Un estudio del Ponemon Institute reveló que más de la mitad transfieren datos confidenciales o sensibles a la nube, a la vez que toman diferentes enfoques para cifrar o encriptar esos datos.

En el informe, que encuestó a 4205 directivos de TI y de negocio de todo el mundo, 31% dijo que esperaban transferir datos sensibles a la nube dentro de los próximos 24 meses, mientras que 16% dijo que no.  No obstante, sólo 35% de los encuestados en Estados Unidos indicó que conocían que pasos estaba dando el suministrador de la nube para proteger esos datos sensibles, respuesta no muy diferente de la de otras partes del mundo, incluyendo Reino Unido, Francia, Australia, Japón y Brasil. 57% expresó su confianza en que  “los proveedores de la nube en mi organización tienen la capacidad necesaria para salvaguardar los datos sensibles o confidenciales en la nube”.

¿Cómo va a complicar la nube, la virtualización y las SDN la seguridad en el futuro?

Patrocinado por Thales, el estudio mostró que el encriptación de datos sensibles y confidenciales se hace a menudo antes de enviar los datos o en el proceso de transferencia, o bien el suministrador de la nube los encripta una vez que están almacenados en la nube.

37% de los encuestados dijeron que su propia organización daba los pasos para encriptar los datos cuando se transfieren  a o desde la nube por la red. 31% dijo que encriptaban los datos antes de transferirlos a la nube, y 11% de las organizaciones administraba el proceso de encriptación ellos mismos dentro del entorno de la nube. El 10% restante contestó “ninguna de las anteriores” o “no se aplica”. El informe destaca que las diferentes opciones de gestión de encriptación en el entorno de la nube, eran relativamente uniformes para los tres tipos de servicios, SaaS, IaaS y PaaS.

La administración de las claves de cifrado utilizadas para asegurar los datos en la nube era otra de las preguntas del estudio. 29% dijo que su propia organización gestiona las claves de cifrado cuando se encriptan los datos en la nube, 26% dijo que era una “combinación” de ambos, 23% dijo que era el suministrador de la nube solamente y 21% que era un servicio de un tercero (no el proveedor de la nube).

En los entornos IaaS es la organización interna de TI la que más probablemente administre las claves de encriptación, mientras que en un entorno SaaS es más probable que sea una combinación de la organización y el suministrador la que gestione las claves.

En una pregunta sobre la importancia relativa del protocolo de cifrado conocido como Key Management Interoperability Protocol, 27% lo definió como “importante” o “muy importante”, mientras que 33% dijo que KMIP sería muy importante es su estrategia de cifrado en los próximos 12 meses.  Las áreas nombradas como más importantes estaban las aplicaciones y el almacenamiento basados en la nube, sistemas de almacenamiento, infraestructura de aplicaciones e infraestructura de red, mientras que era visto como menos importante para aplicaciones remotas y dispositivos de usuario final.