COMENTARIO
La mayoría de las filtraciones de datos ocurren cuando los datos son vulnerables, ya sea que se estén utilizando o procesando. Esta vulnerabilidad puede comprometer industrias como las financieras, la atención médica, el gobierno y la defensa, donde la privacidad es crucial. La innovación y la colaboración en el sector del software también pueden verse comprometidas. Sin embargo, las soluciones duraderas, como la informática confidencial, cifran y protegen los datos confidenciales durante el procesamiento, lo que reduce el riesgo de acceso no autorizado.
Como gerente de tecnologías emergentes, comencé a trabajar en informática confidencial hace unos años. A través de mi investigación y proyectos prácticos, me quedó claro que La informática confidencial tiene un inmenso potencial para mejorar significativamente la seguridad para industrias vulnerables, ya que protege los datos en uso.
Tres razones por las que las empresas deberían considerar la informática confidencial
1. Respetar la normativa y evitar sanciones
Varios requisitos y regulaciones de cumplimiento, como el Reglamento General de Protección de Datos (GDPR), exigen una mayor protección de los datos durante todo su ciclo de vida. Esto garantiza que las organizaciones implementen medidas de seguridad adecuadas a los riesgos asociados con el procesamiento de datos. Los estándares de cumplimiento propuestos recientemente también enfatizan explícitamente la seguridad de los datos en uso. En enero de 2023, el Ley de resiliencia operativa digital (DORA) introdujo el Artículo 6, enfatizando la seguridad de los datos para las instituciones financieras al exigir el cifrado de los datos en reposo, en tránsito y en uso, cuando corresponda.
Lo mismo ocurre con el sector sanitario. La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) exige salvaguardias administrativas, físicas y técnicas para proteger la confidencialidad, integridad y disponibilidad de la información médica protegida (PHI), incluida la protección de los datos durante el procesamiento.
La capacidad de la informática confidencial para proteger los datos de los clientes y las transacciones es una bendición para industrias como las financieras y la atención sanitaria, que están bajo constante escrutinio por la seguridad de los datos. Garantiza el cumplimiento de estas regulaciones mediante el uso de enclaves seguros basados en hardware para aislar datos y cálculos confidenciales y proteger los datos en uso. Esto evita el acceso no autorizado durante el procesamiento de datos y permite a las organizaciones evitar fuertes multas y sanciones al cumplir con pautas regulatorias como GDPR y la Ley de Privacidad del Consumidor de California (CCPA)Esta tecnología podría ayudar a las plataformas minoristas y de atención médica a cumplir con estándares como HIPAA y PCI-DSS.
Además, la informática confidencial ayuda a mantener la credibilidad y promueve la innovación y la colaboración. Este potencial de innovación podría ser un poderoso diferenciador para cualquier sector.
2. Proteger la infraestructura pública basada en la nube
Las nubes públicas son vulnerables a ataques maliciosos. En 2023, la industria farmacéutica ha perdido un promedio de 4,82 millones de dólares Debido a los ciberataques, se destaca la demanda de una mejor privacidad y protección de datos. La tenencia múltiple a nivel de infraestructura separa las instancias informáticas e introduce problemas como vecinos ruidosos y vulnerabilidades del hipervisor, que pueden provocar acceso no autorizado a datos y ataques de malware avanzado.
Para proteger los entornos de nube pública, las organizaciones deben confiar en el sistema operativo host, el hipervisor, el hardware, el firmware y el sistema de orquestación del proveedor de la nube. La informática confidencial utiliza entornos de ejecución confiables (TEE) para abordar estos problemas de seguridad y establecer regiones de memoria protegidas o enclaves de seguridad. Su certificación remota garantiza la integridad de la carga de trabajo al hacer que los datos privados sean invisibles para los proveedores de la nube y evitar el acceso no autorizado por parte de administradores de sistemas, propietarios de infraestructura, proveedores de servicios, operaciones de host e hipervisor u otras aplicaciones en el host.
La escalabilidad y la elasticidad son otros beneficios clave de la computación en la nube. La mayoría de las aplicaciones y cargas de trabajo se ejecutan en máquinas virtuales o contenedores, y las arquitecturas modernas favorecen los contenedores. Las ofertas de Confidential Computing permiten migrar aplicaciones existentes basadas en máquinas virtuales o contenedores sin cambios de código moviendo y cambiando la carga de trabajo. Puse a prueba con éxito este enfoque para mejorar la seguridad de GitOps para un cliente, migrando el proceso de CI/CD de ejecutores públicos a entornos de TI confidenciales.
La informática confidencial mejora la seguridad y es probable que también reduzca las barreras a la adopción de la nube para cargas de trabajo con uso intensivo de seguridad.
3. Adopte AI/ML y GenAI de forma segura
En una encuesta reciente de Code42, 89% de los encuestados de los encuestados dijo que las nuevas herramientas de inteligencia artificial hacen que sus datos sean más vulnerables. Los modelos de IA requieren un flujo continuo de datos, lo que los hace vulnerables a ataques y fugas de datos. La informática confidencial aborda este problema protegiendo los datos de entrenamiento y asegurando conjuntos de datos confidenciales durante el entrenamiento y la inferencia del modelo. Esta tecnología garantiza que los modelos de IA solo aprendan de datos autorizados, lo que brinda a las empresas control total sobre sus datos y mejora la seguridad.
Todavía existen lagunas en los conceptos y casos de uso de la IA generativa (GenAI), pero no disuaden a las empresas de adoptar un enfoque medido e incremental para implementar GenAI. Los modelos GenAI aprenden de diversas entradas, incluidas indicaciones y datos de entrenamiento. Al interactuar con otras herramientas GenAI, como Observabilidad y Monitoreo, Empaquetado, DevOps y GitOps, etc., pueden exponer o transmitir involuntariamente información no autorizada.
Estas posibilidades han llevado a los países a implementar regulaciones para mejorar la privacidad. Las máquinas virtuales (VM) y los contenedores confidenciales son soluciones eficaces. Experimentamos esto cuando un cliente decidió implementar GenAI (Generación Aumentada de Recuperación) para garantizar el cumplimiento de los requisitos de localización y privacidad de datos. La solución se implementó utilizando un LLM local y herramientas operativas, incluidos almacenes de datos y herramientas configuradas localmente. El proceso garantizó la confidencialidad de las indicaciones y respuestas del LLM.
Conclusión
Los entornos de nube son muy lucrativos porque ofrecen mayor agilidad y acceso más amplio a los recursos de TI a menores costos. A pesar de estas ventajas, tanto las nubes públicas como las privadas son susceptibles a violaciones de datos. La informática confidencial aborda este problema protegiendo los datos utilizados, lo que la convierte en una parte crucial de la seguridad de la nube. Además, ayuda a las empresas a cumplir con los requisitos reglamentarios. A medida que avancen las tecnologías 5G y la IA, la informática confidencial será aún más accesible y eficaz.