¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

La computación en nube es un nuevo modo de facilitar recursos de computación, no una nueva tecnología. Ahora los servicios de computación, desde el almacenamiento y procesamiento de datos hasta el software, como la gestión del correo electrónico, están disponibles de forma instantánea, sin compromiso y bajo demanda.

La principal conclusión de este y otros artículos que iremos publicando es que, desde el punto de vista de la seguridad, las economías de escala y flexibilidad en nube son elementos tanto favorables como perjudiciales. Las concentraciones masivas de recursos y de datos constituyen un objetivo más atractivo para los atacantes, pero las defensas basadas en la nube pueden ser más robustas, escalables y rentables. Los trabajos que iremos publicando permitirán realizar una evaluación informada de los riesgos del cloud computing y las ventajas para la seguridad que presenta el uso de la computación en nube, y ofrecerá orientaciones sobre protección para los usuarios actuales y futuros de la computación en nube.

En vista de la reducción de costos y de la flexibilidad que conlleva, la migración a la computación en nube es una opción irresistible para:

No obstante, diferentes trabajos confirman que que entre las principales preocupaciones de las PYME que migran a la nube se encuentran la confidencialidad de su información y la responsabilidad derivada de incidentes relacionados con la infraestructura

Para que la computación en nube alcance todo el potencial que promete la tecnología, debe ofrecer solidez en la seguridad de la información. El presente artículo y los sucesivos que publicaremos explicarán, basándose en escenarios concretos, el significado de la computación en nube para la seguridad de la información y de la red, la protección de datos y la privacidad. Consideraremos las ventajas de la computación en nube y los riesgos del cloud computing con respecto a la seguridad. Estudiaremos las repercusiones técnicas, políticas y jurídicas. Y lo que es más importante, efectuaremos recomendaciones concretas sobre el modo de abordar los riesgos y de optimizar los beneficios.

Por último, es importante destacar que la computación en nube puede referirse a varios tipos de servicio distintos, incluidos el Software como Servicio (SaaS), Plataforma como Servicio (PaaS) e Infraestructura como Servicio (IaaS). Los riesgos y beneficios asociados a cada modelo difieren, al igual que las consideraciones clave a la hora de contratar este tipo de servicio.

Principales recomendaciones

Garantías para los clientes en nube

Los clientes en nube necesitan que se les garantice que los proveedores aplican prácticas adecuadas de seguridad para mitigar los riesgos a los que se enfrentan el cliente y el proveedor (por ejemplo, los ataques distribuidos de denegación de servicio, o DDoS). Necesitan esta garantía para poder tomar decisiones de negocio correctas y para mantener u obtener certificados de seguridad. Por este motivo, hemos expresado muchas de las recomendaciones en forma de listado de cuestiones que puede ser utilizado para ofrecer o recibir aseguraciones.

Los documentos basados en la lista de comprobación deben aportar a los clientes medios para:

  1. Evaluar el riesgo de utilizar servicios en nube.
  2. Comparar las ofertas de los distintos proveedores en nube.
  3. Obtener aseguramiento de los proveedores en nube seleccionados.
  4. Reducir la carga de la aseguración con respecto a los proveedores en nube.

La lista de comprobación de seguridad abarca todos los aspectos de los requisitos en materia de seguridad, incluidas la seguridad física y las implicaciones legales, políticas y técnicas.

Recomendaciones legales

La mayoría de cuestiones legales asociadas a la computación en nube se suele resolver durante la evaluación (es decir, al comparar los distintos proveedores) o la negociación del contrato. El caso más común de computación en nube es la selección de los distintos contratos que ofrece el mercado (evaluación de contratos), en contraste con la negociación del contrato. No obstante, podría haber oportunidades para que clientes potenciales de servicios en nube seleccionaran proveedores con contratos negociables.

A diferencia de los servicios tradicionales de Internet, se recomienda revisar detenidamente las cláusulas estándar del contrato, debido a la naturaleza de la computación en nube. Las partes del contrato deben prestar especial atención a sus derechos y obligaciones en lo que respecta a las notificaciones de incumplimiento de los requisitos de seguridad, transferencias de datos, creación de obras derivadas, cambio de control y acceso a los datos por parte de las fuerzas policiales. Debido a que la nube puede utilizarse para subcontratar infraestructura interna crítica, y a que la interrupción de dicha infraestructura puede tener consecuencias de gran alcance, las partes deben considerar detenidamente si las limitaciones estándar de la responsabilidad se ajustan a las asignaciones de responsabilidad, habida cuenta del uso de la nube por las distintas partes, o a las responsabilidades en cuanto a la infraestructura.

Hasta que los reglamentos y precedentes legales aborden las preocupaciones concretas en materia de seguridad relativas a la computación en nube, los clientes y los proveedores en nube deben asegurarse de que las condiciones de su contrato abordan de manera efectiva los riesgos de seguridad

Principales ventajas en términos de seguridad

La seguridad y las ventajas de la escala

En pocas palabras, todos los tipos de medidas de seguridad son más baratos cuando se aplican a gran escala. Por tanto, la misma cantidad de inversión en seguridad puede obtener una mejor protección. Aquí se incluyen las distintas medidas defensivas, como el filtrado, la administración de parches, el refuerzo de máquinas virtuales (VM) e hipervisores, etc. Otras ventajas de la escala son: las ubicaciones múltiples, las redes de proximidad (entrega o procesamiento de contenidos más cerca de su destino), la oportunidad de la respuesta ante los incidentes y la gestión de las amenazas.

La seguridad como elemento diferenciador del mercado

La seguridad constituye una prioridad para muchos clientes en nube; gran parte de ellos toman las decisiones relativas a las adquisiciones basándose en el renombre del proveedor en cuanto a confidencialidad, integridad y resistencia a los fallos, así como en los servicios de seguridad ofrecidos por el mismo. Éste es un motivo de peso para que los proveedores en nube mejoren sus prácticas de seguridad.

Interfaces normalizadas para servicios de seguridad gestionados

Los grandes proveedores en nube pueden ofrecer una interfaz abierta y estandarizada a los proveedores de servicios de seguridad gestionada. De este modo se genera un mercado de servicios de seguridad más abierto y con mayor disponibilidad.

Escalada rápida e inteligente de recursos

La capacidad del proveedor en nube de re asignar dinámicamente los recursos de filtrado, catalogación de tráfico, autenticación, codificación, etc., para las medidas defensivas (por ejemplo, frente a los ataques distribuidos de denegación de servicio, o DDoS) tiene ventajas evidentes para la resistencia a los fallos.

Auditoría y recolección de pruebas

Cuando utiliza la virtualización, la computación en nube puede proporcionar imágenes forenses de pago por la utilización de las máquinas virtuales a las que se puede acceder sin desconectar la infraestructura, lo cual reduce el tiempo de espera para realizar un análisis minucioso. También puede aportar un almacenamiento de registros más rentable a la vez que permite una actividad de registro más exhaustiva sin afectar al rendimiento.

Actualizaciones y opciones por defecto más puntuales, efectivas y eficaces

Las imágenes por defecto de las máquinas virtuales y los módulos de software utilizados por los clientes pueden ser reforzados y actualizados previamente con los últimos parches y configuraciones de seguridad, conforme a procesos ajustados; las API del servicio en nube de la IaaS (Infrastructure as a Service) también permiten tomar imágenes de la infraestructura virtual de manera frecuente y comparada con un punto inicial. Las actualizaciones pueden aplicarse con mucha más rapidez en una plataforma homogénea que en los sistemas tradiciones de los clientes, que se apoyan en el modelo de parches.

Beneficios de la concentración de recursos

Aunque sin duda la concentración de recursos tiene desventajas para la seguridad, posee el beneficio evidente de abaratar la perimetrización y el control de acceso físicos (por recurso unitario) y permite una aplicación más sencilla y económica de numerosos procesos vinculados a la seguridad.

Principales riesgos en términos de seguridad

Los tipos más importantes de riesgos específicos de la nube que identificamos son los siguientes:

Pérdida de gobernanza

Al utilizar las infraestructuras en nube, el cliente necesariamente cede el control de una serie de cuestiones que pueden influir en la seguridad al proveedor en nube. Al mismo tiempo, puede ocurrir que los Acuerdos de nivel de servicio no incluyan la prestación de dichos servicios por parte del proveedor en nube, dejando así una laguna en las defensas de seguridad.

Vinculación

La oferta actual en cuanto a herramientas, procedimientos o formatos de datos estandarizados o interfaces de servicio que puedan garantizar la portabilidad del servicio, de las aplicaciones y de los datos resulta escasa. Por este motivo, la migración del cliente de un proveedor a otro o la migración de datos y servicios de vuelta a un entorno de tecnologías de la información interno puede ser compleja. Ello introduce la dependencia de un proveedor en nube concreto para la prestación del servicio, especialmente si no está activada la portabilidad de los datos como aspecto más fundamental.

Fallo de aislamiento

La multi prestación y los recursos compartidos son características que definen la computación en nube. Esta categoría de riesgo abarca el fallo de los mecanismos que separan el almacenamiento, la memoria, el enrutamiento e incluso el renombre entre los distintos proveedores. Por ejemplo, los denominados ataques «guest hopping». No obstante, debe considerarse que los ataques a los mecanismos de aislamiento de recursos (por ejemplo, contra hipervisores) todavía son menos numerosos, y su puesta en práctica para el atacante presenta una mayor dificultad en comparación con los ataques a los sistemas operativos tradicionales.

Riesgos de cumplimiento

La inversión en la obtención de la certificación (por ejemplo, requisitos reglamentarios o normativos del sector) puede verse amenazada por la migración a la nube:

  • Si el proveedor en nube no puede demostrar su propio cumplimiento de los requisitos pertinentes.
  • Si el proveedor en nube no permite que el cliente en nube realice la auditoría.

En determinados casos, también significa que el uso de una infraestructura pública en nube implica que no pueden alcanzarse determinados niveles de cumplimiento .

Compromiso de interfaz de gestión

Las interfaces de gestión de cliente de un proveedor en nube pública son accesibles a través de Internet, y canalizan el acceso a conjuntos de recursos más grandes (respecto a los proveedores tradicionales de alojamiento), por lo que plantean un riesgo mayor, especialmente cuando son combinados con el acceso remoto y las vulnerabilidades del navegador de web.

Protección de datos

La computación en nube plantea varios riesgos relativos a la protección de datos tanto para clientes en nube como para proveedores en nube. En algunos casos, puede resultar difícil para el cliente en nube (en su función de controlador de datos) comprobar de manera eficaz las prácticas de gestión de datos del proveedor en nube, y en consecuencia, tener la certeza de que los datos son gestionados de conformidad con la ley. Este problema se ve exacerbado en los casos de transferencias múltiples de datos, por ejemplo, entre nubes federadas. Por otra parte, algunos proveedores en nube sí proporcionan información sobre sus prácticas de gestión de datos. Otros también ofrecen resúmenes de certificación sobre sus actividades de procesamiento y seguridad de datos y los controles de datos a que se someten.

Supresión de datos insegura o incompleta

Cuando se realiza una solicitud para suprimir un recurso en nube, al igual que sucede con la mayoría de sistemas operativos, en ocasiones el proceso no elimina definitivamente los datos. En ocasiones, la supresión adecuada o puntual de los datos también resulta imposible (o no deseable, desde la perspectiva del cliente), bien porque existen copias adicionales de datos almacenadas pero no disponibles o porque el disco que va a ser destruido también incluye datos de otros clientes. La multi prestación y la reutilización de recursos de hardware representan un riesgo mayor para el cliente que la opción del hardware dedicado.

Miembro malicioso

Aunque no suelen producirse habitualmente, los daños causados por miembros maliciosos son, con frecuencia, mucho más perjudiciales. Las arquitecturas en nube necesitan ciertas funciones cuyo perfil de riesgo es muy elevado. Algunos ejemplos son los administradores de sistemas de proveedores en nube y los proveedores de servicios de seguridad gestionada.

Síntesis

Los riesgos enumerados anteriormente no siguen un orden de criticidad concreto, sino que simplemente constituyen 9 de los riesgos más importantes de la computación en nube identificados durante la evaluación. Los riesgos del uso de la computación en nube deben ser comparados con los riesgos derivados de mantener las soluciones tradicionales, como los modelos “in house”.

Adviértase que a menudo es posible, y en algunos casos recomendable, que el cliente en nube transfiera el riesgo al proveedor en nube; sin embargo, no todos los riesgos pueden ser transferidos. Si un riesgo provoca el fracaso de un negocio, perjuicios graves al renombre del mismo o consecuencias legales, es muy difícil, y en ocasiones, imposible, que un tercero compense estos daños. En última instancia, puede subcontratar la responsabilidad, pero no puede subcontratar la obligación de rendir cuentas.

Fuente: ENISA-Cloud Security Guide for SMEs.
Traducido y adaptado por la división consultoría de EvaluandoCloud.com

 

¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores