Vivimos en un mundo donde las violaciones de seguridad en los centros de datos aparecen en los titulares casi mensualmente, lo cual preocupa mucho a los departamentos de TI corporativos, los mismos que temen utilizar la nube pública debido a preocupaciones sobre la seguridad de los datos. La verdad es que la nube pública es más segura que el típico centro de datos, y los departamentos de TI obtendrían una mejor seguridad si superaran sus prejuicios contra la nube.
Por supuesto, debido a que los departamentos de TI gestionan sus propios recursos de datos, creen que están haciendo un mejor trabajo que otras personas podrían hacer, especialmente aquellas personas en esos servicios en la nube donde las prácticas de seguridad son opacas. Pero simplemente no es cierto. Los proveedores de nube tienen mecanismos de seguridad mejores y son más paranoicos y atentos a los riesgos de seguridad en toda su infraestructura. Lo que aportan las nubes públicas son mecanismos de seguridad mejores y una paranoia por defecto, dado lo atractivas que son como objetivos. Los proveedores de nube son mucho mejores en servicios de seguridad sistémica, como la detección de ataques utilizando tecnología de coincidencia de patrones e incluso sistemas de inteligencia artificial. Esta combinación significa que tienen sistemas muy seguros. No debería sorprender que los hackers se dirijan a objetivos más fáciles: los centros de datos empresariales.
Los sistemas locales que los departamentos de TI gestionan suelen ser una mezcla de tecnologías de diferentes épocas. La infraestructura antigua a menudo es menos segura y menos protegible que la tecnología moderna utilizada por los proveedores de nube, simplemente porque la tecnología antigua fue diseñada para una era anterior de amenazas menos sofisticadas. La mezcla de diferentes tecnologías en el típico centro de datos local también abre más brechas que los hackers pueden explotar. Debido a que los sistemas locales están envejeciendo, su seguridad intrínseca puede ser fácilmente derrotada por los hackers. Además, el número de ataques aumenta semanalmente y las defensas deben ser proactivas, más proactivas de lo que la mayoría de las organizaciones de TI empresariales son y probablemente más proactivas de lo que cada una de ellas puede permitirse individualmente.
El reciente caso de violación de seguridad en el centro de datos de la cadena hotelera Hilton es un ejemplo de la vulnerabilidad de estos sistemas antiguos. Estoy seguro de que Hilton ha invertido en seguridad a lo largo de los años, pero aún no sabe exactamente cómo los hackers lograron ingresar.
La nube pública tiene la ventaja de ser menos compleja y no depender de tecnologías más antiguas. En su núcleo, es una plataforma más segura. Pero solo estarás más seguro en la nube pública si planificas una buena seguridad para tus implementaciones en la nube pública, complementando lo que hacen los proveedores de nube. Por ejemplo, debes utilizar cifrado y seguridad basada en IAM.
En resumen, cualquier sistema, ya sea en la nube o en las instalaciones locales, solo es tan seguro como la cantidad de planificación y tecnología que se invierte en los datos y las aplicaciones. Los proveedores de nube han hecho un mejor trabajo, tanto porque tienen que hacerlo como porque su tecnología más nueva les facilita hacerlo. Los departamentos de TI deberían aprovechar ese enfoque en la seguridad en la nube, en lugar de ignorarlo.
