FUD on Cloud Security

Posted on November 30, 2011 by Simon Roses

[Español] Últimamente he asistido a varios eventos sobre seguridad en la Nube (Cloud) y sorprende el alto grado de FUD que existe sobre este tema. La Nube no es un concepto o tecnología nueva sino más bien un uso eficiente de una serie de tecnologías que todos conocemos como Servicios Web, virtualización, etc.

[English] Lately I have attended several events on Cloud security and it is surprising the high degree of FUD that exists on this subject. The cloud is not a new concept or technology, but rather an efficient use of a number of technologies that we all know well such as Web services, virtualization, etc.

El principal problema de las empresas a la hora de utilizar la Nube es la supuesta pérdida de control de su información, que en la mayoría de los casos no es real, un miedo provocado por un desconocimiento en la materia.

The main problem of companies using the cloud is the alleged loss of control of their information, which in the majority of cases is not real, and this fear is caused by a lack of knowledge on the subject.

Las empresas deben realizar un análisis sobre qué aplicaciones e información pueden utilizar en la Nube, que en muchas ocasiones son la mayoría de aplicaciones corporativas ya que no utilizan información sensible. Para ello la empresa debe conocer su información y establecer una política de clasificación de información.

Companies must perform an analysis on which applications and information can be used in the cloud, most of corporate applications can as they do not use sensitive information. While doing so the company must know their information and establish a Data Classification Policy.

Es frecuente en este tipo de eventos oír a personas que protestan por perder el control de su información y su ubicación e incluso piden que se audite a los proveedores de servicios en la Nube cuando seguramente en sus propias organizaciones no protegen adecuadamente todos los lugares donde almacenan su información, y bien seguro no auditan a sus proveedores o empresas aliadas que suelen tener acceso a la redes corporativas.

It is common in this type of event to hear people protesting due to the loss of control of their information and its location and even requesting cloud vendors to be audited when probably in their own organizations they do not adequately protect all the places where they stored information, and for sure they do not audit their vendors and partners that usually have access to their corporate networks.

En la Fig. 1 se plantean diversas cuestiones de seguridad que generalmente demasiadas empresas de todos los tamaños no realizan o ni siquiera se plantean. Es complicado entender la misteriosa Nube cuando estas cuestiones con décadas de existencia aún no son entendidas por las organizaciones.

In Fig. 1 we arise various security issues that usually too many companies of all sizes do not perform or don’t care. It is difficult to understand the mysterious ways of the cloud when these issues with decades of existence are not yet understood by organizations.


Fig.1 – Grado de madurez de la seguridad en una empresa / Degree of security maturity in an enterprise

Es cierto que la Nube puede ayudar a muchas organizaciones en el ahorro de costes y agilidad, pero también puede ayudar a ser más seguras. Algunos puntos a tener en cuenta son:

  • Antes debemos conocer nuestra organización (activos, riesgos, información, aplicaciones, etc.) para tomar las decisiones adecuadas sobre qué subir a la Nube.
  • Es cierto que en la Nube podemos perder la visibilidad de la ubicación de nuestra información pero no debería ser problema, ya que existen mecanismos de seguridad efectivos como la criptografía y algunos proveedores pueden establecer criterios de localización.
  • Es clave la correcta selección de un proveedor de la Nube que nos pueda dar garantías y responda en las incidencias.
  • Un buen contrato (SLA) es vital.
  • Tenemos que ser racionales a la hora de establecer mecanismos de seguridad en la Nube como lo haríamos en nuestras organizaciones. La tecnología existe pero debemos utilizarla correctamente.

It is true that the cloud can help many organizations in saving costs and being more agile but it can also help be more secure. Some points to consider are:

  • Before moving to the cloud we must know our Organization (assets, risks, information, applications, etc.) to take the appropriate decisions of what to move to the cloud.
  • It is true that in the cloud we can lose visibility of the location of our information, but it should not be problem since there are effective security mechanisms such as cryptography, and some cloud vendors can establish location criteria.
  • It is key the correct selection of a cloud provider that can give us guarantees and responds to incidents.
  • A good contract (SLA) is vital.
  • We must be rational in establishing security mechanisms in the cloud as we would in our organizations. The technology exists but we must use it correctly.

Sin duda la Nube es una tema interesante y de moda que cada día mas organizaciones se plantean utilizar por lo que se debe perder este miedo absurdo. Aquellas organizaciones que no sepan apreciar las bondades de la Nube perderán en innovación.

Tu organización se plantea utilizar la Nube y para qué?

No doubt the cloud is a hot topic that every day more organizations think of using but first we should lose this absurd fear. Those organizations that do not recognize the benefits of the cloud will lose their innovation.

Does your organization use the cloud and for what?

— Simon Roses Femerling

This entry was posted in Business, Economics, Pentest, Security, Technology and tagged , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.