Las agencias gubernamentales de EE. UU. y los proveedores de tecnología en la nube se están moviendo hacia la realineación de la forma en que trabajan juntos para abordar los desafíos de ciberseguridad. Según un informe reciente, el crecimiento proyectado en el uso de la nube creará un entorno de seguridad federal más complejo. Grupo Thales.
El informe establece que las agencias federales en realidad están por delante de las empresas en la adopción de la nube, con el 54 por ciento de los datos de la agencia ya integrados en la nube. Además, la tecnología en la nube está en el centro de los objetivos más amplios de «transformación digital» del gobierno federal, subrayados recientemente por la adición de sitios de trabajo remotos en respuesta al virus COVID-19.
«A medida que más datos y servicios migren a la nube, los requisitos de seguridad de datos serán cada vez más estrictos», dijo Brent Hansen, director de tecnología de Thales Commonwealth.
«Este año es el primero en el que se almacenan más datos federales en la nube que en las instalaciones. Es un gran punto de inflexión y la trayectoria solo seguirá favoreciendo la computación en la nube», dijo a E-Commerce Times.
Incluso sin el impulso de COVID-19, las agencias están en camino de expandir la utilización de la nube.En su evaluación más reciente, la consultora de marketing Deltek Se pronostica que la demanda federal de productos y servicios de computación en la nube de los proveedores aumentará de $ 5300 millones en el año fiscal 2019 a $ 9100 millones en 2024, una CAGR del 9,6 %.
La seguridad se fortalecerá a medida que las implementaciones de la nube federal involucren cada vez más múltiples capas de funcionalidad. Además, las agencias todavía tienen mucho trabajo por hacer para proteger sus recursos de nube existentes.
La gestión de la seguridad de las configuraciones básicas de la nube es compleja. El informe de Thales señala que las agencias y los proveedores de servicios en la nube (CSP) ahora dividen las responsabilidades de seguridad en la nube en una serie de ocho factores operativos, pero en diferentes niveles.
Por ejemplo, con el software como servicio, la agencia es responsable de asegurar dos elementos operativos, mientras que el proveedor es responsable de los seis restantes. Para Platform-as-a-Service, la proporción de «responsabilidad compartida» es de tres factores para las instituciones y de cinco factores para los CSP. Para la información como servicio, la seguridad se divide por igual en cuatro factores.
En el futuro, la participación de múltiples proveedores en componentes «como servicio», junto con el uso más amplio de la nube, solo aumentará la complejidad de la seguridad.
Tabla de Contenidos
Las agencias expresan sus preocupaciones, pero la implementación es mixta
En general, las agencias federales están debidamente preocupadas por la seguridad en la nube. Sin embargo, las actitudes parecen estar en conflicto, con algunos esfuerzos equivocados sobre la naturaleza de la amenaza, el nivel actual de confianza en la seguridad y las relaciones con los proveedores de la nube.
Por ejemplo, las agencias informan que aproximadamente el 51 por ciento de los datos que almacenan en la nube son «confidenciales». Solo el 63% de los datos está protegido por encriptación y solo el 52% está protegido por tokenización. Según Thales, estos niveles de protección se clasifican más abajo.
El Informe de amenazas de datos de Thales 2020 – Edición federal, publicado en abril, se centró en datos de encuestas de encuestados de más de 100 agencias federales.Thales patrocinó el informe, la encuesta y el análisis relacionado por Centro Internacional de DatosEntre los hallazgos clave:
- Las agencias «parecen estar más preocupadas por los problemas que tienen sus proveedores de la nube, como las vulnerabilidades de seguridad de los proveedores y los acuerdos de nivel de servicio de privacidad. Si bien es válido, la probabilidad real de que ocurran estos problemas es muy baja».
- Los administradores federales de TI parecen estar «menos preocupados por los problemas bajo su control directo que representan vulnerabilidades potenciales más grandes», como la administración de claves de cifrado. «Este desajuste entre lo que los encuestados perciben como amenazas y los problemas reales que deberían preocuparles significa que los encuestados no están considerando adecuadamente la seguridad de los datos en un mundo donde la nube es lo primero».
- Cada tipo de entorno de nube requiere una «transferencia de responsabilidades de seguridad», que involucra factores relacionados con las implementaciones como servicio. Como resultado, las agencias «deberían cambiar su enfoque de seguridad en la nube y centrarse en las partes del modelo de responsabilidad compartida en las que las organizaciones pueden influir en la seguridad de sus datos».
Los proveedores de la nube y las instituciones deben adaptarse al cambio
Este panorama cambiante pondrá a prueba la relación entre instituciones y proveedores. A medida que la seguridad se vuelve más desafiante, las agencias pueden imponer requisitos de protección más estrictos en los acuerdos de nivel de servicio con los proveedores. FedRamp, el programa del gobierno para desarrollar estándares y cumplimiento de seguridad en la nube, también se actualizará.
«Las expectativas de seguridad solo se están volviendo más estrictas», dijo Hansen. El mandato para obtener la certificación FedRamp «es un proceso extenso que, una vez certificado, abre su plataforma y producto teniendo en cuenta la seguridad federal».
La tensión entre los CSP y sus clientes gubernamentales y comerciales es algo común, dijo la directora federal Katie Lewin. Alianza de seguridad en la nube (CSA).
Algunas de estas fricciones están «arraigadas en una comprensión de la responsabilidad compartida», dijo a E-Commerce Times. «Pasamos de un alto grado de precaución en el uso de la nube por parte de las agencias federales a la actitud de algunas personas de que solo son responsables de SaaS y pueden olvidarse de las otras capas de la pila basada en la nube».
La CSA, que representa a una amplia gama de partes interesadas en la nube, participó en la revisión por pares del informe.
Actualizar los estándares de seguridad de un proveedor no significa que las organizaciones puedan, o deban, evitar su papel en la responsabilidad compartida. Los límites entre los proveedores de seguridad en la nube y los clientes seguirán existiendo.
«Los CSP deben asegurarse de que sus clientes entiendan cómo funcionan las responsabilidades de seguridad compartidas. No pueden asumir que muchos de sus clientes federales entienden cómo funcionan estos límites de flujo», dijo Lewin.
Microsoft reiteró su posición en un libro blanco el otoño pasado, Responsabilidad compartida para la computación en la nubede Frank Simoger y Eric Tilling.
«Muchas organizaciones que consideran la computación en la nube pública creen erróneamente que después de migrar a la nube, su papel en la protección de los datos transfiere la mayor parte de las responsabilidades de seguridad y cumplimiento al CSP», señalan los autores. Los proveedores de la nube «pueden ofrecer servicios para ayudar a proteger los datos, pero los clientes también deben comprender su papel en la protección de la seguridad y la privacidad de los datos».
Ni la agencia ni el CSP pueden mantener una relación rígida entre sí. La seguridad en la nube requerirá un enfoque más creativo y flexible en el futuro.
«A medida que más proveedores de la nube ofrecen sus servicios, debe haber una línea base de aceptación y pautas de seguridad federal», dijo Hansen de Thales.
Las agencias no solo pueden evaluar los problemas de seguridad por sí mismas, señaló, sino que también pueden beneficiarse del uso de FedRamp, que «continuará evolucionando». «Cada vez más servicios y proveedores encontrarán formas nuevas e innovadoras de ofrecer servicios en la nube».
El crecimiento de la nube federal seguirá siendo fuerte
Lewin de CSA señaló que las agencias se han esforzado por incorporar los niveles de servicio de seguridad en sus acuerdos con los proveedores.
«Debido a que los controles incluidos en el programa FedRAMP tienen una definición común, las agencias pueden comprender mejor dónde deben articular sus requisitos de CSP. Es posible que algunos servicios en la nube de nivel empresarial ya tengan términos de SLA estándar para ciertos niveles de seguridad, cuyos términos están integrados en sus contactos ,» ella dijo.
Lewin sugirió que mejorar la seguridad «no necesariamente» inhibe la adopción de la nube. «En general, la tecnología en la nube es intrínsecamente más segura que en las instalaciones, pero las instituciones deben dominar cómo deben abordar la seguridad».
La adopción federal de la nube seguirá siendo fuerte, dijo Hansen.
“La nube hace que casi todo sea más rápido y fácil de implementar”, agregó, incluidas las herramientas de seguridad como el cifrado.
«No he escuchado que el costo de estos productos y servicios de encriptación nativos sea una barrera», dijo Hansen. «Creo que estas eficiencias y la facilidad de uso seguirán impulsando la adopción de la nube».
Una consideración clave para los proveedores y revendedores en el futuro es que la tecnología de la nube está evolucionando. Hansen señaló que la protección de datos «en las instalaciones» no es directamente equivalente a la protección en la nube, por lo que las políticas de seguridad «deben cambiar y adaptarse a las ofertas de la nube para garantizar que se cumplan los requisitos y que los datos de misión crítica estén protegidos».
