Análisis forense digital en la nube: El reto de la inseguridad en un ecosistema tecnológico

Estamos asistiendo a una nueva década dominada por las redes sociales, la computación móvil y la computación en la nube. Esta nueva condición de la sociedad digital, ubica a la información como uno de los elementos más sensible y más apetecidos por todos los participantes de esta realidad interconectada. Nada más cierto que el empoderamiento evidente de jóvenes y niños, que exigen de las redes mayor velocidad, mayor conectividad y renovados contenidos. Así las cosas, la información en movimiento, como la vida misma, es un reto que demanda de los mejores analistas de seguridad de la información, propuestas innovadoras para comprender ahora que significa “estar seguros” en un ambiente de cambio permanente, altamente impredecible, inalámbrico y de operación 7x24x365.

Entender la realidad actual de servicios y conexiones “sin cables”, es actualizar la reflexión de los retos asociados con los elementos materiales probatorios informáticos, medianamente conocidos y asegurados en un contexto cableado. Si encontrar o identificar a posibles atacantes en infraestructuras de configuraciones y flujos de información conocidos, ha sido un reto evidente durante los últimos 10 años, sumergirse en el desafío forense a través de las redes sociales, en medios inalámbricos y administrados por un tercero en la nube, describe una nueva disciplina y nuevos campos de investigación que exigen repensar la informática forense o computación forense en nuevo nivel, con una vista más sistémica, para establecer elementos sistemáticos que permitan avanzar en nuevos procedimientos estandarizados.

En un primer momento, conociendo esta realidad actual, se tiene la tentación de aplicar los procedimientos conocidos y generalmente utilizados para abordar el reto forense a través del trinomio: red social, móviles y la nube, pues al estar cada uno de ellos articulados y fundados en plataformas tecnológicas, suena coherente desarrollar los aseguramientos de evidencia, siguiendo los protocolos establecidos asociados con datos volátiles y no volátiles. Adicionalmente, poder seguir los rastros en cada uno de estos mundos, no debería ser diferente de lo que actualmente se efectúa cuando de investigaciones informáticas se trata.

Pero la realidad del análisis y reto de las investigaciones forenses en este renovado contexto abierto, de flujo de información permanente y ubicua genera más incertidumbres que certezas, más preguntas que respuestas y más imprecisiones que claridades. Mientras la esencia misma de la computación forense es establecer hechos y datos propios de la realidad que se investiga, una revisión de los diferentes actores de este nuevo escenario, nos propone diferentes perspectivas que confrontan los fundamentos de los procedimientos generalmente aceptados para avanzar en el aseguramiento de evidencias en un proceso forense digital.

En esta primera revisión del tema forense en el contexto actual, trataremos de analizar cada uno de los participantes y aquellos elementos críticos que hacen exigente una validación forense digital en medios sociales, apalancados en tecnologías móviles y convenientemente ubicadas en la nube.

Iniciemos con el usuario, con las personas, que cada vez más se advierte una alta dependencia de las redes sociales y consumo de contenidos y servicios en la web. Con el paso del tiempo los hábitos de las personas, particularmente de los niños y los jóvenes han venido migrando de una necesidad natural de interacción cara a cara, a una mediada por la tecnología, con información instantánea y técnicamente de acceso ágil y prácticamente ilimitado. Esto si bien es una gran ventaja para mantenerse actualizado y en movimiento, estamos debilitando la natural exigencia de explorar y revelar nuevas preguntas que forjen los nuevos investigadores del futuro, con hambre de logro, más allá de un click que hable de lo que “hay disponible”. Pero esta es una reflexión que está fuera del alcance de este análisis.

Desde el punto de vista forense, el caminar por las redes sociales es descubrir un perfil de la persona, sus hábitos para compartir información, sus patrones de conexión, las aplicaciones extra que utiliza y los amigos con los cuales más comparte. De igual forma, es detallar sus habilidades para configurar su interacción, los cuidados para aceptar a nuevos amigos y las particularidades de su personalidad que se describen en cada uno de sus publicaciones.

Analizar a un individuo en una red social, es ir más allá de cuál de ellas utiliza, es entender la interacción que existe entre el navegador y el sitio mismo, sabiendo que éste último está en un ecosistema tecnológico, con dependencias identificadas, bien para los servicios ofrecidos para sus usuarios, como para la infraestructura que los soporta. Así las cosas, una vista de la problemática estará en la forma como los terceros que intervienen han sabido estructurar la interacción de sus aplicaciones para ofrecer lo prometido y otra, la forma como la tercera parte mantiene y asegura los servidores y equipos de cómputo sobre los cuales se ejecutan los programas.

Como quiera que entender estas interacciones demanda una comprensión de un ecosistema que se articula en una malla de relaciones técnicas y de información, incorporar a este escenario, los conceptos de movilidad definen una realidad ampliada, que no es posible comprender sólo desde los elementos naturales de las redes inalámbricas y sus servicios, pues éstas representan sólo un medio adicional que se suma a las interacciones del ecosistema tecnológico que tenemos en la actualidad.

Así las cosas, las investigaciones forenses que conjugan las redes sociales y dispositivos móviles, superan las consideraciones actuales que los investigadores puedan tener, para recabar la información requerida con la profundidad necesaria, y así entender, el cúmulo de relaciones y puntos de contacto que son necesarios para encontrar patrones y respuestas a preguntas que se pueden hacer en una operación sin cables y altamente social digital.

Conjugar estas dos tendencias exige de parte del investigador forense reconocer que su entrenamiento actual se queda corto para asistir a la justicia en la persecución de las nuevas y silenciosas tácticas que la delincuencia viene utilizando a través de las redes sociales y los medios inalámbricos. Mientras los “chicos malos” avanzan diariamente en la búsqueda de nuevas opciones y oportunidades para continuar con su imperio del engaño y defraudación, apoyado bien en nuestras malas prácticas, fallas tecnológicas o de las aplicaciones, poco hacemos nosotros el mismo ejercicio de manera sistemática y formal para asegurar lo requerido en las personas, procesos y tecnología.

No contentos con lo anterior, ahora sumamos a la ecuación, por cierto, desde el punto de vista económico y estratégico, claramente positiva y rentable, la realidad de una relación más dependiente y más flexible de articulación de servicios de infraestructura, plataforma y de aplicaciones, lo que se denomina en el mundo tecnológico computación en la nube.

La computación en la nube es el eslabón “que hacía falta” para contar con la facilidad de almacenamiento prácticamente infinito, disponibilidad permanente y movilidad sin restricciones. La nube se convierte en el nuevo paradigma que “hace transparente” la relación entre los usuarios y los proveedores, la promesa de valor de pagar por lo que se usa, de agilidad para contar con lo que se quiere y desplegar los servicios de acuerdo con el cambio de las tendencias del mercado.

Así las cosas, se completa el cuadro de la complejidad que debe atender el nuevo observador forense digital, que consiste en entender primero las relaciones entre el usuario y su red social, luego la red social y los medios inalámbricos y finalmente los servicios tercerizados y sus accesos desde los medios móviles así como las consideraciones de interacción de los usuarios.

Como podemos ver, adelantar una investigación forense en una realidad como la que hemos analizado no es una extensión de lo que conocemos hoy en forensia digital. Es elevar nuestra reflexión general del análisis de datos que soportan los informes técnicos, por un ejercicio de desdoblamiento de la complejidad entendiendo a los actores comprometidos y sus relaciones en una escena virtual que tiene sentido en un escenario real.

De acuerdo con lo anterior, dejamos planteados los elementos base de una revisión de la computación forense en un ecosistema tecnológico, que demanda una estrategia de análisis y entendimiento renovado para retar y confrontar los modelos conceptuales conocidos para adelantar investigaciones forenses en informática.

Referencias

RUAN, K. (2010) Cloud forensics: Challenges and opportunities. Centre for cybercrime investigation. University College Dublin. Disponible en: http://confluence.jetbrains.net/download/attachments/36015346/Cloud+Forensics+-+Challenges+and+Opportunities.pdf (Consultado: 17-07-2011)

WRIGHT, B. (2010) Digital forensics and social media. Disponible en: http://computer-forensics.sans.org/blog/2010/04/20/digital-social-media/ (Consultado: 17-07-2011)

TRIMINTZIOS, P., HALL, C., CLAYTON, R., ANDERSON, R. y OUZOUNIS, E. (2011) Resilience of the Internet Interconnection Ecosystem. Disponible en: http://www.enisa.europa.eu/act/res/other-areas/inter-x/report/interx-report (Consultado: 17-07-2011)

ISACA international Conference 2010 - El lenguaje de los riesgos de TI

La Information System Audit and Control Association – ISACA es una organización sin ánimo de lucro que es decana de las asociaciones en lo referente a los temas de seguridad y control en tecnologías de información. Dentro de sus múltiples actividades, anualmente organiza un evento de alcance global para reconocer los temas emergentes y retos que los profesionales en tecnologías de información, auditores y entes de aseguramiento y control, así como todos aquellos interesados en los desarrollos tecnológicos, deben advertir de cara a los cambios y tendencias que se presentan en el hacer organizacional y en los avances de la ciencia y la tecnología.

En el 2010 la conferencia internacional desarrollada en Cancún, México, deja ver claramente que las tendencias asociadas con la computación en la nube, la administración de riesgos de tecnologías de información, la generación de valor con tecnologías de información y los temas de continuidad de negocio son los elementos que marcan y marcarán la práctica de las organizaciones que asumen el reto de caminar en la nueva década del nuevo milenio.

La computación en la nube, ya no es más una tendencia, sino una realidad que empieza a desarrollarse en las empresas. Muchas de las presentaciones, incluso se estableció una pista completa para tratar el tema, se mostraron como aplicaciones prácticas del concepto, ilustrando con ejemplos y casos, la forma como se viene desplegando el concepto en países como Australia y Estados Unidos, donde se encuentran muchos de los proveedores de este servicio.

Así mismo, esta realidad hace evidente un riesgo sistémico de falla, dado que en un ecosistema interrelacionado de empresas que proveen servicios en la nube, existe una interdependencia que hace que una falla en una parte de la malla de proveedores, repercuta en el servicio de una u otra empresa. Así las cosas, esta advertencia, hacen más elaborada las reflexiones que sobre el particular se vienen haciendo para darle vida con seguridad y control al reto de los servicios en la nube.

Por otro lado la administración de los riesgos en tecnología de información, asociado con el marco general de Risk IT, establece una serie de elementos de consideración, que permiten al profesional de TI, advertir las amenazas relevantes a la generación de valor de las TIC’s en la organización, no sólo desde la perspectiva tecnológica, sino desde la visión integral de personas, tecnología y procesos. Risk IT es una herramienta estratégica y táctica que permite un gobierno eficiente y efectivo de los riesgos de tecnología en las organizaciones, para lo cual establece tres dominios de conocimiento fundamentales: gobierno de los riesgos, evaluación de los riesgos y respuesta a los riesgos.



Tomado de: ISACA. http://www.isaca.org/Knowledge-Center/PublishingImages/Risk-IT-VAL-IT-Full.jpg

La administración de los riesgos de TI, establece una práctica fundamental en los objetivos de negocio, dada la alta dependencia de la tecnología de las organizaciones modernas. Así las cosas, un marco de referencia como Risk IT, define una ruta a seguir, una forma estructural de identificar el valor y la comunicación del mismo, integrada al portafolio de iniciativas del área de tecnología, como una forma de identificar y valorar el apetito y tolerancia al riesgo de la organización sobre los temas de TI.

De igual forma, los nuevos avances en el tema de Cobit 5.0, que integra los diferentes esfuerzos de buenas prácticas que viene desarrollando ISACA tanto en el tema de riesgos, como en el de seguridad la información (Business Information Security Model), así como en el tema regulatorio y de cumplimiento, hacen parte de un giro estratégico que la asociación y su práctica internacional materializada en sus más de 40000 miembros, ha identificado. La información se convierte en el centro de la gestión misma del área de tecnología. Mientras las tecnologías de información detallan los medios para el uso de la información, la información en sí misma es la razón de ser del área de tecnología.

El valor que percibe la organización del área de TI, se refleja más en el uso mismo de la información. Es decir, en los comportamientos y valores que los individuos identifican y practican frente al procesamiento de los datos, más que en el despliegue de herramientas tecnológicas. En este contexto, el Cobit 5.0 presenta el Information Reference Model, que centra la atención de cada uno de los profesionales de TI en la riqueza misma de la información y sus diferentes relaciones de negocio y de éstos con sus clientes.

Finalmente y no menos importante, los se detallaron aspectos asociados con la continuidad del negocio donde la tecnología funge como el apalancador táctico y estratégico para que las consideraciones de las buenas prácticas revisadas se hagan realidad. De nada sirve contar con un reconocimiento del valor estratégico de la información en la organización, si el soporte de las herramientas mismas, no hace parte de la visión general del gobierno de las tecnologías de información. En este escenario, la continuidad del negocio no puede ser confundida como un seguro técnico que se compra e implementa en la infraestructura técnica de la organización, sino como un proceso estratégico y táctico que incorpora en el marco general de riesgos de TI, la manera real y práctica como la organización responde a una falla parcial o total de los equipos de computación que soportan la operación.

Las charlas asociadas con continuidad de negocio, muestran con claridad mitos y realidades que muchas veces se ignoran frente a este reto organizacional, donde la tecnología, al igual que otros elementos como las evacuaciones, pandemias, emergencias, entre otros, hacen parte de la sintonía requerida por la organización para sobrevivir a un evento bien sea fortuito, intencional o no.

Si bien el evento revisa múltiples perspectivas en los temas previamente desarrollados, es importante anotar que en la vista conjunta tanto de latinoamericanos como europeos, así como de asiáticos y americanos, el lenguaje de los riesgos hace confluir las miradas y los análisis, lo cual genera una dinámica generosa y particular que permite asistir a una conversación internacional sobre una realidad local y propia de cada empresa.

ISACA Internacional Conference 2010, es una experiencia que motiva la imaginación y el entendimiento de una realidad heterogénea y muchas veces ambigua, que sólo en una construcción colectiva de saberes es posible avizorar un modelo parcial de la realidad de la seguridad y el control en el uso de las tecnologías de información a nivel global

Inseguridad Informática: Lecciones aprendidas y Exploración del futuro

Revisar la historia reciente (últimos 10 años) de la seguridad de la información es enfrentarse a un mundo interesante de inesperados cambios y giros no previstos, materializados en la inevitabilidad de la falla, en actuaciones temerarias y situaciones límite de los usuarios.

La creatividad de los atacantes, las singularidades de los usuarios y la materialización de malas prácticas, establecen un caldo de cultivo lo suficientemente atractivo para que la semilla de los incidentes germine rápidamente y con frutos inesperados. Durante los últimos 10 años, las fallas propias relacionadas con las aplicaciones, el estudio detallado de funciones de los lenguajes de programación, los casos de mal uso y abuso del software, así como el creciente uso de las comunicaciones han marcado la historia de la seguridad de la información.

Desde el año 2000 en adelante los ataques de denegación de servicio han sido uno de los retos más importantes para los investigadores e infraestructuras de las organizaciones, así como las frecuentes fallas o vulnerabilidades propias de las aplicaciones en el web y la mutación permanente del código malicioso disponible en muchos sitios web y redes sociales.

Las enseñanzas de la inseguridad de los últimos 10 años podríamos resumirlas en una exigente necesidad de interconexión permanente, acceso a la información de forma ágil e instantánea y sobremanera, interacción permanente y sin restricciones. En este contexto, la vida en internet se ha volcado en un continuo compartir de unos con otros, en una apertura total y completa por encontrarse en un espacio común y descubrir nuevas posibilidades para construir negocios y relaciones de corto y largo plazo.

Así las cosas, nosotros los navegantes en internet hemos privilegiado las funcionalidades y posibilidades de la red, ignorando los riesgos y advertencias sobre el manejo, uso y transmisión tanto de nuestros datos como de la información. Hemos vivido un espejismo de confianza creado por la interacción y facilidad de las conexiones, olvidando la recomendación básica de mamá como es “no hables con extraños”.

Durante estos primeros diez años del nuevo milenio, las lecciones aprendidas en la protección de la información nos dicen, que si bien no hemos ganado la guerra, si hemos librado batallas que nos enseñan cómo se mueve nuestro enemigo, de qué se aprovecha con frecuencia y cómo se mimetiza en los procesos empresariales. Conocer la inseguridad de la información, debe ser una forma para avanzar en el aseguramiento de las soluciones de información, una forma de cuestionar nuestros diseños y una exigencia para definir estrategias de sensibilización e interiorización ajustadas a la realidad empresarial.

En este sentido y considerando lo anterior, la pregunta natural es ¿qué pasará en los próximos 10 años? ¿a qué nos enfrentaremos? ¿Qué nuevas variantes y sorpresas nos traerá la inseguridad? Para tratar de responder estas inquietudes muchos estudios han delineado horizontes de temas específicos que podrían generar importantes efectos en la dinámica de los negocios en el futuro. Dentro de las tendencias identificadas tenemos las siguientes:

1. Computación en la nube
2. Computación ubicua y móvil
3. Computación verde
4. Seguridad de 360 grados
5. Redes sociales y second life
6. Tercerización de la infraestructura
7. Monitoreo activo de la seguridad
8. Perímetros porosos y extendidos
9. Desobediencia del factor humano
10. Ciberguerra

Esta lista de temas nos debe poner a pensar en las diversas manifestaciones que están por venir, frente a la protección de la información en un escenario como el precedente; donde nada parece ser lo que es, las personas estarán aún con mayores posibilidades de acción y reacción, los terceros tendrán mayores responsabilidades frente a la información y la seguridad querrá estar en todas partes y en cada momento, lo que en últimas plantea el reto de la privacidad frente a la necesidad de aseguramiento.

Los recientes aires de guerra en internet, ciberataques confirmados por naciones y una creciente de demanda de servicios de almacenamiento de contenidos como videos, audio y datos, nos hacen pensar que una nueva ola de inseguridad está por venir, que si bien no es una llamado a un estado de paranoia en la red, si es una llamado a la vigilancia y aseguramiento de nuestra información: un mínimo de paranoia bien administrada.

Muchos piensan que Google es el “gran hermano”, que nuestros movimientos están siendo monitoreados y registrados, que nuestra vida se traducen en accesos e información disponible en la red y puede que eso sea verdad en algún momento, pero lo que no podemos dejar de advertir, es cómo elevar nuestro espíritu creativo para hacer de nuestras prácticas de seguridad, la mejor línea de defensa frente a los desafíos de la inseguridad.

Referencias consultadas:
2010 IT Skills Hot list – http://www.footepartners.com/2010%20Predictions_FootePartners_121009.pdf
IT spending on services 2010 - http://www.cioupdate.com/budgets/article.php/3848481/IT-Spending-for-Services-a-Mixed-Bag-in-2010.htm
2010 State of the CIO Survey - http://www.cio.com/article/511240/2010_State_of_the_CIO_Today_s_Focus_for_IT_Departments_Business_Opportunities_
IDC Predictions 2010: Recovery and transformation – http://cdn.idc.com/research/predictions10/downloads/Top10Predictions.pdf
Top 10 Strategic Technologies for 2010 - http://www.pcworld.com/businesscenter/article/182801/top_10_strategic_technologies_for_2010.html
Top 10 Hot Technology Trends for 2010 - http://vartips.com/carriers/verizon-business/top-10-hot-technology-trends-for-2010-760.html

Inseguridad de la información en 2010

Cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y disímil, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

Considerando lo anterior y con la alta probabilidad de andar por sendas poco conocidas, trataremos de hacer una visión hacia adelante sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales de los eventos que se han manifestado hasta el momento y prometen seguir en el 2010.

A continuación cinco predicciones de lo que puede pasar durante 2010 en temas de inseguridad de la información.

1. Tormentas en la nube

Nuestra huella digital (datos que nosotros mismos generamos en sitios web, redes sociales, blogs, entre otros) (IDC REPORT 2008) cada vez es más amplia y visible. Ahora en un contexto de computación en la nube, donde tenemos una visión distribuida y de multiservidores virtualizados, es posible tener una sombra digital (información sobre nosotros) cada vez más extendida, difusa y muchas veces distorsionada, que impacte directamente los temas de seguridad y privacidad tanto de los datos como de la información.

Ante esta realidad, que de acuerdo con un estudio reciente de IDC, se espera que la inversión en este tipo de servicios crezca un 27% para 2012, es decir una inversión de 42 billones de dólares, (MATHER, T., KUMARASWANY, S. y LATIF, S. 2009, pág.10) es evidente que iniciativas como la de la Cloud Security Alliance animen las reflexiones y discusiones de las diferentes implicaciones de este tipo de tendencias que pone de manifiesto una computación basada en servicios de infraestructura, plataforma y aplicaciones.

2. Inseguridad móvil: equipos, datos e información

La realidad de los dispositivos móviles es contundente. Las cifras manejadas por Canalys (2009) sobre el mercado de teléfonos inteligentes donde se muestra un crecimiento de 4% año con año de estos dispositivos, llegando a una cifra de 41.4 millones de unidades en el tercer cuarto de 2009, así como el despacho de estas unidades con servicios integrados como GPS y WI-FI, nos muestran que habrá mayores elementos que analizar y proteger en la computación móvil.

Esta tendencia sumada al hecho que no se cuentan con adecuadas medidas de aseguramiento y control en este tipo de dispositivos (MAISTO 2009), nos abre un panorama bastante inestable y exigente para mantener el nuevo perímetro extendido de las organizaciones. Adicionalmente, la tendencia creciente del uso de memorias o dispositivos USB (más de 860 millones de unidades despachadas en 2007, considerando un crecimiento de 15% para 2010 según estudio reciente de Gartner – JUNGO 2009), se mantiene y extiende la alerta de fuga y pérdida de información en las organizaciones, lo que implica un ejercicio estratégico de los responsables de la seguridad de la información por incorporar prácticas de aseguramiento de información adecuadas con los flujos de información de negocio.

3. Cultura de la inseguridad: Desobediencia del factor humano

Considerando las reflexiones efectuadas por Furnell y Thomson (2009) en su documento de febrero de 2009 sobre la desobediencia de los usuarios para aceptar las medidas de seguridad de la información, es claro que las estrategias de sensibilización e interiorización de la seguridad, sigue siendo un reto importante para las áreas de seguridad de la información.

Mientras la seguridad de la información siga siendo un elemento externo la cultura de la organización, que no se contemple como parte fundamental de los procesos de negocio, basado en los flujos de información articulados en las soluciones de tecnología y adicionalmente, se advierta como “algo” que hay que cumplir por regulación o mandato normativo, las iniciativas de seguridad de la información serán objeto de apatía, desobediencia y resistencia. En este contexto, se genera un campo abonado para que la inseguridad riegue con serenidad sus nuevas semillas, esperando sin mayores contratiempos que nuevas manifestaciones hagan su aparición tanto en la tecnología, como en los procesos y las personas.

4. Nuevos retos, nuevas habilidades: Ciberseguridad, forensia y administración de riesgos

Ante una realidad de tecnologías de información y comunicaciones basadas en temas como computación en la nube, tecnologías convergentes, movilidad, perímetros porosos y plagas informáticas extendidas (redes sociales y teléfonos inteligentes), se requiere que los profesionales de la seguridad de la información desarrollen nuevas habilidades (GUPTA 2009, FIELD 2009) que permitan enfrentar esta realidad y apalancar las mismas en una cultura de seguridad de la información que genere una “barrera” importante para los atacantes y sus pretensiones.

La administración de riesgos, ya no es un ejercicio corporativo o específico efectuado para validar un contexto específico de un tema, tecnología o proceso, sino una competencia organizacional de cada uno de los individuos, que permita mantener un nivel de riesgos conocido, basado en prácticas confiables de administración de activos de información. De manera complementaria, dichas prácticas confiables, deberán estar como valores en uso (en todos los individuos de la organización) que muestren una relación adecuada con los servicios expuestos en internet y la información que se comparten allí.

Finalmente y no menos importante, cuando se materializa una falla de seguridad o peor aún, se hace evidente un fraude, se requiere que este profesional cuente con las habilidades requeridas para identificar, recoger, analizar y presentar los elementos materiales probatorios que sustenten las pruebas requeridas ante procesos jurídicos que se deriven de la atención de incidentes o actos ilegales. (CANO 2009) Esto no es otra cosa, que se cuente con destrezas propias de la computación forense que permitan avanzar rápidamente en la contención y análisis de lo ocurrido.

5. Las bases de datos: “la joyas de la corona en jaque”

El almacenamiento de los datos e información siempre es materia de análisis y revisiones en las organizaciones del siglo XXI. Un reciente estudio de ESG Research (ESG RESEARCH 2009), sobre las bases de datos, nos muestra que un alto porcentaje de ellas dependen de procesos manuales y que no cuentan con apropiadas medidas de seguridad, de acuerdo con la información, generalmente catalogada como confidencial, que permanece en ellas.

Así las cosas, la fuente principal, el insumo básico para el funcionamiento de las organizaciones y sus procesos de toma de decisiones, se encuentra en una ruta de malas prácticas y procesos poco automáticos que hacen encender las alarmas de los responsables de la seguridad de la información, para iniciar un proceso de aseguramiento que permita ajustar un paso más en su estrategia metodológica de defensa en profundidad.

Si bien esta tendencia en las bases de datos no es nueva, a lo que si apunta esta predicción, es a advertir que no es posible seguir aplazando este proceso de aseguramiento, de integración con las características de seguridad de las aplicaciones y por qué, no parte inherente y fundamental de la arquitectura de tecnología de información y comunicaciones de las compañías.

Referencias

CANALYS (2009) Smart phone market shows modest growth in Q3. Disponible en: http://www.canalys.com/pr/2009/r2009112.htm (Consultado: 13-Dic-2009)

ESG RESEARCH (2009) Frightening database security realities. Disponible en: http://www.guardium.com/assets/PDF/Databases_at_Risk_An_ESG_Research_Brief_Compliments_of_Guardium_2009-_09.pdf (Consultado: 12-Dic-2009)

GUPTA, U. (2009) The future of Information Security Profession. Disponible en: http://www.bankinfosecurity.com/articles.php?art_id=1997&opg=1 (Consultado: 13-Dic-2009)

FIELD, T. (2009) Core security skills: What’s required in 2010? Disponible en: http://www.bankinfosecurity.com/articles.php?art_id=1976&opg=1 (Consultado: 13-Dic-2009)

JUNGO (2009) USB Market Overview. Disponible en: http://www.jungo.com/st/usb_market.html (Consultado: 13-Dic-2009)

MAISTO, M. (2009) Enterprise cell phone security is lacking, say report. Disponible en: http://www.eweek.com/c/a/Mobile-and-Wireless/Enterprise-Cell-Phone-Security-Is-Lacking-Says-Report-757731/ (Consultado: 13-Dic-2009)

IDC REPORT (2008) The diverse and exploding digital universe. Disponible en: http://www.emc.com/collateral/analyst-reports/diverse-exploding-digital-universe.pdf (Consultado: 13-Dic-2009)

Sin autor. (2009) Horóscopo 2010 para la seguridad informática. Disponible en: http://www.redusers.com/horoscopo-2010-para-la-seguridad-informatica (Consultado: 12-Dic-2009)

FURNELL, S. y THOMSON (2009) From culture to disobedience: Recognising the varying user acceptance of IT Security. Computer Fraud & Security. February.

CANO, J. (2009) Computación forense. Descubriendo los rastros informáticos. Editorial AlfaOmega.

MATHER, T., KUMARASWANY, S. y LATIF, S. (2009) Cloud security and privacy. An enterprise perspective on risks and compliance. O’Really.

Inseguridad en la Nube: Retos y riesgos

En el documento elaborado por la Cloud Security Alliance - CSA (http://www.cloudsecurityalliance.org/guidance/csaguide.pdf) se establecen una serie de características y variables a tener en cuenta cuando se trata de aplicar una estrategia de computación en la nube, de tal manera que le permita a los analistas de riesgos revisar cada uno de ellos y evaluar en el contexto de cada organización lo pertinente para decidirse o no con una estrategia de computación en la nube.

El documento establece quince (15) dominios de acción para considerar los aspectos de seguridad de la computación en la nube:

• Marco arquitectónico de la computación en la nube
• Gobierno y administración de riesgos empresariales
• Consideraciones legales
• Descubrimiento electrónico (electronic discovery)
• Cumplimiento y auditoría
• Administración del ciclo de vida de la información
• Portabilidad e interoperabilidad
• Seguridad tradicional, continuidad de negocio y recuperación ante desastres
• Operaciones de centros de cómputo
• Respuesta a incidentes, notificación y remediación
• Seguridad en aplicaciones
• Cifrado y administración de llaves
• Administración de la identidad y el acceso
• Almacenamiento
• Virtualización


A continuación una breve explicación del alcance de cada una de las categorías establecidas en el documento de la CSA.

Marco Arquitectónico de la Computación en la Nube
Es este domino se establecen las definiciones propias de la computación en la nube, que define este paradigma de servicios computacionales como una colección distribuida de servicios, aplicaciones, información e infraestructura compuesta de múltiples recursos de tecnología de información como redes, información, servidores y recursos de almacenamiento, los cuales son orquestados, aprovisionados, implementados y configurados utilizando un modelo de demanda, basado en la localización de los recursos y las tasas de consumo de éstos.

Gobierno y Administración de Riesgos Empresariales
Dado que en el contexto de la computación en la nube la participación de un tercero es factor fundamental de la estrategia, la gestión de riesgos requerida para este caso solicita un análisis cuidadoso de la debida diligencia del proveedor, los acuerdos de nivel de servicio que se requieren, las consideraciones legales de propiedad de los datos, la jurisdicción aplicable, los aspectos de continuidad de negocio, resolución de conflictos, entre otros temas que ofrezcan a la organización que esté pensando en esta opción, valorar con claridad los riesgos claves de esta opción.

Consideraciones Legales
En este aspecto las organizaciones deben estar atentas para revisar entre otros aspectos las obligaciones de cumplimiento regulatorio propias de la organización (como de otros países) y cómo esta son asumidas por el proveedor de servicios en la nube; analizar las implicaciones de la localización de los datos, los elementos de protección de la privacidad de los datos de clientes y empleados de la empresa, los usos secundarios de la información almacenada en la infraestructura del proveedor, el manejo de las brechas de seguridad que se presenten, el aseguramiento de los planes de continuidad de negocio, la respuesta a los posibles litigios donde se solicite información corporativa disponible en la nube, los elementos del monitoreo de los servicios contratados en la nube y los elementos concretos de terminación del contrato con el proveedor.

Descubrimiento Electrónico
Este elemento llama la atención de mantener unas buenas prácticas de seguridad de la información por parte del proveedor de servicios, de tal forma que la evidencia informática o electrónica materializada en los registros de la operación de la empresa sea auténtica y confiable como evidencia. Esto implica que el cliente deberá asegurar en los acuerdos de nivel de servicio, la custodia y control de la información de la empresa alineada con los estándares de autenticidad y confiabilidad requeridos por su cliente y propios del contexto legal de su empresa y país.

Cumplimiento y Auditoría
Si bien no es evidente asegurar aspectos de cumplimiento y revisión por parte de terceros en la nube, ciertamente es posible adelantar un programa de evaluación que mantenga un monitoreo y revisión de las consideraciones de seguridad y control requeridas frente a las buenas prácticas y el marco normativo vigente. Para ello, se sugiere a nivel contractual, dejar la posibilidad abierta para que la empresa contratante pueda adelantar ejercicios de auditoría o verificación que considere convenientes.

Administración del Ciclo de Vida de la Información
Adicional a los pasos naturales del ciclo de vida de la información: creación, clasificación, transporte, almacenamiento, recuperación y disposición, en la estrategia de computación en la nube se deben considerar aspectos como:
• El nivel de controles lógicos y físicos que deben estar diseñados en el sitio de almacenamiento
• La validación de la integridad de los datos que soportan la información
• La identificación y control de acceso del persona a los datos
• Los términos del servicio relacionados con el control y revelación de información sensible
• Los requisitos de privacidad
• Los elementos de recuperación y respaldo
• Los tiempos de retención de los datos y su destrucción posterior
• La respuesta a solicitudes de información por parte de terceros autorizados
• El tránsito o transmisión de información entre países
• La validez y continuidad del proveedor de servicios en la nube

Portabilidad e Interoperabilidad
Esta variable nos habla sobre la calidad del proveedor de servicios en la nube, de la capacidad de manejo de sus recursos computacionales y la migración interna de ambientes o nubes que éste tenga configuradas al interior de su arquitectura de tecnologías de información. Así mismo, nos exige revisar los temas de recuperación ante desastres y capacidad de restauración del servicio de acuerdo con los niveles de servicio previstos.

Seguridad Tradicional, Continuidad de Negocio y Recuperación Ante Desastres
El reto en esta sección es identificar las interdependencias de la infraestructura que conforma la nube, cómo se integra y soporta de manera dinámica y de acuerdo con la demanda. Aún cuando los servicios en la nube requieren de elementos de seguridad tradicional y el cumplimiento de sus fundamentos (confidencialidad, integridad, disponibilidad, no repudio, autenticación, autorización y auditabilidad), los conceptos de continuidad de negocio y recuperación ante desastres son requerimiento fundamentales de la protección de los servicios.

Operaciones de Centros de Cómputo
Los clientes de proveedores en la nube, deben con frecuencia validar el nivel de maestría de éste en el soporte de sus servicios. Esto es someterlo a evaluaciones periódicas de la gestión del servicio prestado, la presencia de ambientes pilotos de pruebas para soportar cambios y nuevos productos, validación de la segregación de funciones y ambientes para cada uno de los clientes del proveedor, el nivel de la administración de parches de la infraestructura, así como el nivel de las evaluaciones efectuadas por terceros a la gestión de sus servicios.

Respuesta a Incidentes, Notificación y Remediación
Este aspecto exige de los proveedores de la nube la responsabilidad de la identificación y notificación del incidente, con la opción preferente de remediación de un acceso no autorizado a los datos generados por una aplicación. En este sentido, el análisis del incidente puede adquirir un significado y acciones diferentes dependiendo de los requerimientos de ubicación del usuario de la aplicación. Por lo tanto, la atención de incidentes, si bien podrá seguir lo establecido por los discursos metodológicos existentes al respecto, deberá tener en cuenta el contexto del país donde se materializa o se ubica el usuario.

Seguridad en Aplicaciones
En este punto decisiones como dónde deben ser desarrolladas o ejecutadas las aplicaciones son las que se deben tomar, dado el modelo de entrega de las mismas en una plataforma particular. Adicionalmente, se debe dar respuesta a preguntas como:
• ¿Qué controles deben tener las aplicaciones tanto dentro de su diseño, como en la nube?
•¿Qué tanto debe cambiar el modelo de desarrollo de software para acomodarse a la computación en la nube?

Cifrado y Administración de Llaves
De acuerdo con el autor del documento en el concepto de computación en la nube no es clara la definición de perímetro de seguridad, dado que los componentes y sus localizaciones varían según la demanda. En este contexto y de acuerdo con lo establecido por la CSA, la única vía para asegurar los recursos de computación son un cifrado fuerte y una administración escalable de llaves.

Si bien los autores hablan del cifrado como la única vía para el aseguramiento en la nube, esta decisión implica elementos de gestión y control propios de la infraestructura que deben ser manejados y administrados por los clientes, los cuales son los que mantienen el control sobre sus datos en la infraestructura de la nube. En este escenario, los diseños y aplicación de los servicios deben estar articulados con esta directriz de confidencialidad de la información.

Administración de la Identidad y el Acceso
Esta variable de análisis nos invita a revisar los temas de la identidad de los usuarios en el consumo de los servicios de una infraestructura. Si bien, a la fecha no existe un ambiente maduro que evidencie la preparación de las organizaciones para la administración de la identidad, se hace necesario revisar en el contexto de los proveedores en la nube, el grado de madurez de esta estrategia, de cara a una futura implementación de la misma, como parte interesada y participante de la identidad de los usuarios en ella.

Almacenamiento
En este segmento del documento las preguntas que el cliente de los servicios en la nube se hace son:
• ¿Cómo el proveedor asegura que sus datos sean confiables y estén disponibles de acuerdo con sus necesidades de negocio?
• ¿Está usted y sus clientes confiados en la promesa de que toda su información privada y confidencial permanece como tal y debidamente protegida?
• ¿Están sus datos almacenados de manera confiable y debidamente segregados de otros residentes en la misma granja de almacenamiento?

Virtualización
Este componente es una de las variables fundamentales al considerar la estrategia de computación en la nube. Dentro del conjunto de riesgos a revisar en este aspecto se encuentran:
• Nuevas tecnologías, que mantienen antiguas vulnerabilidades y el surgimiento de otras. Esto implica que a mayor complejidad de la configuración del entorno de operación, menores y poco homogéneos aspectos de seguridad y control.
• Pérdida de la seguridad por defecto, es decir, que al cambiar un entorno previamente configurado, se requiere una nueva configuración de las condiciones de seguridad tanto en el hardware como en el software utilizado.
• Mezcla de retos alrededor de la integridad, que implica la mixtura de datos y niveles de confidencialidad. El tratamiento de la reconfiguración de entornos, implica un manejo de información que puede no ser la más adecuada.
• Aspectos de jurisdicción, regulatorios y de control, tema que ha sido tratado en otros apartes del documento de la CSA.
• Nuevos retos administrativos que impactan la seguridad, esto es, la configuración de las máquinas y sus recursos, requiere un nivel de seguridad y control adicional al propio de las aplicaciones que se ejecutarán en ellas. La seguridad de la virtualización en sí misma, es una característica necesaria dentro de la administración de ambientes computacionales en esta condición.

Por tanto, antes de considerar una estrategia de computación en la nube, revise las implicaciones que establece esta opción y recuerde que, será un tercero quién ahora participará del control de sus datos y aplicaciones. La decisión es suya!