Inicio / Protege tu empresa / Blog / ¿Qué esperas de los servicios en la nube?

¿Qué esperas de los servicios en la nube?

Publicado el 11/08/2011, por Mariano del Río

Desde hace algún tiempo las organizaciones están comenzando a contratar servicios basados en la nube. Muchas son las ventajas que esgrimen aquellos que están a favor, como así también son muchas las desventajas que encuentran aquellos que están en contra de estos servicios. Las desventajas se acentúan cuando salen a la luz pública algunos incidentes que se relacionan con la nube y las consecuencias que conllevan.

En este sentido tendrían que tenerse en cuenta algunos puntos antes de considerar a “la nube” como la peor de las pesadillas. Pero primero definamos qué es el software de nube o Cloud Software as a Service (SaaS).

En el software de nube como servicio lo que se ofrece al usuario/cliente es la capacidad de utilizar las aplicaciones del proveedor que se ejecutan en una infraestructura de nube. Así, puede acceder a las aplicaciones desde los distintos dispositivos a través de una interfaz de cliente ligera, como un navegador de Internet (por ejemplo, correo web). El usuario no gestiona ni controla la infraestructura de nube subyacente que incluye la red, servidores, sistemas operativos, almacenamiento o incluso capacidades de aplicaciones individuales, con la posible excepción de unos parámetros de configuración de la aplicación específicos y limitados. (Fuente: National Institute of Standars and Technology -NIST-)

La Cloud Security Alliance (CSA), a través de su proyecto “Top Threats to Cloud” ha identificado las principales amenazas que involucran a la nube, entre las que se encuentran:

  • Amenaza #1: Abuso o mal uso del cloud computing.
  • Amenaza #2: Interfaces y APIs inseguras.
  • Amenaza #3: Usuarios internos maliciosos.
  • Amenaza #4: Cuestiones asociadas a la convivencia de tecnologías.
  • Amenaza #5: Pérdida de datos o filtraciones.
  • Amenaza #6: Robo de cuentas o servicios.
  • Amenaza #7: Perfil de riesgo desconocido.

Sin entrar en detalles de lo que implica cada amenaza y los riesgos asociados a las mismas, es importante analizar qué se busca o qué se espera al momento de optar por una solución basada en Software como Servicio en la Nube (Cloud SaaS).

Ir hacia una solución en la nube no reemplaza la responsabilidad de la organización o del usuario involucrado con respecto al cuidado de la información. Al presentarse incidentes, quien ha contratado un servicio basado en la nube podría esperar que el proveedor resuelva todos los inconvenientes, incluso aquellos relacionados con la falta de disponibilidad de la información por parte de su organización. Argumentos como, por ejemplo: “Estamos esperando que el proveedor vuelva a poner en línea los servicios” son frecuentes al momento de acaecer un incidente.

¿Es válida esta respuesta? ¿Se ha realizado el análisis correspondiente como para quedarnos tranquilos a la hora de dar esta respuesta a la Dirección de la empresa? ¿Los responsables involucrados fueron lo suficientemente diligentes en la decisión de ir hacia la nube o sólo primaron las cuestiones económicas?

En relación con esto último, la “Guía para la Seguridad en áreas críticas de atención en Cloud Computing” de la Cloud Security Alliance (CSA) detalla los aspectos de seguridad principales a tener en cuenta en el momento de optar por una solución basada en la nube. La guía está compuesta por 13 dominios que incluyen los principales aspectos tanto técnicos como de gobierno en materia de seguridad, siendo una de las referencias más destacadas en relación a este aspecto. Los dominios que incluye son los siguientes:

  1. Marco de la arquitectura de Cloud Computing.
  2. Gobierno y gestión de riesgos de las empresas.
  3. Cuestiones legales y eDiscovery.
  4. Cumplimiento normativo y auditorías.
  5. Gestión del ciclo de vida de la información.
  6. Portabilidad e interoperabilidad.
  7. Seguridad tradicional, continuidad del negocio y recuperación de catástrofes.
  8. Operaciones del centro de datos.
  9. Respuesta ante incidencias, notificación y subsanación.
  10. Seguridad de las aplicaciones
  11. Cifrado y gestión de claves.
  12. Gestión de acceso e identidades.
  13. Virtualización.

Referido al Gobierno y la Gestión de Riesgos (que generalmente son los aspectos que más se descuidan al momento de ir hacia una solución en la nube) la Guía en su Dominio n°2 indica lo siguiente:

Los problemas fundamentales del gobierno y la gestión de riesgos de las empresas en el cloud computing hacen referencia a la identificación e implementación de las estructuras, procesos y controles organizativos adecuados que se requieren para mantener un gobierno de la seguridad y la información, así como una gestión de riesgos y un cumplimiento normativo efectivos”.

¿Es esto un problema del proveedor de servicios basado en la nube? Claramente no, es una cuestión que recae enteramente en la organización que está evaluando ir hacia solución de este estilo. Para ello se debe contar como mínimo con el análisis de riesgos asociado al estudio del escenario y las implicancias de seguridad que esto conlleva para la información que se deberá llevar a la nube, teniendo en cuenta el valor de dicha información y la clasificación de la misma realizada por sus “Dueños de Datos”.

Ahora bien, ¿es conveniente encarar un proyecto de servicios en la nube si no se ha realizado anteriormente esta valoración? Todo indica que no. Sin embargo, la realidad demuestra que muchas organizaciones optan por soluciones basadas en la nube sin contar con esta información básica y que lamentablemente el proceso de valoración se realiza al momento de presentarse un incidente, en donde es la propia Organización la que “identifica” a través de las consecuencias del incidente el valor de la información involucrada.