Aunque la nube proporciona muchos beneficios para las organizaciones usuarias, también expone los datos y los sistemas a una serie de riesgos. Cualquier organización, antes de entrar a trabajar en la cloud se debe asegurar de que las medidas de seguridad necesarias sean adoptadas. Según las organizaciones se van moviendo hacia la nube, estas deben de adoptar una política de seguridad que contemple todos los riesgos que les puedan afectar. La adopción de estándares en este tema puede tener una gran relevancia, aunque todavía se encuentran en fase de desarrollo tanto a nivel nacional como internacional.
Las amenazas y debilidades no reconocen fronteras ni discriminan entre organizaciones muy grandes y organizaciones pequeñas. Sin embargo las tecnologías avanzadas de seguridad generalmente si están un tanto confinadas en las grandes organizaciones con los presupuestos y los expertos requeridos para instalar, gestionar y monitorizar soluciones avanzadas. En consecuencia, muchas organizaciones carecen de protección frente a nuevas amenazas basadas en la escasez de recursos, no por negligencia o falta de conocimiento.
En cualquier caso, no queda otro remedio que partir del principio que la seguridad total, absoluta, del 100%, no existe. Es ilusorio pensar en lograr una inviolabilidad total de las operaciones en la nube y en que dichas operaciones son totalmente seguras y a prueba de fallos. Eso resulta imposible y por lo tanto es mejor olvidarse de ello. Lo mismo que ocurre, en el momento presente, con las operaciones realizadas sobre instalaciones físicas propias en locales propios de la organización.
Lo que sí resulta necesario es hacer que los posibles daños que puedan surgir, cualquiera que sea el motivo, en las operaciones en la nube, sean los mínimos posibles, y para ello se va a examinar cómo es posible lograrlo mediante una política y un esquema de seguridad en los servicios que la organización cliente/usuaria obtiene mediante la cloud computing, la computación en la nube.
La seguridad en la computación en la nube tiene, en principio, tres niveles muy importantes:
- El primer nivel se refiere a la seguridad de las instalaciones del proveedor de servicios en la nube y que incluye desde la seguridad física, a la seguridad lógica y a la seguridad de las comunicaciones.
- El segundo nivel de seguridad en la cloud se refiere a la seguridad del cliente/usuario de los servicios en la nube y que afecta fundamentalmente a los temas de seguridad lógica, accesos a los servicios de la nube y a las comunicaciones con la nube.
- El tercer nivel de seguridad en las operaciones en la nube se refiere a los servicios de comunicaciones proporcionados por los operadores de comunicaciones y que tienen su propia problemática.
La conexión de las organizaciones con sus servicios externos, externalizados, subcontratados (outsourcing) a través de Internet, la nube, es crítica. Hoy en día, en la época del tiempo real, de la compartición de información y de la colaboración, las organizaciones ya no se encuentran aisladas y los servicios internos, externos y externalizados requieren ser fácilmente accesibles, pero al mismo tiempo requieren que a ellos solo puedan acceder aquellos que están autorizados debidamente, sean personas o programas. Con los empleados viajando por Internet con datos muy sensibles para su organización, la conexión tiene que ser segura para proteger a la organización del trabajador y para el proveedor del servicio. Los clientes/usuarios también demandan acceso directo a los recursos externos y a un mejor y fácil uso con un acceso simple único (single sign-on, SSO). El resultado es que las organizaciones se enfrentan a un montón de desafíos cuando ofrecen SSO a multitud de empleados y para una multitud de fines y usos. Y para lograr este objetivo con seguridad y éxito se precisa identificar al usuario, autentificar al usuario y además verificar que el usuario está debidamente autorizado para obtener la conexión solicitada.
Por todo ello es vital para las organizaciones y también para los proveedores de servicios en la nube, que exista, en toda organización, un buen sistema de control de accesos. Si existe tal sistema de control de accesos, muchos problemas de seguridad pueden quedar resueltos.
Indudablemente el Cloud computing y en concreto el software saas aportan unos beneficios asi como unos problemas o barreras de entrada:
–beneficios del software saas y cloud computing.
–barreras del software saas y cloud copmputing.