Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad en la nube: Visibilidad y control

[05/03/2012] Es un mantra tantas veces repetido: Las organizaciones que participan en la investigación de la computación en la nube, o en cualquiera de sus muchos sabores, están preocupados por la seguridad. De hecho, las preocupaciones sobre la seguridad, la privacidad de los datos y la residencia de datos se citan a menudo como inhibidores para la adopción de la nube. Sin embargo, ¿las preocupaciones se justifican? Algunos expertos en seguridad dicen que la visibilidad y el control son los elementos que faltan.
En un estudio reciente a ejecutivos de negocios y TI, CompTIA, la asociación de la industria TI, encontró que el 50% de los encuestados citaron una mayor dependencia de aplicaciones basadas en Internet, como el cloud computing y el software como servicio, a las que ven como un factor determinante en sus preocupaciones de seguridad cibernética. Sin embargo, varios expertos dicen que los datos en la nube están de muchas maneras más seguros que en una instalación de la empresa -o por lo menos yendo hacia ese camino- especialmente para las pequeñas organizaciones que no tienen los recursos para dedicarlos a la tecnología de seguridad y el personal experto.
¿Cuestiones de seguridad del personal?
El acceso a suficiente personal de TI con experiencia en seguridad puede ser particularmente difícil para las organizaciones de todos los tamaños. CompTIA afirma que el 41% de las organizaciones reportaron deficiencias moderadas o importantes en su experiencia en seguridad entre el personal de TI. En promedio, CompTIA señala que las organizaciones tuvieron alrededor del 30% de su planilla dedicada a la seguridad. Según el Bureau of Labor Statistics (BLS), que añadió la categoría de Analista de Seguridad de la Información en el 2011, el desempleo para las personas empleadas en esa categoría se sitúa en el 0%.
Christopher Primault, co-fundador y director general de GetApp.com, un mercado de software de negocios que examina las aplicaciones basadas en la nube y organiza información sobre ellas para las pequeñas empresas, indica que los servicios en la nube ayudan a que las organizaciones eviten este problema, ya que proporcionan a los profesionales dedicados a la protección de su información. "Sus datos probablemente están más seguros con la gran mayoría de vendedores que si los mantuviera en sus instalaciones", comenta Primault. "Realmente creo que es verdad".
Y añade: "Nosotros solo utilizamos servicios en la nube, por lo que hemos nacido en la nube. El costo de mantener los datos en casa y protegerlos sería muy alto. Francamente, al tener mis datos en la nube, me siento más seguro".
Primault no está solo. De acuerdo a CompTIA, el 85% de las organizaciones que utilizan servicios en la nube están seguras o muy seguras de su proveedor de servicio en la nube cuando se trata de la seguridad. Sin embargo, esas mismas organizaciones son reacias a poner ciertos tipos de datos o aplicaciones en la nube.
"Hay una pequeña paradoja entre los usuarios de la nube en este momento", señala Tim Herbert, vicepresidente de investigación en CompTIA. "Ellos transmiten fuerte confianza en la seguridad del proveedor de nube. Al mismo tiempo, muchas empresas son muy reacias a colocar ciertos tipos de datos o aplicaciones en un entorno de nube. Las empresas han trasladado algunos de los sistemas no críticos a la nube, pero que no lo han hecho con sus sistemas más críticos".
Las empresas son especialmente reacias a poner los datos confidenciales y los datos financieros de las tarjetas de crédito en la nube. CompTIA encontró que 49% de las pequeñas empresas, 55% de las empresas medianas y un 56% de las grandes empresas no estaban dispuestas a poner los datos financieros confidenciales de la empresa en la nube. Cuando se trataba de datos de tarjetas de crédito, 50% de las pequeñas empresas, 50% de las empresas medianas y un 53% de las grandes empresas fueron reticentes.
Deficiencias en la evaluación de la seguridad en la nube
A pesar de que las organizaciones luchan entre la confianza en las medidas de seguridad de los proveedores de servicios en la nube y la renuencia a colocar los datos sensibles en la nube, también están en busca de los elementos críticos de seguridad en la nube cuando evalúan las políticas de los proveedores de servicios de seguridad, señala Herbert. En particular, el cumplimiento normativo, la geolocalización de los datos y las credenciales del proveedor son, a menudo, pasadas por alto.
"A pesar de algunas de las preocupaciones, solo el 29% de las empresas en el estudio dijeron que se embarcaron en una revisión profunda de las prácticas de seguridad de los proveedores de servicios en la nube", señala Herbert.
En el estudio, 50% de los encuestados dijeron que algunas veces o raramente/nunca evaluaron la ubicación geográfica de los centros de datos de un proveedor de nube. Otro 46% dijo que a veces o casi nunca/nunca han evaluado el cumplimiento de las normas de los proveedores de la nube. Y el 44% dijo que a veces o casi nunca/nunca han determinado la identidad del proveedor y la gestión de acceso.
Esto puede llevar a sorpresas desagradables, de acuerdo a CompTIA. "Recientemente, la ciudad de Los Ángeles y Google aprendieron por las malas lo que ocurre cuando se introduce una variable de regulación incierta en una implementación en la nube", señala CompTIA en su noveno informe anual sobre tendencias de seguridad. "La ciudad de Los Ángeles tuvo que modificar su plan para cambiar a 30 mil empleados hacia Google Apps, cuando se descubrió que Google Apps no era totalmente compatible con los requisitos de seguridad del FBI para la conexión al Sistema de Información de Justicia Criminal (CJIS, por sus siglas en inglés), un centro de intercambio de datos sobre seguridad, administrado por el departamento de justicia".
CompTIA añade: "Este es un ejemplo notable de lo que es seguro que ocurrirá con regularidad en las organizaciones que hacen la transición a la nube, solo para descubrir que un elemento relacionado con la seguridad les obliga a hacer un cambio de planes. A medida que el modelo de nube madure, algunas de los estas cuestiones pueden, naturalmente, funcionar, pero en el corto plazo, los proveedores de soluciones de TI y proveedores de nubes pueden proporcionar un valioso servicio en la reducción de la probabilidad de que sucedan este tipo de situaciones, a largo plazo, las evaluaciones por parte de terceros de las políticas de seguridad del proveedor de servicio en la nube, sus procedimientos y capacidad pueden convertirse en norma".
Asegurar la nube
Mientras tanto, los proveedores de seguridad están decididos a hacer que la nube sea un entorno de confianza en el que las organizaciones puedan hacer negocios. "El verdadero desafío es que las empresas necesitan moverse a la nube", señala Dave Canellos, CEO de PerspecSys, un proveedor de privacidad, residencia y soluciones de seguridad para la nube. "Esto no es una moda pasajera. Es realmente acerca de cómo manejar esa responsabilidad y garantizar que protegemos la información que usted ahora está administrando".
Nicholas Popp, vicepresidente de gestión y desarrollo de productos de Symantec, reconoce que la nube no está muy a la par con las instalaciones en la empresa cuando se trata de la seguridad. Pero también dice que cree que eso se está acortando rápidamente. "Eventualmente, la nube será más segura", señala. "La seguridad como una operación de hágalo usted mismo se está volviendo más y más difícil".
Popp predijo que dentro de tres a cinco años, la nube será el entorno más seguro para las empresas pequeñas y medianas (Pymes), mientras que en el horizonte de las grandes empresas será, probablemente, en el rango de diez años.
"Mucha gente dirá que la nube es fundamentalmente insegura", agrega. "El problema real no es la seguridad, se trata más del control y de la visibilidad. Es una cuestión de confianza. Salesforce y Google necesitan tener buena seguridad. Desde el punto de vista de seguridad, van a ser mucho mejores que la mayoría de las empresas".
El problema, señala Popp, es que las organizaciones no tienen un buen mecanismo para la inyección de sus propias políticas de seguridad en los servicios de la nube, y no tienen la capacidad de acceder a los registros.
"La cuestión es que los chicos de las nubes no ofrecen TI con el control suficiente para establecer su propia política", agrega. "En realidad, es difícil porque cada nube es diferente. Usted tiene diferentes API y marcos de seguridad. Todos van a tener diferentes maneras de hacer y exponer la seguridad. Tenemos que crear un nuevo punto de control para que TI pueda inyectar sus propias políticas en la parte superior de estos servicios en la nube".
Además, señala, el personal de TI de una organización debe tener acceso a los registros y copias de seguridad, tanto para el cumplimiento regulatorio como para la capacidad de realizar análisis forense, si algo se ve comprometido.
La respuesta de Symantec es O3, un portal de información en la nube que se asemeja a la capa de ozono de la tierra. Está pensado para sentarse entre una organización y sus servicios en la nube y actúa como una especie de nube firewall. Popp señala que ofrecerá tres niveles o capas de control: un nivel de control de acceso e identidad, una capa de protección de la información y un nivel de gestión de la información. La primera capa proporciona acceso basado en roles para la información en la nube, mientras que el segundo nivel refuerza las políticas de seguridad de la organización. La capa final capturará todos los registros y permitirla que las organizaciones demuestren el cumplimiento normativo.
PerspecSys toma otro rumbo, aunque al igual que Symantec, se centra en el mensaje de control. "Hacemos aplicaciones de misión crítica en la nube para las empresas, asegurando que sus datos sensibles nunca se muevan fuera de la red de la compañía", explica Canellos. "Nosotros le ayudamos a utilizar la aplicación en la nube, pero mantenemos los datos sensibles detrás de su firewall en todo momento".
PerspecSys se centra en la protección de los datos al vuelo con un enfoque que Canellos señala ayuda a reducir el riesgo de transferencia de datos, procesamiento de datos y almacenamiento en la nube.
"Si usted habla con los centros de datos o de los proveedores de nubes, cuando los datos están bajo su control, dentro del perímetro de sus centros de datos, ellos le pueden dar todas las garantías de que los datos probablemente están más seguros que si estuviesen en el perímetro de una red SMB", agrega. "Pero, ¿qué sucede cuando los datos están en vuelo? En ese momento, si nos fijamos en los acuerdos de las empresas tienen con los centros de datos, ya no es su responsabilidad".
El Cloud Control Gateway de PerspecSys utiliza la tokenización para remplazar los datos sensibles en la nube. "Nuestra solución se encuentra entre la conversación de los usuarios finales de la aplicación en la nube y la nube", señala Canellos. "Esencialmente, estamos moderando la transacción entre el usuario final y la nube. Cualquiera que sea lo que la empresa considere información confidencial, seguimos adelante y dirigimos la información a una base de datos local detrás del firewall de la compañía. Una vez ahí, utilizamos datos de remplazo".
La firma israelí Porticor también cree que la confianza y el control de datos en la nube son el problema, pero su respuesta tiene que ver con el cifrado y la gestión de claves. Gilad Parann-Nissany, co fundador y CEO de Porticor, compara a la solución de Porticor con una caja de seguridad en un banco suizo. Porticor utiliza tecnología de encriptación de reparto de claves para darle al cliente una clave de cifrado principal común a todos los objetos de datos en una aplicación, mientras que Porticor mantiene su propio conjunto de claves de cifrado de "banquero", que es como Parann-Nissany se refiere a ellas para cada objeto de datos. Cuando una aplicación accede al almacén de datos, utiliza las dos partes de la clave para cifrar y descifrar dinámicamente los datos. La llave maestra es en sí misma encriptada homo mórficamente o de forma singular por lo que nunca se expone, incluso cuando está en uso.
"El cliente tiene el control a través de la clave maestra del cliente y el banquero trabaja muy duro para asegurar todos los archivos y el disco", señala Parann-Nissany. "Solo la combinación de la clave del cliente y la clave banquero abrirán un disco".
Por otra parte, las claves en posesión de Porticor son cifradas con la clave maestra, por lo que Porticor ni siquiera puede acceder a las claves sin el cliente.
"Suponga que no está tratando con un hacker", indica Parann-Nissany. "El atacante es un rival de negocios y va a la corte y obtiene una orden judicial para sus datos. Debido a la naturaleza de la solución, no tenemos nada. Incluso la clave bancaria no está ahí, es cifrada a través de la clave maestra. Tienen que ir por el cliente si desean los datos".
Y añadió: "El banquero no puede ver la clave del cliente. Incluso cuando se combina con las teclas de otros, él mismo está encriptado a través de esta técnica. El punto clave es que podemos administrar las claves de los clientes, sin tener que tocarlas o conocerlas nosotros mismos".
CompTIA recomienda que las organizaciones utilicen la Cloud Security Alliance (CSA) como un recurso para cuestiones de seguridad en la evaluación de proveedores de servicios en la nube. La CSA, una organización sin fines de lucro, tiene una lista de más de 200 preguntas que abarcan la integridad de datos, arquitectura de seguridad, auditorías, cumplimiento normativo, gobernabilidad, seguridad física, jurídica y más. También publica una hoja de ruta de seguridad de nivel superior para las operaciones en la nube.
Thor Olavsrud, CIO.com