Durante años, los expertos en seguridad de TI de empresas privadas y organizaciones públicas se han enfrentado al impulso innovador de nuevos servicios, identificados genéricamente bajo la categorización de Servicios Cloud. Servicios que prometen ahorro de costes y un mayor nivel de seguridad.
Como bien puedes entender, cualquier solución que prometa el cielo debe ser evaluada cuidadosamente, yo diría que en estos casos es necesario ser escéptico e investigar. De hecho, las vulnerabilidades de los nuevos sistemas a menudo son una sorpresa y, por lo general, no de inmediato.
Leí una noticia interesante de AMD anunciando un acuerdo con IBM en el campo de Computación confidencial e inteligencia artificial.
Si bien todos saben lo que se entiende por Inteligencia Artificial (o al menos han oído hablar de ella), probablemente no mucha gente sepa lo que se entiende por Computación Confidencial.
Il Computación confidencial es una tecnología de computación en la nube que le permite aislar datos sensibles durante su procesamiento en la nube. De hecho, los datos deben protegerse en diferentes momentos: cuando se almacenan en bases de datos, cuando se mueven por las redes y, por último, pero no menos importante, cuando se procesan.
En cuanto a la protección en bases de datos y a lo largo de las redes, generalmente se utilizan técnicas de encriptación, pero cuando se procesan los datos (en principio) deben estar a salvo y esto es un riesgo a tener en cuenta. Las tecnologías de Computación confidencial se ocupan precisamente de la seguridad de los datos que se procesan en el entorno de la nube.
Algunos pueden preguntarse si el Computación confidencial es importante (o en otras palabras si y cuáles son los riesgos que se corren por el uso de tecnologías en la nube), pues la respuesta se puede encontrar en los informes de las empresas que se ocupan del análisis de riesgo cibernético, entre estas solo menciono una, McAfee, que es bien conocido como fabricante de antivirus. Si leemos el "Informe de riesgos y adopción de la nube" es posible comprender mejor cuáles son las tendencias con respecto a los riesgos asociados con la adopción de la nube y, por lo tanto, comprender qué riesgos se corren al utilizar tecnologías de la nube.
No todo el mundo leerá el informe, pero puedo decirles en pocas palabras que existen riesgos y que deben tenerse en cuenta. No solo digo esto (¿quién soy yo para hacerlo?) Sino que las mismas empresas que brindan servicios en la nube lo afirman, con su comportamiento.
Para confirmar lo anterior, echemos un vistazo a un consorcio creado recientemente: el "Confidential Computing Consortium" (CCC), de la Fundación Linux. El CCC tiene como objetivo profundizar la seguridad de los sistemas y tecnologías en la nube y es un consorcio que involucra a Alibaba, ARM, Baidu, IBM, Intel, Google, Microsoft, Red Hat, Swisscom y Tencent. Cualquiera que tenga una idea de lo que representan estas empresas puede comprender la importancia del "problema" de la informática confidencial.
Cierro este artículo con una pregunta simple: cuando los datos eran procesados por software propietario en las infraestructuras de TI en poder del cliente, era el cliente quien debía garantizar el mantenimiento de un entorno seguro para sus datos y quien respondía por lo sucedido, incluso frente a él. a la ley, pero ahora? Ahora los datos pertenecen al cliente, pero los servicios son externos (en la nube) y la infraestructura de TI es la Nube (al menos en el caso de SaaS), gestionada en todos los aspectos por el proveedor de servicios ... quien es responsable de su ¿la seguridad?
Que quede claro, en los últimos años, organizaciones y empresas de todo tipo han demostrado a menudo y de buena gana que son incapaces de proteger sus datos e infraestructuras, gracias a la complejidad, la velocidad del cambio de tecnologías y las bajas inversiones en formación y actualización tecnológica.
La responsabilidad en caso de un incidente cibernético en un entorno de nube es, en algunos aspectos, compartida, por lo que el cliente y el proveedor de servicios deben trabajar juntos, y no es fácil.
Creo que la respuesta aún está por encontrar entre las líneas del CCC. Es por eso que los proveedores de servicios en la nube líderes en el mundo están trabajando juntos para definir nuevos estándares de seguridad en la nube.
Para saber más:
- IBM y AMD anuncian un acuerdo de desarrollo conjunto;
- ¿Qué es la informática confidencial? | IBM;
- La gran mayoría de los ciberataques en servidores en la nube apuntan a minar criptomonedas | ZDNet;
- SaaS: Definición de software como servicio (SaaS) (investopedia.com)
