Visitas: 18
Estudio de COMPUTERWOCHE y CIO – El físico Oliver Schonschek es periodista de TI freelancer y analista de TI en Bad Ems.
Alta seguridad se considera la base para el éxito de los servicios en nube. Pero la imagen de lo que constituye una nube segura está cambiando.
Articulo original CIO: El mercado de nube está en movimiento y evolucionando de manera diferente de lo que prevén las previsiones iniciales. Una migración completa de los servicios de TI a la nube no ha ocurrido y no se producirá. No hay una gran nube, pero muchos servicios en nube.
Sin embargo, la nube es una historia de éxito. El 65% de las empresas en Alemania ya utilizan servicios en nube, como muestra el estudio actual «Cloud Security 2019» de IDG Research Services. Sólo el ocho por ciento de las empresas consideran los servicios en nube fuera de cuestión. El 92% de las empresas ya utilizan servicios en nube, planean hacerlo en los próximos 12 meses (17%) o lo consideran internamente (11%).
Como un modelo de referencia para servicios en nube, la nube privada está al frente con el 61% de las respuestas. Las nubes públicas usan el 45% de las empresas encuestadas. Las nubes híbridas se implantan en un 32%, nubes de comunidades y nubes múltiples en un 20%.
La elección del modelo de referencia no viene por casualidad: si usted pregunta a las empresas acerca de su sentido de seguridad en la computación en nube, la seguridad danza privada se clasifica como la mejor (2.4), varias nubes alcanzan sólo 2.7, las nubes de la comunidad a 2.8
El precio no lista los diez criterios principales para elegir servicios en nube. En la parte superior está la seguridad del acceso a datos, seguida de la criptografía de datos y la confiabilidad del proveedor.
La seguridad de la nube está amenazada
Aunque la mayoría de los servicios en nube se consideran relativamente seguros, las empresas del nuevo estudio reportan ataques a los servicios que usan en la nube. Casi la mitad (47 por ciento) de la empresa ya tiene ataques cibernéticos detectados en sus servicios de nube, el doce por ciento no sé si un ataque en línea ya ha tenido lugar en sus servicios de nube.
Obviamente, hay necesidad de más acciones para proteger los servicios en nube. Como muestra el nuevo estudio, muchas empresas confían en conceptos familiares de seguridad, como criptografía, firewall y copias de seguridad locales. Las empresas de nube también esperan que las empresas usuarias tengan más clásicos de seguridad que los nuevos conceptos de seguridad en la nube.
Una de las razones para esta visión de la seguridad en la nube es la percepción unilateral de los riesgos de la nube, lo que es evidente en las encuestas. Algunos tipos de ataques en la nube raramente son abordados por medidas de seguridad, aunque los ataques están ocurriendo.
Nuevos requisitos de seguridad en la nube
Lo que se hace para proteger un servicio en nube no debe depender de la creación excesiva de riesgos en la nube. Hay requisitos claros de seguridad en la computación en nube.
Además de CIP -Betreibern y los proveedores de servicios de computación en nube tienen que informar de incidentes de seguridad para tener efectos significativos sobre el BSI, como el Servicio Federal de Seguridad aclara en Tecnología de la Información en el reciente informe sobre el estado de seguridad de TI en Alemania . Además, las regulaciones para operadores de servicios digitales estipulan un nivel mínimo de medidas preventivas de seguridad de TI y la gestión reactiva de incidentes de seguridad.
«La demanda y la implementación de requisitos de seguridad es un aspecto importante en el uso de servicios en nube», dijo el presidente de BSI, Arne Schönbohm.
La Oficina Federal para la Seguridad de la Información ha establecido nuevos estándares en el sector de la nube con su catálogo de datos para la computación en nube (Catálogo de controles de conformidad de computación en nube – C5). En el catálogo C5, BSI ha agrupado los requisitos que los proveedores de nube deben atender, independientemente del contexto de la aplicación, para garantizar la seguridad mínima de sus servicios en nube. El catálogo C5 es un estándar que incluye requisitos verificables, pero no determina qué acción debe tomarse.
Como muestra el nuevo estudio «Cloud Security 2019», la certificación en nube de acuerdo con el catálogo BSI C5 ya es uno de los principales criterios de cumplimiento al seleccionar un proveedor en nube. Con una clasificación de 2,4, el certificado C5 se refiere a la exigencia de que el proveedor de nube tenga su sede en Alemania (2,6).
«La seguridad absoluta no existe, porque toda empresa tiene una TI de sombra – por la simple razón de que toda empresa utiliza correos electrónicos. Muchas personas envían información a sus direcciones de correo electrónico privadas. Por supuesto que esto no está permitido, pero todavía es «Un gran papel, por lo tanto, desempeña la conciencia. Estoy convencido de que muchas empresas todavía están haciendo muy poco allí.» Anja Hinnemann, Jefe de Seguridad Cibernética DACH en Capgemini Outsourcing Services GmbH.
La privacidad domina los criterios de selección
Entre los requisitos para un servicio de nube y un proveedor de nube, la privacidad es particularmente fuerte. Por ejemplo, el 35% de las empresas citan problemas de seguridad y el 29% de privacidad como razones para no usar la nube. Por otro lado, las empresas de servicios en nube esperan niveles más altos de seguridad y privacidad (34% y 32%).
Un nivel apropiado de protección de datos en la computación en nube no es sólo deseable, sino un requisito legal para poder utilizar los servicios en nube.
De acuerdo con el Reglamento General de Protección de Datos (DSGVO / GDPR), los servicios de nube se clasifican como el llamado procesamiento de pedidos. El DSGVO declara: «Si el procesamiento se produce en nombre de una parte responsable, sólo funcionará con procesadores que tengan garantías razonables de qué medidas técnicas y organizativas apropiadas se tomarán para asegurar que el procesamiento se realiza de acuerdo con los requisitos de este Reglamento y Protección de los derechos del titular de los datos. »
Antes de que un servicio de nube pueda ser utilizado, una empresa necesita ser convencida por las medidas de protección de datos del proveedor de nube, debe haber garantías para esas medidas. El DSGVO nombra como posibles garantías y prueba una certificación de protección de datos basada en el reglamento de la UE.
La importancia de la certificación de protección de datos es reconocida por las empresas en Alemania. El 34% de las empresas encuestadas comprueban los certificados en la nube de los proveedores. Si los certificados faltan, preste atención a las auditorías de privacidad en los proveedores.
En casi el 60% de las empresas, el Reglamento General de Protección de Datos tiene un impacto fuerte o muy fuerte sobre cómo manejan datos procesados en una nube. Ningún efecto del DSGVO ve sólo el dos por ciento de las empresas encuestadas.
Dejar una contestacion