La nube, para todo tipo de industrias, ya no es opcional. Pero que se haya transformado en la forma de operación estándar no soluciona sus clásicos problemas, por lo que las empresas deben tomar serias decisiones para que sus diversos servicios cloud corran sin contratiempos ni riesgos. Una estrategia de seguridad que está sirviendo mucho en los ambientes de nube híbrida (en especial en aquellos fuertemente regulados) es Bring Your Own Encryption (BYOE).
Encriptar la información empresarial es un paso necesario y bastante confiable para protegerla. Cuando las empresas son dueñas del hardware en que se encuentran los datos todo marcha sobre ruedas, pero cuando la información se lleva a la nube pública son los proveedores los que tienen el control de las llaves criptográficas y, finalmente, de la información. Esta circunstancia es inaceptable para muchos sectores, en especial para aquellos que administran información personal de terceros. Es ahí donde aparece BYOE.
Este modelo permite a los usuarios de un servicio de nube administrar y usar sus propias aplicaciones y llaves para encriptar la información. EN BYOE se despliega una instancia virtualizada del software de seguridad de forma conjunta con las aplicaciones que la empresa está alojando en la nube (SaaS). Pero las llaves para descifrar la información no se llevan al cloud, están siempre en control de la organización, que cuenta así con soberanía completa de los datos.
Bring Your Own Encryption (también conocido como BYOK: Bring Your Own Key) utiliza los servicios de un tercero para encriptar las llaves de encriptación (DEK) que el proveedor de nube produjo, esto resulta en una Key Encryption Key (KEK). La KEK asegura que será solo el cliente del servicio de nube quien tenga acceso a los datos, el proveedor no podría manipular la información incluso si quisiera.
En casos especialmente delicados, las empresas alojan las llaves de desencriptación en una bóveda de seguridad on-premises, conocida como Hardware Security Module (HSM) lo que reduce al mínimo los riesgos de fuga. Esta alternativa es cara y a veces difícil de administrar, por lo que algunas organizaciones optan por un sistema de administración de llaves (KMS) instalado en un servidor tradicional para obtener la flexibilidad y el precio que requieren.
Como han mencionado varios líderes IT en las mesas redondas vTalks, las exigencias regulatorias siguen haciendo muy difícil para algunos sectores sumarse a la nube. El resguardo necesarios y comprensible de los datos personales es el principal responsable de que se tomen estas medidas. Valentín Martínez Rodríguez, vicepresidente de Tecnología e Innovación de Intercam Servicios Financieros, comentó que autoridades como el Banco de México o el Depósito Central de Valores en México (Indeval) han elevado sus exigencias en algunos casos, en especial después de los incidentes de seguridad en que se han visto envueltas algunas instituciones públicas: “No se imaginan lo complejo que está resultando cubrir todo lo relacionado con ciberseguridad. Y no cumplir con la evaluación es catastrófico: te bajan del Sistema de Pagos Electrónicos Interbancarios (SPEI). Un banco sin SPEI no sirve para nada”.
En algunos casos, los trámites necesarios para concretar un proyecto de nube que incluya información crítica podrían tardar hasta ocho meses. BYOE podría aliviar algunas de las presiones más urgentes que los administradores IT y de Seguridad encuentran al intentar ejecutar sus proyectos de nube.
Los tres principales beneficios que BYOE y BYOK entregan a las empresas en la nube son:
- Gobernanza de los datos: El miedo a perder el control de la información una vez que se sube a internet nunca desaparecerá por completo, pero con BYOE se puede asegurar que no será accesada ni siquiera por el dueño de la nube pública. El único riesgo tendría que ver con el robo de llaves o credenciales, pero eso ya no será un problema ligado al cloud.
- Seguridad en nubes múltiples: El entorno IT es cada vez más complejo y atomizado, contando con múltiples plataformas, servicios, aplicaciones y dispositivos. Un buen servicios BYOE centraliza la administración de las llaves de encriptación y permite automatizar algunos de sus procesos de seguridad, para asegurar rotación o tiempos de caducidad para algunos perfiles.
- Cumplimiento regulatorio: No se puede depender de los proveedores para cumplir con las exigencias regulatorias. Por más que las grandes empresas de nube prometan marcar todas las casillas en lo que a seguridad respecta, son los dueños de los datos los que deben hacerse responsables de que no caigan en malas manos. BYOE elimina al tercero de la ecuación y facilita tener visibilidad del proceso de compliance.
