domingo, 25 de octubre de 2009

Inseguridad en la Nube: Retos y riesgos

En el documento elaborado por la Cloud Security Alliance - CSA (http://www.cloudsecurityalliance.org/guidance/csaguide.pdf) se establecen una serie de características y variables a tener en cuenta cuando se trata de aplicar una estrategia de computación en la nube, de tal manera que le permita a los analistas de riesgos revisar cada uno de ellos y evaluar en el contexto de cada organización lo pertinente para decidirse o no con una estrategia de computación en la nube.

El documento establece quince (15) dominios de acción para considerar los aspectos de seguridad de la computación en la nube:

• Marco arquitectónico de la computación en la nube
• Gobierno y administración de riesgos empresariales
• Consideraciones legales
• Descubrimiento electrónico (electronic discovery)
• Cumplimiento y auditoría
• Administración del ciclo de vida de la información
• Portabilidad e interoperabilidad
• Seguridad tradicional, continuidad de negocio y recuperación ante desastres
• Operaciones de centros de cómputo
• Respuesta a incidentes, notificación y remediación
• Seguridad en aplicaciones
• Cifrado y administración de llaves
• Administración de la identidad y el acceso
• Almacenamiento
• Virtualización


A continuación una breve explicación del alcance de cada una de las categorías establecidas en el documento de la CSA.

Marco Arquitectónico de la Computación en la Nube
Es este domino se establecen las definiciones propias de la computación en la nube, que define este paradigma de servicios computacionales como una colección distribuida de servicios, aplicaciones, información e infraestructura compuesta de múltiples recursos de tecnología de información como redes, información, servidores y recursos de almacenamiento, los cuales son orquestados, aprovisionados, implementados y configurados utilizando un modelo de demanda, basado en la localización de los recursos y las tasas de consumo de éstos.

Gobierno y Administración de Riesgos Empresariales
Dado que en el contexto de la computación en la nube la participación de un tercero es factor fundamental de la estrategia, la gestión de riesgos requerida para este caso solicita un análisis cuidadoso de la debida diligencia del proveedor, los acuerdos de nivel de servicio que se requieren, las consideraciones legales de propiedad de los datos, la jurisdicción aplicable, los aspectos de continuidad de negocio, resolución de conflictos, entre otros temas que ofrezcan a la organización que esté pensando en esta opción, valorar con claridad los riesgos claves de esta opción.

Consideraciones Legales
En este aspecto las organizaciones deben estar atentas para revisar entre otros aspectos las obligaciones de cumplimiento regulatorio propias de la organización (como de otros países) y cómo esta son asumidas por el proveedor de servicios en la nube; analizar las implicaciones de la localización de los datos, los elementos de protección de la privacidad de los datos de clientes y empleados de la empresa, los usos secundarios de la información almacenada en la infraestructura del proveedor, el manejo de las brechas de seguridad que se presenten, el aseguramiento de los planes de continuidad de negocio, la respuesta a los posibles litigios donde se solicite información corporativa disponible en la nube, los elementos del monitoreo de los servicios contratados en la nube y los elementos concretos de terminación del contrato con el proveedor.

Descubrimiento Electrónico
Este elemento llama la atención de mantener unas buenas prácticas de seguridad de la información por parte del proveedor de servicios, de tal forma que la evidencia informática o electrónica materializada en los registros de la operación de la empresa sea auténtica y confiable como evidencia. Esto implica que el cliente deberá asegurar en los acuerdos de nivel de servicio, la custodia y control de la información de la empresa alineada con los estándares de autenticidad y confiabilidad requeridos por su cliente y propios del contexto legal de su empresa y país.

Cumplimiento y Auditoría
Si bien no es evidente asegurar aspectos de cumplimiento y revisión por parte de terceros en la nube, ciertamente es posible adelantar un programa de evaluación que mantenga un monitoreo y revisión de las consideraciones de seguridad y control requeridas frente a las buenas prácticas y el marco normativo vigente. Para ello, se sugiere a nivel contractual, dejar la posibilidad abierta para que la empresa contratante pueda adelantar ejercicios de auditoría o verificación que considere convenientes.

Administración del Ciclo de Vida de la Información
Adicional a los pasos naturales del ciclo de vida de la información: creación, clasificación, transporte, almacenamiento, recuperación y disposición, en la estrategia de computación en la nube se deben considerar aspectos como:
• El nivel de controles lógicos y físicos que deben estar diseñados en el sitio de almacenamiento
• La validación de la integridad de los datos que soportan la información
• La identificación y control de acceso del persona a los datos
• Los términos del servicio relacionados con el control y revelación de información sensible
• Los requisitos de privacidad
• Los elementos de recuperación y respaldo
• Los tiempos de retención de los datos y su destrucción posterior
• La respuesta a solicitudes de información por parte de terceros autorizados
• El tránsito o transmisión de información entre países
• La validez y continuidad del proveedor de servicios en la nube

Portabilidad e Interoperabilidad
Esta variable nos habla sobre la calidad del proveedor de servicios en la nube, de la capacidad de manejo de sus recursos computacionales y la migración interna de ambientes o nubes que éste tenga configuradas al interior de su arquitectura de tecnologías de información. Así mismo, nos exige revisar los temas de recuperación ante desastres y capacidad de restauración del servicio de acuerdo con los niveles de servicio previstos.

Seguridad Tradicional, Continuidad de Negocio y Recuperación Ante Desastres
El reto en esta sección es identificar las interdependencias de la infraestructura que conforma la nube, cómo se integra y soporta de manera dinámica y de acuerdo con la demanda. Aún cuando los servicios en la nube requieren de elementos de seguridad tradicional y el cumplimiento de sus fundamentos (confidencialidad, integridad, disponibilidad, no repudio, autenticación, autorización y auditabilidad), los conceptos de continuidad de negocio y recuperación ante desastres son requerimiento fundamentales de la protección de los servicios.

Operaciones de Centros de Cómputo
Los clientes de proveedores en la nube, deben con frecuencia validar el nivel de maestría de éste en el soporte de sus servicios. Esto es someterlo a evaluaciones periódicas de la gestión del servicio prestado, la presencia de ambientes pilotos de pruebas para soportar cambios y nuevos productos, validación de la segregación de funciones y ambientes para cada uno de los clientes del proveedor, el nivel de la administración de parches de la infraestructura, así como el nivel de las evaluaciones efectuadas por terceros a la gestión de sus servicios.

Respuesta a Incidentes, Notificación y Remediación
Este aspecto exige de los proveedores de la nube la responsabilidad de la identificación y notificación del incidente, con la opción preferente de remediación de un acceso no autorizado a los datos generados por una aplicación. En este sentido, el análisis del incidente puede adquirir un significado y acciones diferentes dependiendo de los requerimientos de ubicación del usuario de la aplicación. Por lo tanto, la atención de incidentes, si bien podrá seguir lo establecido por los discursos metodológicos existentes al respecto, deberá tener en cuenta el contexto del país donde se materializa o se ubica el usuario.

Seguridad en Aplicaciones
En este punto decisiones como dónde deben ser desarrolladas o ejecutadas las aplicaciones son las que se deben tomar, dado el modelo de entrega de las mismas en una plataforma particular. Adicionalmente, se debe dar respuesta a preguntas como:
• ¿Qué controles deben tener las aplicaciones tanto dentro de su diseño, como en la nube?
•¿Qué tanto debe cambiar el modelo de desarrollo de software para acomodarse a la computación en la nube?

Cifrado y Administración de Llaves
De acuerdo con el autor del documento en el concepto de computación en la nube no es clara la definición de perímetro de seguridad, dado que los componentes y sus localizaciones varían según la demanda. En este contexto y de acuerdo con lo establecido por la CSA, la única vía para asegurar los recursos de computación son un cifrado fuerte y una administración escalable de llaves.

Si bien los autores hablan del cifrado como la única vía para el aseguramiento en la nube, esta decisión implica elementos de gestión y control propios de la infraestructura que deben ser manejados y administrados por los clientes, los cuales son los que mantienen el control sobre sus datos en la infraestructura de la nube. En este escenario, los diseños y aplicación de los servicios deben estar articulados con esta directriz de confidencialidad de la información.

Administración de la Identidad y el Acceso
Esta variable de análisis nos invita a revisar los temas de la identidad de los usuarios en el consumo de los servicios de una infraestructura. Si bien, a la fecha no existe un ambiente maduro que evidencie la preparación de las organizaciones para la administración de la identidad, se hace necesario revisar en el contexto de los proveedores en la nube, el grado de madurez de esta estrategia, de cara a una futura implementación de la misma, como parte interesada y participante de la identidad de los usuarios en ella.

Almacenamiento
En este segmento del documento las preguntas que el cliente de los servicios en la nube se hace son:
• ¿Cómo el proveedor asegura que sus datos sean confiables y estén disponibles de acuerdo con sus necesidades de negocio?
• ¿Está usted y sus clientes confiados en la promesa de que toda su información privada y confidencial permanece como tal y debidamente protegida?
• ¿Están sus datos almacenados de manera confiable y debidamente segregados de otros residentes en la misma granja de almacenamiento?

Virtualización
Este componente es una de las variables fundamentales al considerar la estrategia de computación en la nube. Dentro del conjunto de riesgos a revisar en este aspecto se encuentran:
• Nuevas tecnologías, que mantienen antiguas vulnerabilidades y el surgimiento de otras. Esto implica que a mayor complejidad de la configuración del entorno de operación, menores y poco homogéneos aspectos de seguridad y control.
• Pérdida de la seguridad por defecto, es decir, que al cambiar un entorno previamente configurado, se requiere una nueva configuración de las condiciones de seguridad tanto en el hardware como en el software utilizado.
• Mezcla de retos alrededor de la integridad, que implica la mixtura de datos y niveles de confidencialidad. El tratamiento de la reconfiguración de entornos, implica un manejo de información que puede no ser la más adecuada.
• Aspectos de jurisdicción, regulatorios y de control, tema que ha sido tratado en otros apartes del documento de la CSA.
• Nuevos retos administrativos que impactan la seguridad, esto es, la configuración de las máquinas y sus recursos, requiere un nivel de seguridad y control adicional al propio de las aplicaciones que se ejecutarán en ellas. La seguridad de la virtualización en sí misma, es una característica necesaria dentro de la administración de ambientes computacionales en esta condición.

Por tanto, antes de considerar una estrategia de computación en la nube, revise las implicaciones que establece esta opción y recuerde que, será un tercero quién ahora participará del control de sus datos y aplicaciones. La decisión es suya!

1 comentario: