Seguridad en el marco de la computación en nube -cloudcomputing

Ah!, el factor FUD (miedo, incertidumbre, duda, por sus siglas en inglés).

secure-cloud-computing¿Utilizo la nube para mis datos sensibles o confidenciales? ¿En qué parte de la nube residen mis datos? ¿Qué pasa si el proveedor sufre un desastre? ¿Cómo sus planes de continuidad afectan mis datos [servicios]? ¿Qué tanto control debo ceder[1]? ¿Cómo se alteran mis procedimientos y periodicidad para el respaldo de datos? ¿Puedo migrar fácilmente hacia [y desde] el proveedor de servicios en nube? ¿Cuál es la política de privacidad del proveedor de servicios en nube[2]?

Bueno, estas y más eran algunas de las preguntas que nos hacíamos hace unos cuantos años. Hemos escuchado noticias de alguna brecha de seguridad en alguno de los grandes proveedores de cloud –y frenábamos nuestra decisión. ¿Están las leyes ya optimizadas [existen siquiera] para trabajar en la nube? ¿Cuál es su alcance, global o local, apoyan al proveedor o al consumidor? ¿Está regulada la cesión de datos (a gobiernos extranjeros por ejemplo) por aspectos legales, fraude, terrorismo, o de cumplimiento normativo, qué tan transparentes son las acciones correspondientes de privacidad, qué tanto los proveedores nos dejan solos ante estos casos?

Pero, aún queda pendiente resolver dudas más interesantes como ¿quién es en última instancia el principal responsable de la protección de los datos: el proveedor o el dueño de los datos?[3] ¿Qué acuerdos existen para el almacenamiento de datos en la nube? ¿Qué acuerdos hay vigentes para el respaldo y restauración de datos? ¿Tenemos conocimiento de las medidas de seguridad que los proveedores han puesto en marcha para proteger los datos? ¿Debo preocuparme de la protección de mis datos y uso de autenticación y autorización [la Cloud Security Alliance se preocupa baste por estos temas[4] relacionados con cuentas de usuario] tan igual y con las mismas medidas como en mi centro de datos[5]? ¿Funcionan en la nube las herramientas que actualmente utilizo en mi centro de datos o necesito nuevas versiones de ellas o incluso nuevos y diferentes productos que “hablen” cloud –y todo lo que esto signifique para el costo total de propiedad?

Recordemos que en la nube está centrada en la provisión de servicios; así, los controles de la seguridad seguramente se moverán cada vez más hacia los objetos que se desean proteger[6] (firewall virtual, políticas de control de acceso basadas en roles, derechos de acceso a la red, entre otras opciones). ¿Y estamos seguros que el proveedor ha configurado de forma correcta las bases de datos, sistemas operativos y middleware que ha desplegado[7]? –evaluemos los riesgos, no olvidemos esto.

Hoy en día, rara vez enviamos fotos por correo electrónico, y ya no usamos unidades flash USB para llevar documentos. La nube se ha convertido en un lugar donde todo el mundo se reúne e intercambia información. Por otra parte, la nube se ha convertido en un lugar donde los datos se mantienen de forma permanente[8] -¿un cierto nivel de seguridad o confort? Seguramente no nos preocupamos en estos casos de cifrar los datos personales [porque pensamos que son de propósito general, de distracción o que su contenido y contexto no es tan valioso [interesante] para nosotros –hasta cierto punto claro- pero tenga en cuenta que si tienen un valor por su contenido y contexto para quienes los buscan[9] –y tal vez sus intenciones no son buenas]. Recuerde que si usted no está pagando por un servicio, usted es el producto, no el cliente[10]. Obvio, el nivel de riesgo aumenta lo que exige un nuevo conjunto de mejores prácticas de seguridad[11]. Pero sí deberíamos cifrar los datos corporativos –o asegurar [no confiar] que el proveedor de servicios en nube proporcione tal servicio [asegúrese de que usted controle este aspecto, controlando las llaves de cifrado[12]]. No exagere, mantenga en equilibrio la seguridad requerida y la rapidez del proceso de cifrado.

Los expertos dicen que simplemente no hay manera de alguna vez estar completamente seguros de que sus datos permanecerán a buen recaudo una vez que los haya movido a la nube[13]. Más aún por el usual oscurantismo[14] que envuelve cómo se aseguran los servicios en nube. ¿Muevo mis datos o no los muevo? Antes de decidirse, lo primero que se debe hacer es identificar sus activos de información, definir el nivel de privacidad que éstos necesitan y así planear un nivel de protección adecuado para ellos.

No olvide evaluar sus debilidades y el marco normativo y legal que debe cumplir, y del monitoreo y seguimiento continuos a la actividad de los usuarios[15]. El monitoreo, seguimiento y la gestión son importantes para cualquier centro de datos, ya sea en la nube o no. Estas herramientas reaccionan a los datos en tiempo real [importante la automatización para reducir en la ecuación la implicancia del factor humano[16]] obtenidos de las operaciones del sistema (almacenamiento, computadora, aplicaciones, bases de datos, otros), así como responder a las tendencias en los datos[17]. El mayor beneficio de la supervisión y gestión de la nube es la posibilidad de ver las tendencias. Esto significa reunir muchos puntos de datos a través del tiempo y sacar conclusiones en cuanto a lo que significan –y vaticinan [un poco de analítica aquí no hace daño ¿verdad?]. ¿Estamos considerando todo esto en nuestro modelo de seguridad y en el presupuesto? No se olviden de los volúmenes de datos que deberemos manejar.

Sin embargo, parece que la seguridad en la nube sí está mejorando, se está volviendo más proactiva, ya que hoy por hoy hay más noticias de centros de datos corporativos vulnerados -¿por antigüedad tal vez -legacy? ¿Menos “factor humano” –mejores profesionales o mejor distribución de funciones? ¿Mayor o mejor adopción de tecnología moderna –economía de escala[18]? ¿Mejor enfoque de gestión procesos—tecnología—personas? ¿Deben someterse continuamente a diferentes tests -pentesting?

La seguridad a largo plazo debe ser diseñada y desarrollada especialmente para la nube y realmente ser un pilar para las operaciones de la nube, apoyando la forma en que las aplicaciones en la nube están siendo construidas y entregadas hoy[19]. Los sistemas construidos sin un adecuado rigor en torno a la seguridad no serán tan seguros, estén o no en nube[20]. Sin la cantidad adecuada de planificación y una buena tecnología para controlar el acceso a los datos u adopción de otras medidas preventivas para evitar filtraciones de datos en la nube[21], las plataformas basadas en la nube pueden llegar a ser un riesgo. Por lo tanto, la mejor práctica es centrarse en una estrategia de seguridad bien definida y ejecutada con la correcta tecnología habilitadora (APIs, DevOps[22] [23], otros).

Gartner[24] nos dice que evitar servicios en la nube puede incluso dar lugar a riesgos innecesarios de seguridad, ya que las organizaciones siguen confiando en sistemas internos mal gestionados que a menudo tienen más vulnerabilidades de seguridad que sus equivalentes de nube pública. Además, la renuencia para tomar ventaja de la computación en nube puede dejar a una organización en una situación insegura, inflexible o de incompetencia. Así, es evidente que toda iniciativa en nube debe regirse mediante la planificación, procesos y políticas apropiadas.

OK, un poco de nube puede ser bueno entonces, ¿cuándo moveré mis datos a la nube? podría ser finalmente LA pregunta, y una relacionada, ¿por dónde empiezo, pública o privada? Para responder la pregunta diagnostiquemos el negocio, aterricemos sus necesidades, sinceremos la sensibilidad de nuestros datos, exploremos en nuestra base de datos de conocimientos, agreguemos nuestras lecciones aprendidas, adoptemos mejores prácticas en la industria, incorporemos estándares de gestión de servicios, de seguridad de la información, de riesgos, de gobierno corporativo de TI, identifiquemos e incorporemos el monitoreo y trazabilidad requeridos, no olvidemos incluir políticas sobre la responsabilidad de uso y los procesos de aceptación del riesgo en la nube, y propongamos una alternativa que incorpore en su diseño la seguridad correcta, necesaria y suficiente, y aseguremos que esta alternativa esté alineada con los objetivos del negocio.

[1]      Fuente: http://www.information-age.com/technology/security/123459135/great-it-myth-cloud-really-less-secure-premise; marzo/2016

[2]      Fuente: http://lifehacker.com/the-best-cloud-storage-services-that-protect-your-priva-729639300; marzo/2016

[3]      Fuente: http://www.technewsworld.com/story/76019.html; marzo/2016

[4]      Fuente: http://www.informationweek.com/cloud/infrastructure-as-a-service/9-worst-cloud-security-threats/d/d-id/1114085; marzo/2016

[5]      Fuente: http://computer.howstuffworks.com/cloud-computing/5-ways-to-keep-your-information-secure-in-the-cloud.htm; marzo/2016

[6]      Fuente: http://www.information-age.com/technology/cloud-and-virtualisation/123458895/6-predictions-cloud-security-2015; marzo/2016

[7]      Fuente: http://www.forbes.com/sites/cdw/2014/09/17/how-secure-is-your-cloud-service-provider/#240af4c576db; marzo/2016

[8]      Fuente: http://www.cio.com/article/2380182/cloud-security/5-tips-to-keep-your-data-secure-on-the-cloud.html; marzo/2016

[9]      Fuente: http://lifehacker.com/5904966/why-you-should-care-about-and-defend-your-privacy; marzo/2016

[10]    Fuente: http://lifehacker.com/5887140/everyones-trying-to-track-what-you-do-on-the-web-heres-how-to-stop-them; marzo/2016

[11]    Fuente: http://www.infoworld.com/resources/16334/cloud-security/digital-spotlight-cloud-security#tk.ifw-infsb; marzo/2016

[12]    Fuente: http://www.trendmicro.com/cloud-content/us/pdfs/business/datasheets/ds_securecloud.pdf; marzo/2016

[13]    Fuente: http://www.computerworld.com/article/2483552/cloud-security/no–your-data-isn-t-secure-in-the-cloud.html; marzo/2016

[14]    Fuente: http://www.infoworld.com/article/3010006/data-security/sorry-it-the-public-cloud-is-more-secure-than-your-data-center.html; marzo/2016

[15]    Fuente: http://www.imagineiti.com/the-cloud/is-the-cloud-secure/; marzo/2016

[16]    Fuente: http://www.cio.com/article/3045532/cloud-computing/it-is-getting-cloud-storage-security-all-wrong.html?token=%23tk.CIONLE_nlt_cio_insider_2016-03-18&idg_eid=0f3e0907b81179ebb4f3b209b6424bae&utm_source=Sailthru&utm_medium=email&utm_campaign=CIO%20Daily%202016-03-18&utm_term=cio_insider#tk.CIO_nlt_cio_insider_2016-03-18; marzo/2016

[17]    Fuente: http://www.infoworld.com/article/3044153/cloud-computing/the-clouds-missing-link-monitoring-and-management.html?token=%23tk.IFWNLE_nlt_infoworld_cloud_computing_2016-03-17&idg_eid=0f3e0907b81179ebb4f3b209b6424bae&utm_source=Sailthru&utm_medium=email&utm_campaign=Infoworld%20Cloud%20Computing%202016-03-17&utm_term=infoworld_cloud_computing#tk.IFW_nlt_infoworld_cloud_computing_2016-03-17; marzo/2016

[18]    Fuente: http://zapthink.com/2012/02/07/why-public-clouds-are-more-secure-than-private-clouds/; marzo/2016

[19]    Fuente: http://www.information-age.com/technology/cloud-and-virtualisation/123459009/3-dominant-trends-will-drive-cloud-security-coming-years; marzo/2016

[20]    Fuente: http://searchcloudcomputing.techtarget.com/opinion/Clouds-are-more-secure-than-traditional-IT-systems-and-heres-why; marzo/2016

[21]    Fuente: https://pando.com/2013/11/20/if-you-think-the-cloud-isnt-secure-youre-dead-wrong/; marzo/2016

[22]    Fuente: http://blogs.unir.net/4542-devops-el-catalizador-de-los-beneficios-de-la-nube; marzo/2016

[23]    Fuente: http://www.csc.com/es/publications/121877/121953-acelerar_la_actividad_empresarial_con_devops_en_la_nube; marzo/2016

[24]    Fuente: https://www.gartner.com/doc/reprints?id=1-2RNO28T&ct=151106&st=sg; marzo/2016

¿Me comentas?