Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad en la nube: Cuatro enfoques de clientes

Los departamentos de TI están tomando las cosas en sus propias manos

[13/08/2012] Dependiendo de con quién se hable, la seguridad en la nube es la más grande contradicción de la industria y no se resolverá en el corto plazo; o no es un gran problema porque los proveedores de nube suelen tener una seguridad más estricta que cualquiera de sus clientes.
Dondequiera que se encuentre, el concepto de seguridad aparece como una preocupación clave en muchas encuestas sobre el tema, por lo que claramente está en la mente de la mayoría de los departamentos de TI. Hay unas pocas iniciativas de normas de seguridad que eventualmente podrían ayudar a aclarar las cuestiones (ver Normas de seguridad para la nube en proceso), pero están lejos de estar listas para su implementación.
Una cosa está clara, señalan los expertos: no dé nada por hecho antes de hacer su propia debida diligencia. "Sería agradable pensar que los vendedores están haciendo un gran trabajo (en la protección de los datos) y que están construyendo un marco de aplicación muy robusto que proporcione un alto nivel de seguridad", señala Jay Heiser, analista de Gartner, que estudia el riesgo en el cumplimiento de la empresa y el regulador.
"La mayor frustración es determinar si lo hicieron -si un proveedor no le puede dar pruebas definitivas (a través de exámenes y verificaciones de datos) que su producto es tan seguro como dicen, no tiene la capacidad de tomar una decisión para utilizarlo", añade Heiser.
"Los proveedores de nube indican que la empresa es responsable, pero las compañías dicen que el vendedor es el responsable", señala Cate, quien añade que algunas compañías resuelven el problema yendo con una marca de confianza, como Microsoft. Pero tomar esta estrategia reduce considerablemente las opciones de los clientes. Y, agrega, todavía no hay garantía de que solo porque elige un proveedor conocido para su infraestructura en la nube, sus datos vayan a estar realmente a salvo.
Afortunadamente, varias nuevas tecnologías están ayudando a asegurar la nube, o al menos dificultan que los empleados puedan publicar propiedad intelectual u otros datos confidenciales en una nube pública.
United Airlines: Computación en la nube para la cabina
United Airlines está a punto de embarcarse en un experimento radical. Este año, la compañía desplegará cerca de 10 mil iPads de Apple para que sean utilizados por el personal de la cabina. La iPad remplazará a las bolsas de vuelo utilizados para el almacenamiento de los manuales de vuelo, cartas y otra información no sensible que se utiliza para la preparación del vuelo. En su lugar, los equipos tendrán acceso a proveedores de servicios administrados, tales como Jeppesen, para manuales de vuelo en línea. United también utilizará la iPad como vehículo de comunicación de noticias de la empresa y las actualizaciones de los empleados.
John Van Hoogstraten es el director general de la administración de seguridad y riesgo de United Airlines. Él señala que la compañía aérea tiende a moverse lentamente cuando se trata de implementaciones relacionadas con la nube, pero que los dispositivos móviles como la iPad presentan demasiados beneficios, incluyendo una mejor gestión de los manuales de vuelo e incluso la reducción de los costos de combustible, porque los equipos no tienen que llevar bolsas pesadas de vuelo.
Él añade que la aerolínea ya utiliza los productos de Symantec para la gestión de identidad y antivirus, y el siguiente paso que está considerando es un producto de inicio de sesión único que se llama Symantec O3 Cloud Identity, y Access Control para un proceso único de autenticación.
"Tendremos que utilizar un sistema de autenticación segura para garantizar que la persona que está usando la iPad es quien dice ser, sobre todo cuando los equipos están viajando a lugares que tienen menos seguridad, como los países del tercer mundo", comenta Hoogstraten. Su plan consiste en utilizar el inicio de sesión único, ya que se nutre del sistema de Active Directory de United, y presenta un portal para que las tripulaciones accedan a sus proveedores de servicios. Esto significa que un piloto no tiene que iniciar sesión en seis o siete diferentes servicios, con lo que se ahorra tiempo en la cabina de mando.
Los inicios de sesión únicos son uno de los nuevos mecanismos comunes para tratar con la seguridad en la nube. La desventaja, sin embargo, es que significa un punto de falla. O3 se ejecuta como un aparato en un centro de datos, lo que significa que todos los accesos de nubes fluyen a través de ese dispositivo, lo que podría ralentizar las conexiones.
"El inicio de sesión único se dirige a un aspecto fundamental de la seguridad en la nube, es decir, la ecuación de conveniencia", señala Heiser de Gartner. "Por supuesto, la autenticación no es siempre el problema más grande. Basta con mirar al historial de fallas en las contraseñas de Gmail, a donde la gente accede tan fácilmente. Las empresas deben darse cuenta de que las contraseñas son deficientes".
Symantec utiliza autenticación de dos factores para hacer frente a este problema. En un escenario típico, puede ser que un empleado necesite un identificador de señal instalado en la iPad y una contraseña para acceder a servicios basados en nube. Hoogstraten indica que la autenticación de dos factores obliga a que los empleados piensen más allá de una contraseña.
Cate, de la Universidad de Indiana señala que un enfoque sólido para hacer frente a un nuevo problema de seguridad como el acceso a los sistemas de las iPad de la compañía es hacer una auditoría de seguridad como parte de la implementación. Uno de los resultados de la auditoría de seguridad, agrega, es que puede descubrir algunos de los riesgos desconocidos, como la dependencia excesiva de una estrategia. "Cuantos más datos pone en un solo lugar, más grande será el objetivo que pinta en su espalda para que sea propenso a un ataque", añade.
Además, la evaluación de la seguridad debe ser granular y debe ver los dispositivos específicos, como una iPad o teléfono inteligente, junto con los almacenes de datos y estrategias, indica. Esto puede implicar el uso de herramientas automatizadas de gestión y evaluación de riesgos. Por ejemplo, los empleados de United Airlines utilizarán la iPad para la comunicación de noticias de la empresa, inicialmente. Si los ejecutivos deciden implementar las tabletas para el check-in de seguridad del personal de tierra, la empresa debe evaluar el riesgo general de esa actividad, añade Cate.
"Toda empresa debe preguntarse: ¿En qué problemas nos podremos meter si lo hacemos? ¿Qué tan grande es el riesgo? Y no solo mirar a los problemas legales, sino a los problemas de la reputación y de los accionistas", señala Cate.
Ciudad de Rockford: Archivos de redes sociales a la nube
Para los funcionarios de la ciudad de Rockford, Illinois, cualquier acercamiento a la computación en nube es un mandato de las regulaciones gubernamentales. Por ejemplo, hay una Ley de Registros locales que dice que los registros públicos, incluso los datos basados en la nube, deben ser mantenidos en los archivos por un plazo determinado, que varía según la ciudad y el estado.
Mientras tanto, la ciudad decidió que quería empezar a interactuar con los ciudadanos en nuevas formas. Kevon Hayes, un desarrollador web y un administrador de la ciudad de Rockford, señala que el municipio quería usar Twitter o Facebook, pero tenía que encontrar una manera de hacer que las copias de seguridad de los datos puedan ser almacenadas de forma segura y recuperadas más tarde si fuese necesario.
Rockford utiliza Backupify, un servicio de archivo que escanea los mensajes de los jefes de la ciudad en las redes sociales y guarda los datos en el servicio de almacenamiento en nube Amazon S3.
Hayes señala que hay cerca de mil empleados en la ciudad y alrededor de seis jefes de departamento que postean en las redes sociales. Él dice que él comprueba los datos XML en Amazon -que consiste en aproximadamente 500MB de archivos- una vez cada tres meses para ver que los archivos de las redes sociales estén ahí.
Backupify es también una herramienta de copia de seguridad de nube que puede almacenar los datos de Google Apps, Gmail y Salesforce. Debido a que los datos se almacenan en Amazon S3, los datos de Rockford se propagan a varios lugares remotos a través del servicio de Amazon. (Amazon no revela las técnicas de replicación exactas que se usaron para S3).
Alan Brill, analista de la empresa de gestión de riesgos Kroll, señala que seguridad en la nube es algo más que cifrar las conexiones remotas y la autenticación de los usuarios. Con demasiada frecuencia, las empresas ignoran el hecho de que los empleados están utilizando las redes sociales y sitios web de consumo para las tareas diarias.
"Es absolutamente vital que las empresas hayan incluido a las redes sociales como parte de su estrategia corporativa de seguridad en la nube", agrega Brill. "Todo tiene un riesgo. Las empresas necesitan herramientas para entender lo que está pasando, quién está publicando la información en la nube y cómo se puede llegar a esos datos".
"La gran ventaja de las copias de seguridad en la nube es la mayor flexibilidad", agrega Cate. "Los datos archivados se encuentra disponibles desde cualquier lugar -en el escritorio o cualquier otro dispositivo remoto. Y las cintas magnéticas utilizadas para las copias de seguridad hoy en día se pueden degradar y tienen que ser montadas para acceder a ellas. La desventaja es que está poniendo su recurso más valioso en las manos de otra persona. Así que esto requiere de una extraordinaria debida diligencia".
Cate señala que las empresas tienen que investigar dónde se encuentran sus datos. Si el almacenamiento está a través de las fronteras nacionales, debe averiguar sus ramificaciones legales. Y si los datos se almacenan en otro país, es necesario asegurarse de tener acceso a ellos sin importar lo que pase.
Nice Shoes: Visualización remota segura
La mayoría de los directores de TI piensan en la seguridad en la nube como un ejercicio de protección de datos, o asegurarse de que algunos empleados deshonestos que intercambian archivos en Dropbox no estén regalando secretos corporativos. Pero en Nice Shoes, una compañía que hace comerciales de televisión y videos musicales para artistas como Beyonce, la nube es más grande que eso. Su objetivo es proteger sus propiedades creativas.
Robert Keske, CIO de Nice Shoes, señala que hay momentos en que los clientes quieren participar en una sesión informal de visualización para ver cómo se está trabajando.
El vídeo se transmite a través de la nube, pero la compañía controla la seguridad y calidad. Hay dos consideraciones importantes. La primera es obvia: la empresa no quiere que nadie robe las imágenes en bruto. El segundo criterio es que la calidad del video vista por un cliente en Los Ángeles o en todo el mundo tiene que coincidir con lo que los creadores ven en la oficina de Nueva York en términos de resolución y color.
Nice Shoes establece una conexión IPTV (Internet Protocol Television) interna, en esencia el mismo tipo de transmisión que es posible conseguir en una conexión AT&T U-verse en casa. La compañía utiliza dispositivos de seguridad Cisco ASA 5520 para establecer la conexión de datos, a continuación, un VPN IPsec (Internet Protocol security) que esencialmente extiende la red privada propia de Nice.
Para asegurarse de que la calidad está a la par, Nice Shoes utiliza una técnica denominada FEC (Forward Error Correction) que vigila constantemente la transmisión y corrige los errores a nivel de píxeles sobre la marcha. El entorno de visualización en el otro extremo también utiliza el software de calibración de color que Nice Shoes configura a un nivel específico.
Otra característica interesante: IPsec de Nice se ha configurado en el hardware de Cisco para "llamar a casa" de forma automática. Esto significa que el cliente nunca tiene que configurar cualquier equipo que sea parte del ecosistema de Cisco -el personal de TI en Nice Shoes puede configurar el equipo de forma remota cuando el cliente realiza la conexión inicial segura.
El escenario de visualización para los clientes está protegido por el hecho de que no hay acceso público a los comentarios. La única manera de ver el video de comercial o de música es con el aparato de punto final correcto. El sistema no funciona en absoluto sin la tecnología adecuada IPSec, VPN y FEC.
Molson Coors: El uso de la nube para la gestión de identidades
En Molson Coors, la cervecera con sede en Denver, su sistema de gestión de identidad estaba empezando a mostrar signos de envejecimiento.
Kevin Schmitt, el CISO, se dio cuenta de que su personal de seguridad de solo ocho empleados se veía en apuros para soportar las aplicaciones existentes. El aprovisionamiento de un nuevo empleado, la configuración de contraseñas y el acceso se estaba convirtiendo en un quehacer, y la gestión de identidad parecía una gran candidata para la nube -sobre todo porque el centro de datos en sí de todos modos fue subcontratado a un proveedor externo.
"Teníamos que encontrar un sistema de gestión de identidad que no fuese hecho por partes -tenía que cubrir todas nuestras disciplinas para las identidades de los empleado y los contratistas externos, incluyendo el sistema de nómina, Salesforce.com para la gestión de clientes y la integración con nuestro servicio de atención", señala Schmitt.
Curiosamente, añade Schmitt, no estaba buscando un producto de inicio de sesión único, ya que la infraestructura de su empresa implica mucho más que el acceso a los servicios web. Quería "federación" en el sentido de que el sistema de gestión de identidad iba a funcionar en todas las plataformas de negocios y servicios alojados en Internet, incluyendo las que se alojan a nivel local.
Finalmente, decidió trabajar con Lighthouse Security Group, que vende software de gestión de acceso e identidad. Antes de la implantación, la gestión de identidad involucraba varios accesos, incluso algunos que no estaban relacionados con la función determinada de un empleado. Por otra parte, Molson Coors necesitaba la gestión para el aprovisionamiento y el des aprovisionamiento, Web SSL, ingreso, VPN y otros puntos de acceso.
Schmitt no era ingenuo acerca de la complejidad. Su gran lección fue que, al igual que con cualquier sistema de gestión de la identidad que se ejecuta dentro de un centro de datos, todavía tiene que entender sus propios sistemas y sus propios elementos de datos maestros para pasar a la gestión de identidad basada en la nube. También se aseguró de ser propietario de las claves de cifrado del sistema de gestión en caso de que el proveedor se fuera a pique. (En este caso, ya que Lighthouse es un socio premier de IBM, es poco probable -pero existe la posibilidad).
Schmitt sopesó los factores de seguridad en la nube y decidió que la internalización de la gestión de identidad se iba ha convertir en una pesadilla para sus empleados, quienes ya estaban agobiados. "No puedo decir que no había ningún temor, incertidumbre o duda sobre esto", añade, "pero todos estos proveedores de la nube se autentican de manera diferente y no encontramos una ventaja en tener la gestión de tener la gestión de identidad en casa".
Mire de cerca a sus plataformas de datos, analice los riesgos del uso de la nube y luego tome una decisión que se ajuste a las necesidades de integración de la organización. La seguridad en la nube trae un poco de ansiedad a la decisión, señala Brill, pero puede ser mitigada si entiende completamente los riesgos y cómo afectarán a cualquier tipo de compromiso de la corporación.
John Brandon, Computerworld (EE.UU.)
John Brandon es un ex gerente de TI de una empresa Fortune 100 que ahora escribe sobre tecnología.