Gracias al blog de Infosec Island hemos llegado al "Informe sobre el estado de seguridad en la nube" (pdf) que, recientemente ha publicado Alert Logic y que, según los autores, tendrán un carácter semestral.

En dicho informe, se analizan los datos relativos a 2,200 millones de eventos y más de 62.000 incidentes gestionados por Alert Logic en sus clientes para comparar la situación entre los proveedores de servicios y las instalaciones in-house, todo ello con el objetivo de responder a la pregunta típica de, ¿qué es más seguro, llevar la gestión de los sistemas internamente o en la nube?

Pues bien, las conclusiones de este primer informe son claras: "Los entornos en proveedores de servicios muestran menores tasas de ocurrencia para todas las clases de incidentes analizadas" y eso que el análisis se ha realizado sobre empresas que están concienciadas e invierten en seguridad (al menos, lo suficiente, como para contratar servicios del tipo que ofrece Alert Logic), que si incluimos el resto, la diferencia sería seguramente mucho mayor.

Sin embargo, nuestro objetivo no es defender aquí las bondades de los servicios en la nube, sino apoyar otra información que se realiza en el informe y que nos parece mucho más importante: "La decisión [de llevar servicios a la nube] debería basarse en una revisión de los actuales riesgos y no en percepciones que no estén soportadas por datos". En nuestra opinión, más que a la literalidad de la frase, nos gustaría ir al fondo, es decir, que las decisiones de utilizar servicios en la nube deben estar apoyadas en una gestión adecuada de riesgos gracias a mecanismos que nos permitan conocer a priori la capacidad de respuesta del proveedor a los incidentes, que, para nosotros, es más importante que simplemente conocer el número de incidentes que sufre el proveedor.

En este sentido, pensamos que la calificación es un mecanismo que permite aportar esa transparencia al proceso de selección y que, su generalización, contribuirá claramente a la adecuación de los niveles de seguridad a las necesidades de los clientes.

Puedes seguirnos en twitter.com/leet_security

7 de marzo de 2012