- Los métodos tradicionales de seguridad no sirven
El cómputo en la nube requiere una aproximación totalmente nueva a la seguridad de datos. Anteriormente las agencias de gobierno harían un aislamiento físico de cada una de las redes, con base en los niveles de clasificación de datos. Este enfoque no es aplicable en los ambientes de nube debido a que se requeriría una nube para cada combinación de clasificación de datos y nivel de empleado.
Afortunadamente, las medidas de seguridad en la nube se han hecho más accesibles con soluciones de código abierto. Por ejemplo, la Agencia de Seguridad Nacional del Gobierno de Estados Unidos desarrolló el Proyecto de Seguridad Aumentada Linux, que permite a cualquier sistema Linux separar información con base en los requerimientos de confidencialidad e integridad.
- Estandarizar el enfoque de seguridad en todas las agencias de gobierno
Los gobiernos no pueden dejar los detalles de seguridad en la nube al criterio de cada agencia. Ya que los recfursos de la nube se comparten entre varias agencias, estas necesitan poder comunicarse con las otras de manera rápoda en caso de una amenaza de seguridad. Sin un enfoque uniforme en cuestión de seguridad que se establezca en las agencias, los problemas pueden crecer.
El Protocolo de Automatización de Seguridad de Contenidos es un conjunto de reglas que permite a los gobienros especificar y estandarizar cómo prefieren asegurar sus sistemas y mantener las configuraciones de seguridad. Debido a que está basado en estándares abiertos, puede operar con la mayoría de los productos en la nube. Estas reglas pueden ser aplicadas también a los centros de datos gubernamentales, con lo que se obtiene consistencia en toda la infraestructura.
- Estar preparado para lo peor
Aún con los mejores esfuerzos de los proveedores de nube, los gobiernos deben estar preparados para afrontar cualquier riesgo de que los datos caigan en las manos equivocadas. A pesar de que estos riesgos existen incluso con los centros de datos propios, la percepción de los gobiernos de falta de control sobre los ambientes de nube hacen que esta sea una barrera real para la adopción de la nube por parte del sector público.
Las soluciones de seguridad de código abierto permiten a las agencias encriptar sus datos en la nube, por lo que aún si el almacenamiento físico se ve comprometido, los datos tendrán protección. Más aún, las herramientas de encripción de redes previenen las intromisiones no autorizadas de los datos y mantienen la información dentro de sus enclaves de seguridad.
- Confiar en los Estándares del Sector Público Internacionales
Incluso con todas estas medidas de seguridad, los gobiernos tienen incertidumbre en qué productos o cuáles vendedores son confiables. Los servidores públicos son reacios a abandonar a los servidores informáticos que tienen bajo el escritorio y confiar en que los proveedores se hagan cargo de sus datos en cualquier otro lugar.
Los estándares de seguridad internacionales para el sector público, como el “Common Criteria”[1] hacen las cosas fáciles para estos oficiales de gobierno al permitir a los gobiernos evaluar y certificar las características de sguridad de los productos.
En Asia Pacífico el Certificado Common Criteria es reconocido por los gobiernos de Australia, India, Japón, Malasia, Nueva Zelanda, Corea y Singapur.
[1] https://www.commoncriteriaportal.org/