Llegamos a ustedes gracias a:



Conversando con...

Jerry Archer, un miembro del consejo de CSA y CSO de Sallie Mae

¿Cómo está trabajando la CSA para resolver los problemas de seguridad en la nube?

[01/09/2011] Pregúnteles a cinco personas diferentes una pregunta sobre, por ejemplo, seguridad en la nube, y, probablemente obtendrá cinco puntos de vista diferentes.

El fenómeno de la nube se está moviendo y transformando tan rápidamente, que las disciplinas relacionadas -como la seguridad- son difíciles de mantener. Los conceptos amigables con la nube -tales como el alquiler múltiple y la autenticación de usuarios federados- están desafiando a los proveedores de seguridad para que ofrezcan nuevos y mejores servicios. Pero para el momento en que estén listos, la nube puede haber generado un nuevo conjunto de desafíos de seguridad.
Las normas pueden ser o no la respuesta, ya que las normas tienen dificultades para mantenerse al día con la innovación rápida y anticipada. Sin embargo, debe haber una manera de estandarizar algo, en algún lugar, para ayudar a que la estructura y el acuerdo lleguen a los conceptos clave en torno a la seguridad en la nube.
Ahí es donde la organización sin fines de lucro Cloud Security Alliance https://cloudsecurityalliance.org/ entra en juego. Formada en el 2009, el grupo cuenta hoy con 20 mil miembros y es regularmente citado como una voz líder en el movimiento para llevar la seguridad a la computación en nube. Como Jerry Archer, un miembro del consejo de CSA y CSO de Sallie Mae, explica, la organización no aspira a ser un organismo de normalización, sino que busca la manera de promover las mejores prácticas en las que los usuarios, auditores de TI, proveedores de soluciones cloud y de seguridad estén de acuerdo.
Uno de los resultados es la pila de GRC de la CSA, un conjunto de herramientas para ayudar a que las personas evalúen e implementen la nube de acuerdo con las mejores prácticas, estándares y requerimientos críticos de su cumplimiento. Al igual que todas las herramientas que produce la CSA, la pila puede ser descargada por cualquier persona que pertenezca al grupo (aunque hay una cuota para las empresas patrocinadoras).
En nuestra conversación con Archer, él explicó más acerca de cómo funciona la CSA y la forma en que no solo va a resolver los problemas de seguridad en la nube, sino cómo la nube mejorará la seguridad para todos.
¿Podría darnos una descripción de alto nivel de lo que hace la CSA
Usted puede agrupar lo que hacemos en cinco grandes áreas. Primero, estamos desarrollando la estrategia, sobre todo en torno a cómo usted ingresa a la nube y las cosas que debe tener en cuenta. Segunda es la educación, para ayudar a educar a la gente en temas de seguridad en la nube. En tercer lugar, estamos construyendo las mejores prácticas en torno a los marcos de auditoría y cumplimiento, y estamos traduciendo unos controles típicos SAS 70 y los regímenes de fiscalización en los marcos de la nube. Cuarto, estamos viendo los temas de evaluación -cómo mirar a la nube en términos de evaluar la seguridad. Y quinto, estamos esperando a ver qué nos depara el futuro.
¿Cómo es que la CSA determina qué proyectos trabajar?
La CSA utiliza una rigurosa subcontratación de grupo o abastecimiento cloud. Ahora tenemos 20 mil miembros, y las ideas pueden venir de cualquiera de ellos. Usted puede proponerle una idea al grupo. Si es aceptada, las personas comenzarán a trabajar con usted, y por lo tanto puede ser aprobada.
En un principio no teníamos fondos para la investigación. Hoy tenemos financiación porque tenemos patrocinadores corporativos y también tenemos personas que financian parte de la obra. Pero mantener la objetividad es algo importante para nosotros, por lo que la junta hace seguimientos constantes para asegurarse de que ningún vendedor está sobre-suscrito, es decir, financiar demasiada investigación en un área determinada. No queremos estar en deuda con la agenda de ninguna compañía.
Usted ha dicho que la CSA no tiene la intención de crear las llamadas normas duras como SAS 70 o PCI. ¿Por qué?, y ¿Cómo percibe su contribución a la industria de la computación en la nube?
Sentimos que los estándares de la industria deben ser creados por los grupos, como ISO y otros, que son buenos en ello. A menudo trabajamos con las organizaciones de calificación existente para proporcionar consejo y guía, pero creemos que podemos ser más ágiles si no estamos atados a ningún estándar específico. Contamos con alianzas formales tanto con la ISO y la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés). En realidad les proveemos nuestros recursos e investigaciones de forma permanente para ayudarles con su trabajo. También estamos trabajando con el NIST, y estamos abiertos a la creación de asociaciones con otras organizaciones de estándares.
¿Ve usted algún conflicto entre el derecho del usuario a hacerle preguntas detalladas a los proveedores de nube sobre sus medidas de seguridad, y el derecho que tienen los proveedores, en aras de la seguridad, de mantener esos detalles en secreto?
Los proveedores jamás querrán contarle a nadie cómo es que están configurados sus firewalls, o cosas así. Por otro lado, hay muchísima información que, si se trata de transmitir correctamente, sería extraordinariamente útil desde un punto de vista de cumplimiento o de seguridad.
Si separamos los hechos de la hipérbole, como consumidor de la nube podría obtener información suficiente acerca de mi parte -donde sea y como sea que se esté ejecutando actualmente- que no pusiera en peligro su seguridad, pero aún me proporciona la clase de conocimiento que necesito para poder confiar en el ambiente en que me encuentro.
De hecho, las cosas se pondrán más simples desde el lado del consumidor, a medida que las aplicaciones sean instrumentadas para que puedan determinar si están en el entorno adecuado. DARPA ha llevado a cabo mucha investigación en entornos de alquiler múltiple, y han visto con detenimiento los controles en las aplicaciones que permitirán que la aplicación reporte la seguridad de su entorno.
¿Cómo funcionaría una aplicación instrumentada?
En un ejemplo sencillo, la aplicación sabe dónde se supone que debe estar. Sabe en qué clase de equipo debería estar ejecutándose, en qué sistema operativo -en realidad podría salir a cuestionar estas cosas para elaborar un recordatorio que diga, OK, estoy en el entorno adecuado, el nivel de revisión es tal y tal, y así sucesivamente.
Puede estar basada en el desempeño, diciendo sé que tengo que estar haciendo este tipo de cosas. Podría poner a prueba la validez del código, y si la respuesta no sale en ese momento entonces usted sabe que la ha tenido.
Hay todo tipo de cosas que podría hacer para proporcionar una gran cantidad de conocimientos sobre el medio ambiente en que se está ejecutando la aplicación, y al final del día, es probablemente hacia donde usted vaya.
¿Qué tan lejos en el futuro cloud ve a la CSA, y qué ve?
La mayor parte de nuestro objetivo sigue siendo construir los elementos fundamentales de la computación en la nube. Pero los líderes de opinión pueden ayudar a influir en el aspecto táctico de la construcción de la base por lo que es transferible, entonces no tenemos que desarmar la fundación y reconstruirla cada vez que pasamos a un nuevo ciclo en la nube.
En cuanto al futuro, creo que cualquiera que le diga que puede ver dos años en el futuro de la nube, bueno, es ingenuo. Todo está cambiando, y no podemos empezar a predecir las consecuencias de todo ese cambio. Es muy diferente, si no más diferente, que ir del mainframe a los sistemas de distribución -la nube va a cambiar todo lo relacionado con la informática.
La pregunta que tengo es ¿Qué sucederá cuando el costo de un PMI caiga a casi cero, al igual que el costo de almacenamiento?
Todo el mundo se irá a la nube, y la seguridad continuará evolucionando. Por ejemplo, el cifrado homomórfico completo me permitirá procesar los datos sin tener que descifrarlos. Para cuando yo pueda hacer cifrado totalmente homomórfico, puedo poner todos mis datos en la nube, completamente encriptados. Esto desaparece el modelo de amenazas, ¿no?
El problema es que ejecutar algoritmos totalmente homomórficos toma mucho más procesamiento del que tenemos hoy en día. Pero es solo cuestión de tiempo antes de que la Ley de Moore se arrastre en esto.
Entonces, ¿La seguridad en la nube será capaz de mantenerse al día con los cambios en la computación en la nube?
Sí, y la seguridad en realidad mejorará en la nube. Empresas como Sallie Mae, compañías financieras y otras que van a la nube, van a exigir una seguridad igual o mejor que lo que tienen ahora mismo.
Esa demanda de proveedores cloud se traducirá en que todo el mundo obtendrá los mismos resultados. Así que el pequeño que no podía permitirse una buena seguridad por su cuenta, ahora tendrá una buena seguridad como un subproducto de las grandes empresas que migran a la nube. Vamos a tener grandes proveedores que puedan proporcionar seguridad efectiva. La seguridad mejorará en la nube, y todos tendremos una mejor seguridad en el futuro.
Jim Buchanan, CIO.com