Al seleccionar un proveedor de nube los clientes valoran diferentes cuestiones. ¿Es la seguridad un factor decisivo a la hora de elegir un proveedor cloud?
La seguridad es un factor decisivo. Hoy es una realidad que las empresas dependen cada vez más de la nube en materia de seguridad de la información. La disponibilidad e integridad de los datos son críticas para el negocio de cualquier cliente.

¿Qué medidas de seguridad son responsabilidad del proveedor? ¿Y cuáles recaen en el cliente?
En un modelo en la nube la responsabilidad es compartida entre el proveedor y el cliente.

Proveedor:
- Seguridad física
- Seguridad en la red
- Seguridad en el servidor
- Seguridad en la consola de administración
- Monitoreo de tráfico

Cliente:
- Disminuir al máximo las debilidades de sus aplicaciones
- Limitar la cantidad de puertos abiertos
- Restringir acceso a direcciones IP conocidas
- Utilizar certificados
- Contraseñas de alta seguridad
- No permitir acceso administrativo público

En los últimos años han cambiado la naturaleza y el número de amenazas y ataques que afectan a los centros de datos (por ejemplo, incremento de ataques DDoS, legislaciones más estrictas sobre privacidad, etc.). ¿Cómo han tenido que evolucionar las estrategias y herramientas de seguridad que los proveedores han tenido que implementar ante esta situación?
Los ataques masivos basados en fuerza bruta, como lluvia de paquetes y DDoS, nos generaron un gran desafío y para hacerle frente fue necesaria una completa reingeniería de las redes de acceso hacia los data centers desde Internet, para contener los ataques mucho más cerca de donde se generan minimizando el impacto en los servicios de nuestros clientes.

Esto implica una integración distinta con los mayores carriers de Internet a nivel mundial a través de nuevos y complejos sistemas de gestión activa de tráfico para aislar rápidamente a nivel lógico y físico el tráfico malicioso antes de que provoque un impacto real en nuestros clientes

Ya no se trata solo de herramientas y tecnologías como firewall, IPS, antiSPAM, antivirus, SIEM, DBF, DLP, WAF y ID MGMT. El nuevo juego va mucho más allá y requiere ser muy proactivo ante este tipo de situaciones para aislarlas en el origen y de esta manera evitar al máximo que los ataques lleguen a los destinos en nuestras diferentes nubes.

¿Se ha incrementado la transparencia de las estrategias de seguridad de los proveedores cloud?
Hay varios aspectos a considerar a la hora de elegir un proveedor de cloud, y uno de ellos sin duda es la transparencia, pero hay más.

- Transparencia: Un modelo de gobierno con definiciones muy claras en cuanto a las responsabilidades y compromisos de uno y otro y las condiciones del servicio.
- Confianza: Confianza en la calidad del servicio, en que va a cubrir expectativas, en que se van a respetar los términos del acuerdo en el contrato.

- Cercanía: Es conveniente evaluar bien el tipo de soporte posventa que voy a recibir.
- Tranquilidad: Los proveedores de servicios cloud debemos ser un socio de absoluta confianza de nuestros clientes, quienes depositan en nosotros la salvaguarda de sus principales activos digitales que soportan el corazón de sus negocios.
- Creatividad: Un proveedor de servicios cloud tiene que sorprender con ideas, funcionalidad, emociones acordes a nuestro estilo de vida digital. Esto implica una constante evolución para humanizar la gestión de los servicios tecnológicos y acercarlos al cliente final para facilitar las interacciones cliente-servicio.

¿Qué medidas de seguridad ofrece KIO Networks para garantizar la protección de los datos?
La sólida fundación de nuestros servicios son nuestros data centers distribuidos en México, Panamá, Guatemala, República Dominicana y España, donde de base se provee una disponibilidad de los mismos en 99,999%.

Sobre estos data centers construimos una serie de clouds de propósito específico, desde consumo masivo para cargas de trabajo generales hasta muy especializados, por ejemplo, para sistemas aplicativos de misión crítica como banca, hasta sistemas de gestión empresarial como SAP y Oracle.

Algunos ejemplos de la oferta de estos clouds son:

- Planes de recuperación ante desastres y continuidad de negocio  (DRP)

- Mecanismos de backup, tolerancia a fallos y tiempos de recuperación con RPO cercanos a cero y RTO de minutos (con movimiento de datos físicos entre data centers para backups)

- Soluciones en Alta Disponibilidad (HA)

- Integración de soluciones Content Delivery Network (para industrias de retail y/o consumo masivo)

Con la nube híbrida, las compañías demandan que la seguridad sea la misma dentro y fuera de su empresa. ¿Qué medidas han tomado para que esto sea posible?

En primer lugar, fortalecer nuestros procesos para ofrecerles a nuestros clientes más que una campaña de marketing, mostrar con hechos (certificaciones) que estamos preparados para afrontar los desafíos operativos que implican una operación de ambientes heterogéneos distribuidos entre nuestras nubes y los centros de datos de los clientes.

Es importante entender que sin procesos maduros la tecnología en sí no es capaz de ofrecer las garantías que nuestros clientes necesitan. Es por esto que la mayoría de nuestros clouds cumplen con las siguientes certificaciones:

• ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems – Requirements

• NMX-I-27001-NYCE-2015 Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de Seguridad de la Información

• ISO/IEC 27017:2015 Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services

• ISO/IEC 27018:2014 Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

• ISO 22301:2012 Societal security - Business continuity management systems – Requirements

En algunas de estas somos pioneros en Latinoamérica.

¿Cuáles son las principales innovaciones que ha implantado KIO Networks en materia de seguridad?
KIO Networks, INTERprotección y Chubb de México creamos un servicio único en Latinoamérica para asegurar los activos digitales de las compañías que lo requieran. Es un producto muy innovador que va mucho más allá de la tecnología. Esto permite a las compañías tener un último recurso para protegerse económicamente ante el peor de los escenarios en materia de seguridad informática, la pérdida de información crítica para el negocio.

Desde el punto de vista tecnológico, la innovación es parte integral de la evolución de nuestros servicios y más allá de agregar nuevos servicios de seguridad hemos diseñado nuestras nubes con el objetivo de proveer un alto estándar de seguridad básica. Estas nubes permiten incorporar diferentes capas adicionales de seguridad y contención para los servicios alojados de nuestros clientes en función de sus demandas, desde temas tan básicos como firewalls e IPS hasta sistemas que permiten distribuir el contenido de consumo masivo en diferentes puntos en el planeta para asegurar la máxima disponibilidad y velocidad de acceso para los clientes finales.

¿Hacia dónde cree que irán las estrategias de seguridad de los proveedores cloud?
La seguridad pasará de ser una razón para no ir a la nube a ser un motivo para subirse a ella. 

En un futuro se mejorará la gestión de identidades y se reformularán las políticas de seguridad, de manera que nuestras actuales contraseñas serán un amargo recuerdo.

En 2020 la seguridad será una commodity en los servicios cloud, lo cual motivará a muchas empresas a subirse a la nube.

Por ejemplo, los sistemas de acceso basados en múltiples factores de autenticación serán un estándar, es decir, no solamente un password, sino una combinación de factores biométricos y llaves dobles de generación en tiempo real para la interacción de usuarios y sistemas y por supuesto entre sistemas, lo que permitirá elevar considerablemente la protección ante intentos de violación de accesos.

 
En el caso mexicano y en Latinoamérica en general, ¿hay legislaciones que determinen que los datos deben permanecer en el país? ¿Cómo responde KIO Networks a estas regulaciones?

Los gobiernos a nivel mundial, donde Latinoamérica no es una excepción, están empujando normativas y leyes orientadas a que los datos críticos de los ciudadanos no salgan del país o región de origen. Esto podría ser un gran desafío para proveedores de nube pública con data centers en un solo país, como por ejemplo EEUU, mientras aloja servicios de clientes de países afectos a este tipo de regulaciones.

Nosotros tenemos data centers en México, Centroamérica y España, por lo que nuestras nubes alojadas en estos centros de datos nos permiten mover cargas de trabajo entre países si el cliente final lo requiere con un mínimo esfuerzo. En el presente nuestra estrategia nos permite habilitar servicios que puedan portarse entre nubes privadas y públicas gestionadas por nosotros o terceros para que el cliente final tenga total libertad de mover sus datos físicos y asegurarse de tener total control de la geolocalización de sus servidores virtuales para poder estar totalmente seguro de que cumple con las normativas vigentes que lo regulan.