hosted
sfa
Guia para compradores CRM
Busco CRMCloud ComputingCloud Computing Security Risks

 Chuck La Computación en la Nube y los Riesgos de las Violaciones a la Seguridad

4 estrellas Promedio: 4 (de 73 votos)
 Por Chuck Schaeffer

La Nube Pone en Riesgo la Seguridad de tu Compañía?

La recesión mundial puede estar cediendo, pero la presión de recortar los costos no ha disminuido. Inevitablemente, las charlas en salas de junta y salas de descanso coinciden en ver a la nube como la oportunidad más prometedora de adquirir la tecnología que la compañía quiere a un precio que ésta puede costear. Los líderes de Tecnología de la Información (IT por sus siglas en inglés) saben que existen demasiadas expectativas en la nube, pero también puede haber inquietud. Entonces cómo puedes asegurar que la nube es adecuada para tu compañía?

El gran problema que existe es este toro salvaje y feroz que puede destruir a una compañía en un instante y su nombre es Violaciones a la Seguridad. Todo el mundo se estremece de pensar en el compromiso de la seguridad, y muchos se preocupan de que el Software como Servicio (SaaS por sus siglas en inglés) es una bandera roja virtual que incita a ese toro salvaje a atacar. El problema con este temor es que es demasiado amplio y requiere de un análisis más profundo para separar la realidad de la ficción. Considera los hechos reales.

Realidad #1: Los Proveedores de la Nube Ofrecen una Seguridad de la Información Pocas Veces igualada por las Empresas Privadas

Como asunto de práctica habitual, la nube y los proveedores de CRM de SaaS ofrecen impresionantes niveles de seguridad, incluyendo:

  • Una infraestructura de seguridad la cual incluye personal experto, un plan de seguridad con información accesible y de utilidad, múltiples niveles de defensa a la seguridad, procesos de formación y verificación, auditorías de evaluación de vulnerabilidad periódica y aleatoria, pruebas de penetración controlada, sitios concurridos y redundantes y un Plan de Continuidad de la Actividad (BC por sus siglas en inglés) verificado y probado y Plan de Recuperación ante Desastres (DRP por sus siglas en inglés).
  • Certificaciones y evidencias anuales e independientes de la seguridad de la información, de autoridades tales como El Gobierno Federal de los Estados Unidos (NIST C&A) o la Organización de Estándares Internacionales (ISO 27001).
  • Cortafuegos (firewalls) certificados de manera independiente, de múltiples niveles y de Inspección Profunda de Paquetes (DPI por sus siglas en inglés) gestionados todos los días, a toda hora por expertos de seguridad.
  • Sistemas de Detección de Intromisión (IDS por sus siglas en inglés), Sistemas de Prevención de Intromisión (IPS por sus siglas en inglés) y Sistemas de Respuesta a Incidentes gestionados todos los días a toda hora por expertos de seguridad.
  • Certificados digitales emitidos de manera independiente, tráfico codificado en capas de conexión segura (SSL por sus siglas en inglés) y datos almacenados codificados.
  • Múltiples productos comerciales de anti-virus redundantemente instalados en capas múltiples de red, incluyendo el Portal, la capa de aplicación y las granjas de servidores en la web.
  • Infraestructuras de seguridad física con mediciones tales como zonas de ubicación de dispositivos físicos de seguridad, escáner biométrico de factores múltiples y autorización de la combinación de acceso a la tarjeta, sistemas de ingreso de doble identificación, 24 horas de supervisión de guardia de seguridad, circuito cerrado de televisión en todas las instalaciones internas y externas, gabinetes asegurados individualmente, sistemas de alarmas integrados y supervisión ambiental todos los días a toda hora.

“Realmente tienes las medidas adecuadas en su lugar para los desafíos de seguridad que se presenten y para los inconvenientes de continuidad en las empresas?” pregunta Rob Kall, presidente de Bookt, un proveedor de servicios de la web de la industria mundial hotelera y de alquiler de vacaciones. “Por ejemplo, qué pasa si alguien se roba todos tus servidores?”

En realidad lo que pasa cuando ocurre un desastre natural como un tornado, inundación o terremoto – o un accidente como un incendio – o si un pirata informático obtiene acceso a tu red o adquiere credenciales a través de una unidad de disco duro robada, un teléfono inteligente olvidado o un ordenador portátil desprotegido? Tu personal interno, herramientas y procesos ofrecen el mismo nivel de preparación y respuesta que los proveedores de la nube?

También considera que por encima de todos estos riesgos, el riesgo más grande de compromiso de seguridad viene de tu propia gente. La mayoría de los estudios hechos de seguridad de información muestran consistentemente a los empleados como la amenaza número uno para tus datos. De hecho, hay cuatro veces mayor probabilidad de que las violaciones a la seguridad provengan de los empleados que de externos piratas informáticos. El almacenamiento de tus datos en el sitio aumenta o disminuye el riesgo de robo de parte de empleados?

Los datos confidenciales o relevantes están más seguros en tus propios servidores que en la nube? Probablemente no. Los datos almacenados en la nube están sujetos a amenazas comparables como si estuvieran almacenados en el servidor en tu propio centro de datos, por la calle, en una ciudad cercana o en cualquier otra parte. La diferencia es que los proveedores requieren mucha más preparación para tales eventos.

Si las inquietudes en la seguridad son lo único que te limita a adoptar una solución en la nube, compara tu actual exposición al riesgo con eso y elegirás a proveedores en la nube. Es muy probable que obtengas un mejoramiento en la seguridad mediante la contratación de los servicios de los proveedores en la nube.

No quiere decir que las compañías individuales no puedan esforzarse e invertir en la implementación de infraestructuras de seguridad de información de avanzada, sino que la seguridad no es su actividad central y la inversión probablemente no tendría sentido.

“Los proveedores de computación en la nube pueden resolver estos problemas de seguridad y de la continuidad del negocio a una mayor escala y los ahorros se transfieren a los consumidores de los servicios,” dice Kali. “Es probable también que ellos tengan más personal experimentado y que cada
proveedor de Software como Servicio (SaaS por sus siglas en inglés) sepa que su reputación vive y muere con su desempeño de seguridad y su tiempo de operación.”

Realidad #2: WWW No es el Lejano Oeste

Para los que no lo sabían, el internet es un sitio peligroso que amenaza la seguridad de tu compañía. Sin embargo, para los que lo saben, las empresas y los líderes de IT identifican el riesgo y la necesidad de mitigar ese riesgo, porque ellos no pueden sobrevivir ni prosperar sin la web.

Inclusive las compañías que no utilizan la nube invierten mucho tiempo conectados a la web – por correo electrónico, haciendo presentaciones a distancia, soportando al personal a distancia, transfiriendo archivos, descargando información y mucho más.Cuando compras un software de implementación local, probablemente lo descargas desde la web y de hecho no lo instalas desde un CD, DVD o cualquier cosa que esté conectada a tus servidores. Y, probablemente, bajes de la web tus actualizaciones y modificaciones en los programas. Así que allí estás, de vuelta en la red otra vez.

La única manera de evitar exponerte a más amenazas por el internet, es no conectarte a la web en lo absoluto. Pero la mayor amenaza de compromiso del personal interno sigue existiendo y, considerablemente, la abstinencia acabará con la compañía. Las compañías no estarían capacitadas para capitalizar en las oportunidades de crecimiento de la empresa sin la interacción en línea.

Realidad #3: Permanecen Otras Inquietudes de la Nube

Irónicamente, la seguridad es por lo general la principal y más nombrada inquietud de la nube, no obstante la adopción de las soluciones en la nube puede mejorar dramáticamente la preparación de la seguridad, respuesta a los incidentes y continuidad en la empresa. Sin embargo, aunque no recibas la misma atención inicial, siguen siendo relevantes otras inquietudes para la adopción de la nube – tales como costo total de propiedad, contratos de la nube, herramientas y portabilidad en la nube.

Debido al modelo de precios de la subscripción no existe argumento de que los costos iniciales de la nube o de SaaS son significativamente más bajos que los homólogos de implementación local. También, con el rápido abastecimiento de sistemas nuevos sin disco duro ni plataformas de software para instalar (por ejemplo, sistemas operativos, bases de datos relacional, programas de seguridad, herramientas de gestión, etc), las implementaciones de software de CRM de SaaS son más rápidas y cuestan menos. Y con menos disco duro que mantener y menos necesidad de administradores de sistemas de aplicación, administradores de bases de datos y soporte en general, los costos laborales de IT claramente se han reducido. Sin embargo, los precios de suscripción son la facturación periódica, así que si los sistemas de nube ofrecen un reducido costo de propiedad total (TCO por sus siglas en inglés) por el resto de la vida de la aplicación, comparado con sus homólogos con licencia, se convierten en un cálculo de TCO que variará para cada organización.

Los contratos para las soluciones en la nube carecen de estandarización y si los compradores no los comprenden, pueden heredar riesgos imprevistos. Algunos proveedores de CRM en la nube ofrecen
Acuerdos de Nivel de Servicio (SLAs por sus siglas en inglés), algunos no. Algunos proveedores de CRM tales como Salesforce.com les ofrecen SLAs a algunos clientes pero no a otros. Algunos SLAs contienen créditos de respaldo financiero o penalidades por faltas de conformidad del SLA, mientras otros no. Algunos SLAs excluyen “mantenimiento programado” desde garantías de tiempo de actividad, mientras que otras no.La mayoría de los proveedores de nube cobran diferentes tasas de almacenamiento más allá de su monto de almacenamiento asignado por usuario y la mayoría de los proveedores incluye renovaciones automáticas, sin embargo, los términos y condiciones de renovación varían. Muchos proveedores de SaaS incluyen un abastecimiento “coincidente” o inseparable al agregar usuarios durante el término del contrato, lo cual significa que cualquier usuario incorporado durante el período del contrato retroactivamente provocará aumentos en los cargos de subscripción para los usuarios originales también. Algunos proveedores de CRM contienen idiomas, para así reforzar la capacidad de los clientes para recuperar sus datos a tiempo. La falta de continuidad entre las soluciones en la nube impone el aumento de la diligencia hacia los compradores de la nube y sus consejeros legales.

A pesar de la poderosa Plataforma como Servicio (PaaS por sus siglas en inglés) y las herramientas de desarrollo personalizadas de los proveedores de la nube y de SaaS, muchos comercios de IT carecen de herramientas de nube para ayudarlos a soportar sus infraestructuras, políticas o comunidades de usuario. Simples herramientas tales como la supervisión en tiempo real de los servicios en la nube, pueden ser inaccesibles, bloqueados por proveedores de nube o contractualmente prohibidos en los contratos del proveedor en la nube. Esto previene a los comercios de IT de obtener indicadores de desempeño e incapacitar su habilidad de proveer apoyo en tiempo real a sus comunidades de usuarios. Otras herramientas tales como soluciones de gestión de identidad integrada están en escasez. Las compañías que se subscriben a múltiples productos de SaaS sin un SSO que sea fácil de instalar y fácil de usar u otro método de gestión de identidad, forzará a los usuarios a manejar múltiples identificaciones de ingresos y contraseñas.

La portabilidad de la nube se está convirtiendo en una herramienta de PaaS víctima de la propiedad. Por ejemplo, las compañías pueden utilizar el entorno de desarrollo de Salesforce.com Force.com para crear aplicaciones personalizadas y soluciones complementarias, sin embargo, tales soluciones sólo funcionan en la nube de Salesforce.com. De manera similar, no esperes soluciones personalizadas creadas con la plataforma NS-BOS de NetSuite o la plataforma NetWeaver (Negocio mediante Diseño) de SAP para funcionar fuera de sus propias nubes. El anuncio de Salesforce.com a finales del 2010 de database.com y su enfoque más abierto es un signo de bienvenida para los equipos de aplicaciones y de directores de tecnología y se espera que comience una lenta tendencia de hacer soluciones de nube más portátiles.

De acuerdo con Daryl Plummer, vicepresidente de Gartner y Fellow, muchas de las inquietudes de la nube que aún persisten serán expuestas dentro de pocos años. Él informa que para el 2015 los proveedores de la nube entenderán que los clientes necesitan herramientas de auditoría para los servicios en la nube y garantías contractuales acerca de la responsabilidad o propensión del proveedor en caso de que fracasaran sus sistemas. Plummer también pronostica que los “corredores de bienes” o intermediarios surgirán para ayudar a las compañías a conseguir lo que ellas quieran de la nube.

Ya Viene la Nube, Estés Listo o No

Además de todo, podemos añadir que reconocemos que la nube crecerá a pesar de los esfuerzos para mantenerla a distancia.

“Mientras que el modelo de implementación local es el uso de servicios internos con pocas incursiones en la nube, en el futuro, indudablemente, será lo contrario”, afirma Ed Lyons, ingeniero en jefe de Keane. “los servicios de las empresas estarán cada vez más en la nube y en raras excepciones deben presentarse “internamente”.

“No tenemos que imaginarnos este modelo, empresas emergentes con millones de usuarios ya operan de esta manera”, él agregó.

Hay muchas más nubes desarrollándose en el horizonte -nubes privadas, nubes públicas e híbridas. “Habrá un foco creciente en las nubes privadas y las compañías verán cambios significativos en la estructura de costos y un tratamiento de contabilidad dentro de sus organizaciones”, acotó Amit Sen, Director de Patni un grupo de Servicios de Consultoría de Empresas de América. vellc+

La próxima vez que estés en la discusión “incursionamos en la nube?” en una sala de juntas o un salón de descanso, reconoce que la pregunta real no es si la compañía se dirige a la nube, sino cuándo y bajo qué condiciones la nube vale la pena para tu empresa. End

Como calificaría este Artículo?   

Call Centers
 Filed In Categorias: Computación en la Nube
Categories
 Etiquetas Etiquetas: information Security
Etiquetas
Trackback Enlace: www.buscocrm.com/cloud-security.php
Trackback
Author  Autor: Chuck Schaeffer
Author
 Share Compartir:    Bookmark and Share
Share

Comentarios — Los comentarios ya cerraron en esta sección —

Guest Kent Ellis
  We're about to buy a cloud CRM software solution. We're leaning toward Salesforce.com who has a SAS 70 certification. It's unclear to me whether this cert really ensures thorough security or not. Is a SAS 70 enough to put our security concerns behind us?
  Chuck Chuck Schaeffer
    That depends upon the sensitivity of your data and your appetite for risk. A SAS 70, Type II, (or its SSAE No. 16 replacement) is not prescriptive, meaning that there are not specific and measurable objectives, guidelines and internal controls that must be satisfied in order to achieve the certification. SAS 70's are granted by CPAs who with their clients input apply their own discretion to determine their unique goals and subjective criteria that satisfy the audit and certification. SAS 70's are most often used to audit service providers of companies going through a Sarbanes-Oxley (SOX) audit. Because the audit is subjective, and every CPA auditor may apply different rigour and interpretation, and in fact, two auditors looking at the same situation may derive different conclusions, I am personally not a believer in SAS 70's and give them no credence as a measure of a company's information security posture. In fact, I think they're little more than an employment act for accountants created by the AICPA (American Institute of CPAs) that opportunistically crafted the audit and associated it with the roll out of the Sarbanes-Oxley Act at the time when the country and politicians were livid about the corporate scandals and egregious behaviors of unethical companies such as Enron, WorldCom and Tyco. As an alternative, I suggest audits and attestations from ISO or NIST provide much more meaning and confidence. The ISO 27001 and the NIST C&A (Certification and Accreditation) are both prescriptive audits. They offer varying information security levels, and specifically defined internal controls for each level that must be objectively satisfied each year to acquire and maintain the certification. Fortunately for your situation, Salesforce.com retains both a SAS 70 and an ISO 27001.

Guest Jeff Atkinson
  Wow, please tell me how you really feel about the SAS 70. Do you place any reliance of this audit or is it just worthless?
  Chuck Chuck Schaeffer
    I wouldn't say a SAS 70 Type II is necessarily worthless, I'd just say its worth less than a more objective, measurable audit such as an ISO 27001. Because every SAS 70 may have different objectives, audit criteria and assumptions, you'll need to read the report to understand the scope and results of the particular audit.

Guest Cathy Meek
  I find this topic critical in the Selección de Software CRM process. So what are the best ways to test a cloud vendors security to get piece of mind?
  Chuck Chuck Schaeffer
    To validate information security, I suggest starting by reviewing the 3 P's - People, Processes and Proof. Security begins and ends with people. Make sure the cloud vendor has experienced, trained, certified and dedicated information security staff. Security processes include the methods, routines and over-lapping layers of redundant security measures which safeguard data in transit and data at rest. Proof generally consists of independent audits and third party attestations from recognized authorities. If you are not well versed with information security, I highly recommend seeking an outside expert. As you may have gathered by now, I personally like the ISO 27001 and NIST C&A annual certifications and attestations.

Guest Roberto Hernandez
  Do you expect the SSAE 16 to be better than the SAS 70? What's different with the new standard?
  Chuck Chuck Schaeffer
   

The SSAE No. 16 replaces the SAS 70 effective June 2011. My review of SSAE No. 16 a few months ago leads me to believe the changes are minor, however, I recommend you seek out a CPA experienced with the new standard to get a better opinion. My opinion is that the primary changes to the SSAE No. 16 from the SAS 70, while not significant, include the following:

    • The new standard is an attest standard, not an audit standard. Companies should expect a separate audit standard to be issued addressing the requirements of the user auditor.
    • In the new reporting standards, management will be required to provide a written assertion. I like this inclusion as it steps up management accountability.
    • Service organizations are required to provide a similar assertion when the inclusive method is used.
    • Type 1 and Type 2 reports may still be issued by the service auditor. I expect these reports will largely continue as they're the major revenue producing projects for CPAs.
    • Type 2 reports require the service auditor to express an opinion on the suitability of the design of controls related to the control objectives throughout the entire period. The format of the service auditor's opinion will change. This provision steps up skin in the game by the auditor, however, will likely be severely watered down by loose control objectives and reduction of liability clauses that will now be inserted to the reports.
    • The service auditor is required to disclose any reliance on the work of Internal Audit or other independent management testing functions within the report.
 

 

Comparte este Artículo

 

Quote

Mientras que el modelo de implementación local es el uso de servicios internos con pocas incursiones en la nube, en el futuro, indudablemente, será lo contrario. Los servicios de las empresas estarán cada vez más en la nube y en raras excepciones deben presentarse internamente.

~ Ed Lyons. Ingeniero en jefe de Keane

 

Artículos Relacionados

 


Más Artículos por Chuck

 

 

 

 

Follow Us
social
social
social
social

crm search

Home   |  CRM  |  Ventas  |  Mercadeo  |  Servicio  |  Call Centers  |  Canales  |  Recursos  |  Blog