Debido a que no tiene el control de su entorno informático y, por lo tanto, debe confiar en que el proveedor de los servicios en la nube que utiliza es honesto y competente.
Primero, es necesaria una breve lectura histórica para comprender este problema por completo: Reflexiones sobre la confianza en la confianza , la conferencia del Premio ACM Turing de Ken Thompson (ganó el Premio Turing por ser uno de los creadores de UNIX):
- https://www.ece.cmu.edu/~ganger/…
Ahora, después de leer esa conferencia seminal, reflexione sobre lo que alguien que tiene el control del hardware o la VM en la que se ejecuta su software puede hacerle a usted por intención o negligencia.
- ¿Cuál es el mejor servicio para usar la nube para transmitir mi gran colección de música (> 100 GB)?
- ¿Puede ser más rentable ejecutar una nube privada con OpenStack que AWS?
- ¿Qué es una fábrica en la nube?
- Si muevo mi aplicación comercial a la nube, ¿por qué tendré que pagarle a mi proveedor de servicios de TI una tarifa de soporte continuo?
- ¿Todos los IDEs están basados en la nube?
No importa si encripta sus datos en tránsito (por ejemplo, con Secure Sockets Layer (SSL) o Transport Layer Security), eso solo lo salva de la intercepción y manipulación externas. Sus datos deben estar (junto con las claves de cifrado) sin cifrar en la memoria de acceso aleatorio de la “computadora” (real o virtual) en la que se ejecuta su aplicación, para que su software pueda manipularla. ¿Cómo sabe que la “computadora” no se ha detenido y que se ha copiado toda la RAM? O, peor, ¿cambiado?
Esas dos técnicas son una parte estándar de la caja de herramientas de cada ingeniero de software. Se usan en software de depuración todos los días. Ignora a cualquiera que los llame “exóticos” o “inusuales”.
Existen dos técnicas tradicionales de gestión de riesgos que son necesarias para hacer frente a los riesgos de la “computación en la nube”:
- Un ejercicio adecuado de diligencia debida: investigue cuidadosamente a su posible proveedor de servicios en la nube antes de firmar cualquier contrato:
- ¿Son honestos?
- ¿Tienen seguridad física adecuada para sus instalaciones?
- ¿Son cuidadosos con su propia administración de sistemas y con la integridad y procedencia del software del sistema?
- ¿Mantienen pistas de auditoría interna para monitorear a sus empleados?
- ¿Controlan regularmente las intrusiones no autorizadas en su servicio?
- ¿Saben lo que están haciendo?
- Seguro: sus datos e informática tienen cierto valor para su negocio. Cuente ese valor y compre un seguro para él, ya sea directamente del proveedor de servicios en la nube (si no garantizan contractualmente la integridad de su servicio con su efectivo en riesgo directo, ¿de qué valen sus garantías de seguridad?), O de un negocio asegurador de seguros.
Si no hace estas dos cosas, significa que sus datos / computación realmente no valen nada, o se va a entristecer.
Lecturas adicionales:
- ¿Cuáles son las amenazas específicas de seguridad e integridad para los sistemas de computación / almacenamiento en la nube que no existen en los centros de datos privados?
- http://blogs.computerworld.com/c…
- Puerta trasera (informática)
- Inseguridad informática
y …