Qui és el responsable de la seguretat del núvol ara?

L’ús de serveis al núvol en moltes circumstàncies està obtenint suport de gestió. Tanmateix, falta una actitud optimista als departaments d'informàtica. L’informe Ponemon, patrocinat per Lumension, Estat de l’endpoint del risc 2014, suggereix que l’ús de la computació en núvol, ja sigui recolzada per l’empresa o impulsada per empleats, ha augmentat la molèstia entre els enquestats a les enquestes - 19.001 professionals de la TI als Estats Units. La diapositiva següent mostra que el 44 per cent dels enquestats (un augment del 16 per cent entre 2012 i 2013) es van identificar amb els recursos de computació en núvol com una preocupació principal. El personal informàtic va citar nombroses preocupacions sobre la informàtica en núvol.

Font: Informe sobre l'estat del risc final de 2014

Qui és responsable de les dades al núvol?

L’informe de Ponemon reflectia bona part del que s’han dit els pundits de seguretat durant els últims anys. El que m'és curiós és qui és el responsable? Qui té la culpa si passa alguna cosa a les dades de la companyia quan són al núvol? Es podria esperar tota mena d'esment al respecte, però no hi ha. Les discussions menors sobre la responsabilitat van començar a recular fa dos o tres anys. Tot i això, “comptes amb compte” va ser l’única conclusió real que es va treure.

Si la preocupació del personal informàtic va augmentant, potser seria bona idea veure si ha canviat alguna cosa al departament de responsabilitat. El 2012 vaig entrevistar diversos executius del nivell C. Durant les entrevistes, em vaig preguntar qui pensaven que era responsable de la seguretat de les dades de l’empresa resident al núvol. Tots els executius creien que la seguretat de les dades ja no era la seva preocupació un cop les dades es trobaven als servidors d’una altra persona.

L'article de Businessweek del 2012 Qui és responsable de protegir les dades al núvol? Sarah Frier va afirmar la meva enquesta poc científica. A l’article, Frier citava Mario Santana de Verizon Communication, que deia: “Algunes empreses assumeixen erròniament que un cop optin per emmagatzemar dades en servidors externs, ja no s’han de preocupar de protegir aquesta informació.”

A partir de les troballes de Ponemon i Businessweek, es va fer evident la desconnexió entre executius del nivell C i departaments de TI el 2012. Avanceu dos anys i han canviat el que els líders empresarials i els professionals de les TI asseguren sobre seguretat i qui és el responsable de les dades de l'empresa confiades a un proveïdor de serveis en núvol.

Què hi ha de diferent al 2014?

A l’abril del 2014, l’Institut Ponemon va publicar el seu tercer estudi anual de tendències en núvol de xifratge patrocinat per Thales e-Security. L’enquesta de Ponemon va consultar 4.275 directius empresarials i informàtics als Estats Units, Regne Unit, Alemanya, França, Austràlia, Japó, Brasil i Rússia. L’objectiu principal de l’enquesta va ser examinar com les organitzacions protegeixen les seves dades quan es proporcionen a proveïdors de serveis en núvol.

Els investigadors ponemon van fer als participants dues preguntes importants per a aquesta discussió:

• Quin percentatge d’organitzacions transfereixen dades sensibles o confidencials a serveis externs basats en núvol?
• Qui és el més responsable de protegir dades confidencials o confidencials transferides a un proveïdor de serveis basat en núvol?

Primer, mirem quin percentatge d’organitzacions envien dades confidencials i confidencials als proveïdors de serveis al núvol. La diapositiva següent mostra que durant l'any 2013 de l'enquesta, el 53 per cent dels enquestats van transferir dades sensibles al núvol, el 36% ho farà d'aquí a dos anys i l'11 per cent no utilitzaven proveïdors de serveis en núvol. El més interessant és que els resultats dels darrers tres anys es van mantenir similars.

Font: Tendències del xifratge al núvol

A prop de l'any 2013, qui va ser el responsable de protegir les dades confidencials o confidencials transferides a un proveïdor de serveis basat en núvol? Depèn. Els participants de l'enquesta van dir que la responsabilitat es basa en el tipus de servei al núvol que es presta: SaaS o IaaS / PaaS. La diapositiva següent mostra les opinions dels enquestats sobre qui era el responsable quan una empresa utilitzava un entorn SaaS. El 2013, el 54 per cent va considerar el proveïdor de núvol com a responsable de la seguretat i el 24 per cent van considerar els usuaris del servei de núvol com a responsables, mentre que el 19 per cent considerava que s’hauria de compartir la responsabilitat. (Obteniu més informació sobre com triar entre IaaS i PaaS: què cal saber.)

Font: Tendències del xifratge al núvol

La següent diapositiva mostra l'opinió de l'enquestat sobre qui era el responsable quan una empresa utilitza un entorn IaaS / PaaS. El 2013, el 47 per cent considerava la seguretat com una responsabilitat compartida, el 26 per cent considerava que els usuaris del servei de núvol eren responsables, i el 22 per cent consideraven que aquesta era la responsabilitat del proveïdor de serveis en núvol.

Font: Tendències del xifratge al núvol

La línia de fons? Les coses han canviat. Sembla que l’actitud del “comprador amb compte” ha madurat al mateix temps amb els productes de serveis al núvol. Però, com em va dir un advocat per Internet, les contractacions es determinen ni més ni menys. Això és obligatori tenir en compte a tots els implicats en serveis al núvol.