¿Quién es responsable de la seguridad en la nube ahora?

El uso de servicios en la nube en muchas circunstancias está ganando soporte de gestión. Sin embargo, esa actitud optimista falta en los departamentos de TI. El informe Ponemon 2014 patrocinado por Lumension State of Endpoint Risk sugiere que el uso de la computación en la nube, ya sea respaldada por la empresa o impulsada por los empleados, ha aumentado la angustia entre los encuestados: 19, 001 profesionales de TI en los Estados Unidos. La siguiente diapositiva muestra que el 44 por ciento de los encuestados (16 por ciento de aumento de 2012 a 2013) identificaron el uso de recursos de computación en la nube como una preocupación importante. El personal de TI citó numerosas preocupaciones relacionadas con la computación en la nube.

Fuente: Informe de estado del riesgo final de 2014

¿Quién es responsable de los datos en la nube?

El informe Ponemon refleja mucho de lo que los expertos en seguridad han estado diciendo durante los últimos años. ¿Qué me tiene curioso es quién es responsable? ¿Quién tiene la culpa si algo le sucede a los datos de la empresa cuando está en la nube? Uno podría esperar todo tipo de mención sobre esto, pero no lo hay. Las discusiones menores sobre la responsabilidad comenzaron a surgir hace dos o tres años. Sin embargo, "cuidado con el comprador" fue la única conclusión real que se sacó.

Con el aumento de la preocupación del personal de TI, podría ser una buena idea ver si algo ha cambiado en el departamento de responsabilidad. En 2012, entrevisté a varios ejecutivos de nivel C. Durante las entrevistas, pregunté quién creían que era responsable de proteger los datos de la empresa residente en la nube. Todos los ejecutivos creían que la seguridad de los datos ya no era su preocupación una vez que los datos estaban en los servidores de otra persona.

El artículo de Businessweek de 2012 ¿Quién es responsable de proteger los datos en la nube? por Sarah Frier afirmó mi encuesta no científica. En el artículo, Frier citó a Mario Santana de Verizon Communication, quien dijo: "Algunas empresas suponen erróneamente que una vez que optan por almacenar datos en servidores externos, ya no tienen que preocuparse por salvaguardar esa información".

Según los hallazgos de Ponemon y Businessweek, la desconexión entre los ejecutivos de nivel C y los departamentos de TI en 2012 se hizo evidente. Avanzamos dos años y lo que dicen los líderes empresariales y los profesionales de TI sobre la seguridad y quién es responsable de los datos de la empresa que se confían a un proveedor de servicios en la nube ha cambiado.

¿Qué es diferente en 2014?

En abril de 2014, Ponemon Institute lanzó su tercer Estudio anual de Tendencias en Cifrado de Nube patrocinado por Thales e-Security. La encuesta de Ponemon preguntó a 4, 275 gerentes de negocios y TI en los Estados Unidos, Reino Unido, Alemania, Francia, Australia, Japón, Brasil y Rusia. El objetivo principal de la encuesta fue examinar cómo las organizaciones protegen sus datos cuando se entregan a los proveedores de servicios en la nube.

Los investigadores de Ponemon hicieron a los participantes dos preguntas que son importantes para esta discusión:

• ¿Qué porcentaje de organizaciones transfieren datos confidenciales o confidenciales a servicios externos basados ​​en la nube?
• ¿Quién es más responsable de proteger los datos confidenciales o confidenciales transferidos a un proveedor de servicios basado en la nube?

Primero, veamos qué porcentaje de organizaciones envían datos confidenciales y confidenciales a proveedores de servicios en la nube. La siguiente diapositiva muestra que para el año de la encuesta de 2013, el 53 por ciento de los encuestados estaban transfiriendo datos confidenciales a la nube, el 36 por ciento lo hará dentro de dos años y el 11 por ciento no estaba utilizando proveedores de servicios en la nube. Lo interesante es que los resultados de los últimos tres años se mantuvieron similares.

Fuente: Tendencias en el cifrado de la nube

A continuación, para el año de la encuesta de 2013, ¿quién fue el responsable de proteger los datos confidenciales o confidenciales transferidos a un proveedor de servicios basado en la nube? Depende. Los participantes de la encuesta dijeron que la responsabilidad depende del tipo de servicio en la nube que se proporciona: SaaS o IaaS / PaaS. La siguiente diapositiva muestra las opiniones de los encuestados sobre quién era responsable cuando una empresa utilizaba un entorno SaaS. En 2013, el 54 por ciento consideraba que el proveedor de la nube era responsable de la seguridad y el 24 por ciento consideraba que los usuarios del servicio en la nube eran responsables, mientras que el 19 por ciento consideraba que la responsabilidad debería compartirse. (Obtenga más información en Elegir entre IaaS y PaaS: lo que necesita saber).

Fuente: Tendencias en el cifrado de la nube

La siguiente diapositiva muestra la opinión del encuestado sobre quién fue responsable cuando una empresa utiliza un entorno IaaS / PaaS. En 2013, el 47 por ciento consideraba la seguridad como una responsabilidad compartida, el 26 por ciento consideraba que los usuarios del servicio en la nube eran responsables, y el 22 por ciento sentía que era una responsabilidad del proveedor del servicio en la nube.

Fuente: Tendencias en el cifrado de la nube

¿La línea de fondo? Las cosas han cambiado. Parece que la actitud de "cuidado con el comprador" ha madurado junto con los productos de servicio en la nube. Pero como me dijo un abogado experto en Internet, las responsabilidades están determinadas por los contratos, nada más ni nada menos. Eso es algo que todos los involucrados en los servicios en la nube deben tener en cuenta.