nube

Un reciente artículo que escribí en las
INICIO
consideraciones de tercerización de software
Evite problemas como servicio (SaaS) y servicios en la nube ha
en la nube
provocado algunas conversaciones interesantes,
Entienda la sobre todo en el ámbito de las cuestiones de
seguridad de nube
seguridad en la computación en nube. Sin
Protección de datos embargo, la mayor parte de esta discusión no
ha tocado lo que veo a ser una de las mayores
Cifrado en la nube
áreas de posibles vulnerabilidades: las brechas
evitables que se abren conforme las iniciativas
departamentales debilitan el imperativo de la
empresa.
Claro, el control de acceso, el cifrado y las
ramificaciones en la política y similares son
todos críticos, ¿pero qué sucede cuando se da a
las unidades de negocio (o asumen) el derecho
y la capacidad de hacer sus propias cosas? Nada
bueno, le puedo decir.
Un nuevo giro en un viejo cuento
El empujar/tirar entre los departamentos y la
empresa es una antigua dinámica, pregúntele a
cualquiera que haya sido la víctima (o vencedor)
de una guerra política corporativa. En el frente
de tecnología, sin embargo, ahora es más fácil
que nunca crear problemas, ya que la tecnología
electrónica es mucho más accesible de lo que
nunca ha sido.
Hace cien años—ok, 20—implementar
sistemas era lo suficientemente complejo y
caro como para requerir la participación de

Conforme los modelos se transformaron en SaaS y los motores de

búsqueda gan­aron fuerza, la gente se acomodó a hacer las cosas
por su cuenta... ¿eso es bueno o malo?

2 Seguridad informática en la era del cómputo de nube

 Evite
problemas
en la nube
profesionales de TI capacitados, por lo que
las iniciativas independientes eran difíciles de
lograr. Pero conforme los viejos modelos de
tiempo compartido se  transformaron en SaaS y
la nube, y los motores de búsqueda de los con-
sumidores y los dispositivos inteligentes gana-
INICIO
ron fuerza, la gente se fue poniendo cómoda
Evite problemas con la idea de hacer las cosas por su cuenta. Por
en la nube
lo tanto, lo que antes era una actividad empre-
Entienda la sarial ahora con frecuencia se lleva a cabo a
seguridad de nube
nivel departamental.
Protección de datos Dependiendo de cuál sea el enfoque, esto
puede ser bueno o malo.
Cifrado en la nube
No deje que esto le pase a usted
El niño del cartel para este tema bien podría
ser una organización cliente de Holly Group,
que creció como una serie de operaciones inde-
pendientes y finalmente se estableció bajo un
mismo techo corporativo. Esto no es raro, y no
es necesariamente malo, pero, en este caso, las
unidades de negocio siguieron disfrutando de
la libertad de pedir, adquirir y desplegar tec-
nología electrónica.
La buena noticia es que se ha implementado
3 Seguridad informática en la era del cómputo de nube
un gran número de aplicaciones de alta calidad
que maravillosamente satisface las necesi-
dades de cada departamento. La mala noticia
es que estos sistemas no interoperan con los
de los otros departamentos. Y las peores noti-
cias son que los ejecutivos de línea de negocio
continúan sintiéndose en libertad de hacer
cosas como (esta es una historia real) poner sus
archivos PST de Outlook en la nube para per-
mitir el acceso más fácil al correo electrónico
mientras viajan.
¡Caramba!
La prevaleciente falta de interoperabilidad
que ha surgido ha dejado las personas cuyos
trabajos les obligan a cruzar líneas departa-
mentales (por ejemplo, oficiales de registros
y cumplimiento) a  confiar en el teléfono y el
correo electrónico como una forma de solicitar
y recibir información necesaria. No hace falta
mucha imaginación para prever los riesgos de
seguridad asociados con esto—que van desde
imitaciones por teléfono a un envío accidental
de correo electrónico a una dirección incorrec-
ta—y el cliente ahora está trabajando duro para
habilitar al menos un nivel mínimo de acceso
y auditoría en línea.
 Evite
problemas
en la nube
A pesar de lo malo que es esto, la cultura de
independencia que todavía existe es mucho
peor, porque las personas que crean los ries-
gos no saben que hay algo malo en lo que están
haciendo. Después de todo, dicen, “siempre lo
hemos hecho de esta manera” y, para ser justos,
INICIO
¿cómo pueden saber que está mal si nadie les
Evite problemas ha dicho? El resultado es que los repositorios
en la nube
de mensajes de correo electrónico confiden-
Entienda la ciales enviados a la nube y los equipos usados
seguridad de nube
aparecen registrados en eBay sin haber sido
Protección de datos autorizados para su liberación.
Cifrado en la nube
Pero espere, hay más
Más allá de la seguridad básica, otros tipos de
riesgos también pueden surgir de este tipo de
comportamiento:
■■ La existencia continuada de feudos orga-
nizacionales hace que sea casi imposible
lograr o mantener una visión empresarial
de cualquier cosa, incluyendo la gestión de
licencias de software, la eficacia de procesos
de negocio y las métricas de desempeño de la
tecnología.
4 Seguridad informática en la era del cómputo de nube
■■ La continua fragmentación de la infraes-
tructura de la organización hace que sea
casi imposible  alcanzar cualquier tipo de
economía de escala a la hora de orquestar
múltiples servicios SaaS/nube y desarrollar
las políticas necesarias que rigen su adquisi-
ción y uso.
■■ El intercambio de información restringida
hace que sea casi imposible responder efi-
cientemente a las auditorías de cumplimiento
o desarrollar cualquier tipo de inteligencia de
negocios significativa, ramificaciones gemelas
que pueden atacar directamente al corazón
del éxito de su organización.
Mira hacia atrás, ángel
Esta pieza se ha centrado principalmente en
el departamento frente a la dinámica empre-
sarial, conforme se relaciona con los problemas
de seguridad en la computación en nube. Pero
sería negligente no señalar que la cuestión es
en gran parte lo mismo cuando se habla tam-
bién de su infraestructura interna. La gran dife-
rencia es simplemente dónde se encuentran
 Evite
problemas
en la nube
sus servidores: ¿Están bajo el mismo techo
corporativo, detrás del mismo firewall corpo-
rativo, conectados por la misma red corpora-
tiva? ¿O están en diferentes lugares, a cargo de
diferentes organizaciones, utilizando diferentes
conexiones?
INICIO
De cualquier manera, queda aconsejado de
Evite problemas asegurarse de que sus departamentos no están
en la nube
trabajando con objetivos opuestos a su estrate-
gia empresarial. Si es necesario, comience a
trabajar para cambiar la cultura de los feudos de
la federación, e instituya y explique las políti-
cas corporativas para dejar en claro cómo y por
qué los riesgos de seguridad de la nube antes
descritos son tanto inaceptables, como evi-
tables. —Steve Weissman

Entienda la
seguridad de nube

Protección de datos

Cifrado en la nube

5 Seguridad informática en la era del cómputo de nube

 Entienda la
seguridad
de nube
Ecuación de riesgo ayuda
a entender la seguridad de la nube

¿Cuántas veces has escuchado que “la
INICIO
nube proporciona una mejor seguridad” o que
Evite problemas “la nube proporciona peor seguridad” que su
en la nube
propio entorno? Todos hemos sido testigos de
Entienda la este continuo debate en innumerables ocasio-
seguridad de nube
nes durante los últimos años. Por lo general,
Protección de datos los partidarios de ambos lados de la discusión
toman una posición basada en un subconjunto
Cifrado en la nube
de información y algunos presumen la situa-
ción en los centros de datos actuales.
La verdad es, que si un entorno de nube es
más o menos seguro que su red corporativa
depende de los escenarios de implementación
y del estado actual de la infraestructura exis-
tente. ¿Está usted simplemente moviendo el
correo electrónico y el intercambio de archivos
a la nube a través del software como servicio
(SaaS), o almacenando datos sensibles en una
nube privada o pública que requiere un con-
trol de acceso privilegiado, cumplimiento y
encriptación?
La ecuación del riesgo es la mejor manera de
evaluar el impacto de los escenarios específicos
de nubes en materia de seguridad informática y
gestión de riesgos. El riesgo es una función de
la probabilidad de que algún acontecimiento
Cuando se aplica la escala
de riesgos, muchas empre­sas
tienden a esperar un mayor
nivel de amenaza.
negativo, como el acceso no autorizado o la
pérdida de datos, se producirá y de las conse-
cuencias previstas en caso de ocurrir, como
la posible responsabilidad o las sanciones por
incumplimiento. La probabilidad del evento se
divide en un componente de amenaza, que es el
potencial de que una fuente de alguna actividad
en línea es maliciosa, y un componente de vul-
nerabilidad, que determina el nivel en el que un

6 Seguridad informática en la era del cómputo de nube

 Entienda la
seguridad
de nube
conjunto de recursos técnicos es capaz de verse
comprometido.
A pesar de las elevadas preocupaciones por
la seguridad entre los ejecutivos de TI, solo el
50% de los encuestados consultó a sus equi-
pos de seguridad sobre los proyectos en la nube
INICIO
“siempre” o “casi todo el tiempo”, de acuerdo
Evite problemas con el Estudio de Seguridad de los Usuarios de
en la nube
la Computación en la Nube 2013, realizado por
Entienda la el Instituto Ponemon.
seguridad de nube
Cuando las operaciones de seguridad tienen
Protección de datos la tarea de evaluar el cambio en la postura de
riesgo provocado por un movimiento hacia la
Cifrado en la nube
nube, un buen lugar para comenzar es la evalua-
ción de tres elementos de riesgo: amenazas,
vulnerabilidades y consecuencias.
Como profesional de la seguridad, usted ya
puede estar objetando lo difícil que es cuantifi-
car estos tres elementos de riesgo. No se equi-
voque, cualquier profesional bien intencionado
que está tomando decisiones ya está cuantifi-
cando estos elementos, ya sea que sean cons-
cientes de ello o no. Lo que realmente hay que
hacer es comparar el estado futuro esperado
con la situación actual en términos bastante
amplios, tal vez incluso asignando un valor
7 Seguridad informática en la era del cómputo de nube
“superior” o “inferior” para el cambio esperado
en cada elemento.
Durante este ejercicio, es útil tener en cuenta
las amenazas, vulnerabilidades y consecuencias
por separado, de cualquier entorno de control
esperado o existente. Esto puede ser un poco
difícil; sin embargo, los cambios en los con-
troles de seguridad se evalúan en una etapa
posterior.
Cambio en los niveles de amenaza
La mejor manera de pensar acerca de las
amenazas es simplemente como una fuente de
actividad—una dirección IP o una versión fic-
ticia de ese “tipo malo” en medio de todo tipo
de otras personas sentadas frente a sus tecla-
dos. Cuando está evaluando las amenazas, es
fundamental tener en cuenta la accesibilidad
y el costo-beneficio del atacante. En primer
lugar, determine si habrá algún cambio en el
volumen global de uso de una vez que una apli-
cación, servicio o proceso de datos se mueva
a la nube. Por lo menos, el volumen de activi-
dad proporciona una idea de la posibilidad de
que los atacantes elegirán estos activos como
 Entienda la
seguridad
de nube
objetivo (debería ser relativamente sencillo
determinar si un recurso en la nube estará dis-
ponible para más personas). Un servicio que
solo es accesible dentro del entorno de una
organización y se mueve a una nube pública
verá un aumento de las amenazas; uno que ya
INICIO
es accesible por internet es menos probable
Evite problemas que cambie significativamente. Y un entorno
en la nube
de nube privada, alojado internamente, es poco
Entienda la probable que cambie en absoluto.
seguridad de nube
Las cosas se ponen un poco más intere-
Protección de datos santes cuando nos fijamos en el escenario de
costos y beneficios para los atacantes. Los
Cifrado en la nube
atacantes solo atacan si creen que sus costos
son menores que los beneficios esperados.
Cualquier cambio a una plataforma más popu-
lar, o uno que utiliza componentes comunes,
disminuye los costos. Es más probable que
los atacantes estén familiarizados con la tec-
nología, por lo que no necesitarán dedicar
tiempo a capacitación o investigación. La dis-
ponibilidad de recursos también es importante.
En un escenario de nube pública, por ejemplo,
que comparte muchas aplicaciones diferentes
con diversos tipos de datos es probable que
aumente el beneficio percibido.
8 Seguridad informática en la era del cómputo de nube
Cuando los equipos de seguridad acceden
al riesgo en la nube mediante la aplicación del
valor “más alto” o “más bajo” a los cambios
actuales y esperados, muchos entornos empre-
sariales tienden a esperar un mayor nivel de
amenaza.
Evaluaciones de vulnerabilidad
La comprensión de la superficie de ataque es la
mejor manera de evaluar el segundo elemento
de la ecuación de riesgo, que es el nivel de vul-
nerabilidad. Esto implica mirar los componen-
tes individuales de una aplicación y determinar
si una implementación en la nube tiene más
componentes que pueden ser atacados, como la
capa de virtualización.
Los componentes complejos y distribuidos
traen una mayor vulnerabilidad en la nube,
pero si la aplicación es lo suficientemente
importante y difícil de evaluar, puede valer la
pena mirar el número de interfaces, el tamaño
del código o incluso (estremecimiento) los
procesos del sistema. Tenga en cuenta que el
número de vulnerabilidades existentes no se
menciona. Las vulnerabilidades descritas son
 Entienda la
seguridad
de nube
en realidad elementos que impactan en las
amenazas (es decir, que reducen los costos del
atacante) en lugar de la vulnerabilidad.
Un entorno de aplicación que se está mo-
viendo desde un sistema heredado o monolíti-
co a una arquitectura altamente distribuida y
INICIO
virtualizada verá fácilmente incrementada su
Evite problemas vulnerabilidad. En uno que ya está utilizando
en la nube
arquitecturas modernas es menos probable que
veamos un gran aumento.
Entienda la
seguridad de nube
En las nubes públicas con recursos compar-
Protección de datos tidos, es importante entender la posibilidad
de daños colaterales, que afectan tanto a las
Cifrado en la nube
amenazas como a las vulnerabilidades. En este
contexto, los daños colaterales significan que
su entorno de nube puede terminar bajo ataque
simplemente porque sus recursos se comparten
con algún otro objetivo. Un ataque de denega-
ción de servicio distribuido contra un des-
pliegue corporativo de SaaS puede resultar en
que otras organizaciones se vean afectadas.
Consecuencias de la adopción de la nube
Es útil recordar que cualquier aplicación o
entorno de TI saludable está creciendo en valor
9 Seguridad informática en la era del cómputo de nube
en algún nivel. Esto también significa que las
consecuencias—el tercer elemento de la ecua-
ción de riesgo—son mayores. Con el tiempo,
la creciente dependencia en la tecnología de
nube reduce la experiencia en la organización
Tenga en cuenta que las organi-
zaciones son responsables por
la integ­ridad de la información.
y puede inhibir las innovaciones internas que
aumentarían la eficiencia. Por lo tanto, general-
mente no hay necesidad de suponer una dife-
rencia significativa en las pérdidas potenciales
cuando compara el ambiente existente con el
que está orientado a la nube.
Hay, sin embargo, formas en que las conse-
cuencias podrían cambiar significativamente.
Tal vez la más obvia es en los costos de res-
puesta y recuperación. La capacidad de quienes
responden para tener acceso a todos los regis-
tros y recursos adecuados de los proveedores
de nubes u otros terceros puede ser deteriorado
significativamente durante un incidente de bre-
cha, creando el potencial para un mayor costo.
 Entienda la
seguridad
de nube
Por el lado de la recuperación, las cuestiones
de jurisdicción pueden tener un impacto sig-
nificativo en los costos legales y regulatorios
a medida que más entidades afectadas se ven
involucradas. Tenga en cuenta que las orga-
nizaciones son responsables por la integridad
INICIO
de la información en cualquier violación de
Evite problemas datos, aun cuando la fuga o el problema de
en la nube
cumplimiento se produjo a causa de un pro-
veedor de nube o un proveedor externo, y los
Entienda la
seguridad de nube
acuerdos de nivel de servicio están vigentes.
Protección de datos
Cifrado en la nube
Factorización en entornos de control
En esta etapa, evaluar la variación neta del
riesgo debería ser bastante sencillo. En la mayo-
ría de los casos, es probable que usted vea un
aumento en el riesgo. ¿Pero eso no significa que
la nube es menos segura? No necesariamente.
Teniendo en cuenta las variables descritas,
algunas implementaciones pueden ser fácil-
mente más seguras o igualmente seguras en la
nube, sobre todo cuando se consideran los fac-
tores en un escenario de nube privada.
Sin embargo, es fundamental entender el
cambio en la postura de seguridad. Sin duda, es
10 Seguridad informática en la era del cómputo de nube
razonable crear un entorno de control orien-
tado a la nube que reduce el riesgo a un nivel
por debajo del que tiene el entorno existente,
aunque solo sea porque muchas personas per-
ciben—probablemente con razón— que los
riesgos de la nube son más altos.
Las empresas pueden y deben
mejorar los mecanismos de
autenticación.
Hasta ahora, no se ha considerado soluciones
de seguridad en la ecuación del riesgo. La nube
ofrece una oportunidad para evaluar las dife-
rencias en el entorno de control. Las empresas
pueden y deben aprovechar la oportunidad
para mejorar los mecanismos de autenticación,
sobre todo porque los usuarios más privilegia-
dos vendrán de lugares fuera del firewall. En el
nivel de SaaS, se puede aplicar parches mucho
más rápidamente. Y una organización también
puede obtener beneficios de las operaciones de
seguridad del proveedor de la nube. Esto es, si
los controles del proveedor de nube son aplica-
dos y monitoreados correctamente (es probable
 Entienda la
seguridad
de nube
que los proveedores de nube externos no hayan en el riesgo, particularmente si su propio pro-
invertido tanto en asegurar su red y los activos grama de seguridad interno lucha—como
de datos como las operaciones de seguridad muchos lo hacen—para mantener un alto nivel
interna de su empresa). de competencia. La próxima vez que escuche a
Estos son solo algunos ejemplos, y no tienen alguien decir que “la nube es más segura” o “la
en cuenta los costos de seguridad en los cuales nube es menos segura”, siéntase libre de igno-
INICIO
una organización puede ver un beneficio neto rarlo. —Pete Lindstrom
Evite problemas
en la nube

Entienda la
seguridad de nube

Protección de datos

Cifrado en la nube

11 Seguridad informática en la era del cómputo de nube

 Protección
de datos

¿Cuál es el mejor método

para proteger los datos en la nube?

Al proteger datos en la nube, la selección respaldo que se utilice, el proveedor de nube

INICIO
de un método de respaldo se reduce a las nece-
Evite problemas sidades individuales de una organización y a la
en la nube
naturaleza del respaldo.
Entienda la Los eventos de pérdida de datos toman
seguridad de nube
muchas formas diferentes. Cuando una orga-
nización hace respaldos de datos en la nube,
Protección de datos
no es solo para proteger esos datos contra el
Cifrado en la nube
borrado accidental o la modificación, sino en
contra de un fallo a nivel de nube. Como tal,
los respaldos de nube a nube que crean una
copia secundaria de los datos en la misma nube
no protegen contra fallas a nivel de nube. Las
únicas buenas opciones de respaldo implican
un respaldo interno hacia el centro de datos
local o respaldar los datos hacia una nube
diferente.
Suponiendo que todos los recursos discu-
tidos son razonablemente confiables, la dis-
cusión sobre qué enfoque es mejor depende
del costo. Independientemente del método de
que hospeda sus datos le facturará por el alma-
cenamiento de I/O creado por el proceso de
respaldo y el ancho de banda de red consumido.
Estos pueden ser tratados como costos fijos.
Los respaldos de nube a nube
permiten hacer backups sin con-
sumir su propio ancho de banda.
Si decide realizar un respaldo de datos a otra
nube, incurrirá en costos relacionados con el
consumo de almacenamiento, I/O de alma-
cenamiento y consumo de ancho de banda
relacionado con el proceso de respaldo y el
almacenamiento de la copia de seguridad.
Si los datos son respaldados en su centro de
datos local, puede incurrir en costos de ancho
de banda WAN (si se utiliza una conexión
medida) y habrá costos de almacenamiento,

12 Seguridad informática en la era del cómputo de nube

 Protección
de datos

mantenimiento, energía y enfriamiento a tener
en cuenta.
Algunas organizaciones prefieren hacer
un respaldo de los datos en la nube hacia un
objetivo en sus instalaciones porque hace los
datos más tangibles. Hay una copia de los
INICIO
datos almacenados dentro del centro de datos
Evite problemas
en la nube
local, donde es fácilmente accesible. Por otra
parte, los respaldos de nube a nube le permiten
completar el proceso de respaldo sin consumir
nada de su propio ancho de banda WAN, así
que puede ser una consideración para las orga-
nizaciones que hacen frente a la escasez de
ancho de banda. —Brien Posey

Entienda la
seguridad de nube

Protección de datos

Cifrado en la nube

13 Seguridad informática en la era del cómputo de nube

 Cifrado en
la nube

Cifrado centralizado de datos en la nube

El cifrado de datos, para datos en reposo y están recurriendo a proveedores de seguridad

INICIO
en movimiento, debe ser una práctica habitual
Evite problemas en la computación en nube. Pero, a pesar de la
en la nube
disponibilidad casi omnipresente del cifrado
Entienda la dentro de la empresa y a través de proveedores
seguridad de nube
de la nube, las tecnologías de cifrado comunes
Protección de datos no siempre son suficientes para algunas
organizaciones.
Cifrado en la nube
Algunas empresas, por ejemplo, están suje-
tas a regulaciones estrictas de cumplimiento,
tales como la Ley de Responsabilidad y Por-
tabilidad del Seguro de Salud, que requieren
acuerdos formales entre las empresas de salud
y sus socios, incluyendo los proveedores de
nube. Y mientras que los proveedores de nube
pueden satisfacer algunas de las necesidades
de cifrado de una empresa, muchas compañías
de nube para ayudarles a llenar los vacíos.
Los beneficios de la encriptación
centralizado de datos en nube
Proveedores de cifrado centralizado de datos
en nube, como Vaultive y CipherCloud, ofre-
cen  tecnología de nivel empresarial que
permite a las empresas encriptar sus datos
mientras todavía están en la red de confianza
de la empresa. Esto asegura que todos los
datos enviados hacia la nube y almacenados en
ella estén encriptados. Solo el administrador
de más alto nivel del servicio de nube puede
acceder a los datos cifrados. Y si el proveedor
de nube es hackeado o se le requiere dar a

Si todos los datos enviados y almacenados en la nube están encriptados,

sólo un administrador con privilegios puede acceder a los datos cifrados.

14 Seguridad informática en la era del cómputo de nube

 Cifrado en
la nube
conocer los datos por motivos legales, solo se
entregan datos cifrados.
CipherCloud para Amazon Web Services
(AWS) es un servicio de cifrado diseñado espe-
cíficamente para la nube de AWS con soporte
para el servicio de bases de datos relacionales
INICIO
y Redshift. El servicio utiliza el cifrado AES
Evite problemas de 256 bits, combinado con almacenamiento y
en la nube
gestión de claves centralizado, y almacena las
Entienda la claves de cifrado en servidores CipherCloud.
seguridad de nube
El cifrado de CipherCloud se implanta en el
Protección de datos controlador de la aplicación, donde encripta
los datos localmente antes de moverlo entre
Cifrado en la nube
puntos.
CipherCloud permite a los administradores
cifrar los datos en función de cada campo. Por
ejemplo, un sistema de ventas en línea puede
cifrar solo información de pago usando las he-
rramientas CipherCloud de grano fino, mien-
tras deja otros datos, como una dirección de
envío, en texto plano.
Una característica avanzada de CipherCloud
permite a los administradores generar datos
cifrados que utilizan el mismo tipo y tamaño de
datos que los datos sin cifrar. Esto es especial-
mente importante cuando las empresas quieren
15 Seguridad informática en la era del cómputo de nube
la protección del cifrado, pero no quieren modi-
ficar sus esquemas de bases de datos.
A veces, una empresa querrá usar una sepa-
ración de funciones al manipular el cifrado. Las
funciones de gestión de claves de CipherCloud
mitigan el riesgo de tener un insider con acceso
inaceptable a las claves y, por tanto, a los datos
cifrados.
Similar a CloudCipher, Vaultive tiene un
servicio especializado para un único proveedor
de la nube, Microsoft. Vaultive ofrece encrip-
tación para una gama de servicios de Microsoft,
incluyendo Office 365, Yammer, OneDrive y
Dynamics CRM Online.
Vaultive funciona como una capa sin
estado que sirve como una puerta entre un
servicio de nube y los puntos finales de los
usuarios. Por ejemplo, Vaultive, junto con su
socio BitTitan, cifra los datos para Office 365 a
medida que entran en la nube. A partir de ese
momento, los datos permanecen cifrados hasta
que vuelven a un usuario final con la autoridad
para poder verlos. Los datos que viajan hacia
y desde la nube de Office 365 siempre pasan a
través de una capa de cifrado de red gestionada
por BitTitan.
 Cifrado en
la nube
Prepárese para riesgos
de cifrado centralizado
A pesar de los beneficios de los servicios de
cifrado centralizado, también pueden introducir
un punto potencial de fallo en la infraestruc-
tura de una organización. Si un gateway se cae o
INICIO
un software de cifrado como servicio (SaaS) no
Evite problemas está disponible, no puede enviar nuevos datos
en la nube
cifrados a la nube. Además, sus datos cifrados
Entienda la en la nube serán inaccesibles hasta que el pro-
seguridad de nube
blema se resuelva.
Protección de datos Una opción al implementar un gateway
interno es el uso de su alta disponibilidad y
Cifrado en la nube
escalabilidad. Para ello, ejecute varios gateways
y equilibre la carga entre ellos o mantenga uno
en espera. Como alternativa, si puede tolerar
16 Seguridad informática en la era del cómputo de nube
más tiempo para la recuperación, usted podría
subir un nuevo gateway manualmente cuando
falle el gateway primario.
Al utilizar SaaS de cifrado, asegúrese de
que los SLAs cumplen sus expectativas para
la escalabilidad y la disponibilidad. El SLA
también debe especificar una indemnización
por fallos para cumplir los niveles de servicio
acordados.
Los servicios de cifrado centralizado de datos
en nube son una parte importante del eco-
sistema de nube y será especialmente útil para
empresas con regulaciones de cumplimiento
exigentes. Sin embargo, siempre anticipe el
riesgo de fallas temporales en el proceso y
planifique en consecuencia. —Dan Sullivan
 SOBRE
LOS
AUTORES
Pete Lindstrom es director y vicepresidente de investi-
gación en Spire Security. Ha ocupado puestos similares
en Burton Group y Hurwitz Group. Lindstrom también ha
trabajado como arquitecto de seguridad para Wyeth Phar-
maceuticals y como auditor de TI para Coopers & Lybrand
y GMAC Hipotecaria. Seguridad informática en la era del cómputo de nube
es una publicación de SearchDataCenter.Es
INICIO

Brien Posey cuenta con dos décadas de experiencia en TI Rich Castagna | Vicepresidente editorial
Evite problemas
en la nube
y varias certificaciones de Microsoft. Ha publicado cien-
Lizzette Pérez Arbesú | Editora ejecutiva
tos de artículos y ha escrito o colaborado en docenas de
Entienda la
libros de TI. Antes de ser escritor freelance trabajó como Melisa Osores | Editora adjunta
seguridad de nube
administrador de redes para grandes aseguradoras y para Joe Hebert | Editor de producción
Protección de datos el departamento de Defensa en Fort Knox. Linda Koury | Directora de diseño online

Cifrado en la nube Neva Maniscalco | Diseñador gráfico

Dan Sullivan posee una maestría en ciencias y es autor,
arquitecto de sistemas y consultor con más de 20 años
de experiencia en TI. Él ha tenido proyectos en análisis
avanzados, arquitectura de sistemas, diseño de base de
datos, seguridad de la empresa e inteligencia de nego-
cios. Ha escrito sobre almacenamiento, la computación
en la nube y la gestión de seguridad.
Bill Cowley | Publisher BCrowley@techtarget.com
TechTarget
275 Grove Street, Newton, MA 02466
www.techtarget.com
© 2015 TechTarget Inc. Ninguna parte de esta publicación puede ser repro-
ducidas o retransmitidas de ninguna manera o por ningún medio sin el con-
sentimiento por escrito de la editorial. Los reimpresos de TechTarget están
disponibles a través de YGS Group.

Steve Weissman tiene más de 20 años de experiencia
en proyectos de innovación y éxito, ayudando a distintas
empresas a obtener el máximo valor de sus productos.
Consultor experimentado y analista, utiliza sus habili-
dades de estrategia, negocios y tecnología para adminis-
trar procesos, contenidos y datos.
Acerca de TechTarget: TechTarget publica contenidos para profesionales de
tecnología de información. Más de 100 sitios web focalizados permiten un
rápido acceso a un vasto repositorio de noticias, consejos y análisis sobre
tecnologías, productos y procesos cruciales para su trabajo. Nuestros even-
tos virtuales y presenciales le proporcionan acceso directo a los comentarios
y consejos de expertos independientes. A través de IT Knowledge Exchange,
nuestra comunidad social, usted puede obtener asesoría y compartir solucio-
nes con colegas y expertos.
cover art: istock

17 Seguridad informática en la era del cómputo de nube