SEGURIDAD DE LA NUBELa computación en nube tiene características específicas que requieren evaluación de los riesgos en áreas tales como integridad, recuperación y privacidad de los datos, así como asuntos legales en áreas tales como la normativa de regulación (compliance) y auditoría de los sistemas de seguridad de la información. Tecnologías como EC2 de Amazon o Google App Engine de Google, son ejemplos de servicios de Cloud Computing en las cuales se entregan a los clientes externos servicios de TI que utilizan tecnologías de Internet.

PROTECCIÓN DE DATOS La nube, como ya conoce el lector, es un modelo de computación que ofrece el uso de una serie de servicios, aplicaciones, datos, plataformas, infraestructuras, compuestas a su vez por recursos de computación, redes, servidores, almacenamiento, etc. En una primera impresión, la abstracción del hardware que trae consigo la nube da la sensación de que el nivel de seguridad es más bajo que en los modelos tradicionales, ya que en algunos modelos de la nube la empresa cliente pierde el control de seguridad sobre dichos servicios. Sin embargo, si las políticas de seguridad del proveedor están bien definidas y el cliente las ejecuta fielmente, trabajar en la nube supondrá, normalmente, una mejora de seguridad.

Así, se plantean preguntas clave en la estrategia de seguridad en la nube:

1. ¿dónde estarán desplegados los datos? 2. ¿con cuál protección?3. ¿quién es responsable de ellos?

Los grandes proveedores de la nube tienen respuesta clara para la tercera pregunta: el responsable de los datos es el cliente (personal o empresa). IBM llama a este tipo de seguridad “Secure by design”, o dicho de otro modo “seguridad personalizada”. El concepto pretende que el entorno sea el resultado de la interacción entre proveedor y empresa receptora de servicios.

SEGURIDAD DE LOS SERVICIOS DE LA NUBE

La evaluación de riesgos y la revisión de la seguridad en la nube deben considerar en primer lugar las opciones de despliegue de la nube (pública, privada e híbrida) y modelos de entrega de servicios (SaaS, PaaS, IaaS). Estrechamente relacionada con los modelos anteriores estarán los procesos relacionados con la virtualización, los cuales también consideraremos. Evidentemente, como sucede en el Plan General de Seguridad de la Información (PGSI), ninguna lista de controles de seguridad podrá cubrir todas las circunstancias, pero se deberá adoptar un enfoque basado en riesgos para moverse o migrar a la nube y seleccionar las opciones de seguridad. Los activos de despliegue en la nube se agrupan en dos grandes bloques: los datos y las aplicaciones.

INFORMES DE LA INDUSTRIA DE SOFTWARE La importancia de la seguridad en la nube y la necesidad de afrontar los retos que ello supone, hace que los grandes proveedores de la nube y de seguridad publiquen frecuentemente informes sobre temas de seguridad. Citaremos algunos casos a manera de ejemplo. Trend Micro

Trend Micro, una de las grandes empresas proveedoras de seguridad informática del mundo, publicó un informe en junio de 2011, donde destacaba que el 43% de las empresas han tenido problemas de seguridad con sus proveedores de servicios basados en la nube. El informe se elaboró después de entrevistar a 1.200 directores de información (CIO’s) y el tema central de las encuestas y entrevistas fue cloud computing y la seguridad. En el informe se destacaba que la adopción de la nube en las empresas se estaba llevando a buen ritmo.

Cisco El informe de Cisco de noviembre de 2011. Cisco, primer fabricante del mundo de dispositivos y redes de comunicación presentó en Acapulco, México, en el mes de noviembre de 2011, el informe: “Seguridad en la nube, el nuevo reto: Cisco”.

Cisco anunció su servicio de seguridad, ScanSafe Cloud Web que permite blindar la navegación dentro de la nube y asegurar el almacenamiento de datos salvaguardando la información de los usuarios.

Microsoft Microsoft también está preocupado sobre la seguridad y disponibilidad de los datos que sus clientes depositan en la nube, junto con los requerimientos globales de seguridad. Algunas preguntas que cabría hacerse son: ¿qué están haciendo los proveedores para poder mantener una nube segura? ¿Están mis datos y los de mi empresa seguros en la nube? Es necesario que las empresas proveedoras de la nube tengan numerosos controles de seguridad del estándar ISO. Es importante tener en cuenta que existen muchas medidas de seguridad que Microsoft implementa, y también se preocupa sobre las reglas básicas de privacidad en el desarrollo de cualquier programa de software:

1. Privacidad por diseño: toda la información obtenida de los usuarios debe ser para un propósito en particular. Cuando se trata de información sensible, se deben tomar medidas de seguridad adicionales.

2. Privacidad por defecto: Microsoft siempre pide autorización a los usuarios para utilizar o transmitir información sensible. Una vez autorizada, la información es protegida por mecanismos de autenticación y listas de control de acceso.

3. Privacidad en la implementación: Microsoft revela sus mecanismos de privacidad a sus clientes empresariales para que éstos puedan adaptar esas medidas a sus propias necesidades.

4. Comunicación: constante publicación de documentos sobre novedades relacionadas con la privacidad.

Microsoft se mantiene a la vanguardia en cuanto a las leyes de seguridad, y continúa aplicando los estándares a nivel mundial. Las características de los productos que ofrece Microsoft en la nube se pueden consultar en el sitio Cloud Power.

ASEGURAMIENTO DE LOS DATOS EN LA NUBE La seguridad física define el modo de controlar el acceso físico a los servidores que soportan su infraestructura. La nube exige restricciones físicas de seguridad, teniendo presente que hay servidores reales que funcionan en cualquier lugar. Cuando se selecciona un proveedor de la nube, se debe conocer y entender sus protocolos físicos de seguridad y las cosas que necesitan hacerse para asegurarse sus sistemas frente a vulnerabilidades físicas. Control de los datos El gran abismo existente entre los centros de datos tradicionales y los de la nube reside en la posición de sus datos en los servidores. Las empresas que han externalizado sus centros de datos en un proveedor de servicios gestionado en la nube se encuentran con el problema de no conocer, normalmente, en qué servidores están alojados sus datos. En verdad no existe tal problema si tenemos seguridad y fiabilidad en la empresa que nos gestiona los datos, sin embargo, la carga emocional existirá siempre y será una limitación que influirá directamente en la sensación de inseguridad de los datos. Por otra parte, los datos almacenados en la nube se refieren esencialmente a los datos almacenados en los servicios de IaaS y no a los datos asociados con la ejecución de una aplicación en la nube tales como SaaS y PaaS.

Por esta razón será preciso considerar las tres áreas clave de temas relacionados con la seguridad y privacidad de los datos (Hurwitz 2010: 76):

Localización de sus datos Control de sus datos Transferencias seguras de sus datos

REQUISITOS EXIGIBLES AL PROVEEDOR RELATIVOS ADATOS Antes de firmar el contrato con el proveedor de la nube debe asegurarse que en el mismo yen el acuerdo de nivel de servicios (SLA) correspondiente deben estar contemplados almenos los siguientes compromisos (Hurwitz 2010: 85):

Integridad de los datos. Cumplimiento de estándares y regulaciones propias de su negocio. Pérdida de datos. Planes de continuidad del negocio. Tiempo de operación. Aunque su proveedor le señalara que sus datos estarán disponibles

el 99.999% del tiempo, se debe comprobar en el contrato y verificar si este tiempo incluye las operaciones de mantenimiento.

Costes de almacenamiento de datos. Es muy importante verificar qué incluye el concepto “almacenamiento de datos”. Está incluido el coste de mover los datos en la nube. Existen costes ocultos de posibles integraciones de datos. ¿Cuánto costará realmente almacenar sus datos? Debe enterarse de cómo el proveedor trata realmente el almacenamiento de datos.

Terminación del contrato. Si el contrato se termina, ¿cómo se devuelven los datos? Si está utilizando un proveedor de servicios de SaaS, por ejemplo, CRM o paquete ofimático, y se han creado datos durante las operaciones, ¿cómo se devolverán esos datos? Algunas compañías simplemente le anunciarán que destruirán los datos no reclamados; asegúrese cómo se destruyen y que no se quedan “flotando” en la nube.

Propiedad de los datos. ¿Quién dispondrá del uso de sus datos una vez estén en la nube? Algunos proveedores de servicios pueden desear analizar sus datos para fines estadísticos, mezclarlos con otros datos, etc. Son operaciones similares a las que se hacen a diario en el comercio tradicional donde autorizamos a determinadas empresas a que puedan utilizar todos o parte de nuestros datos con fines de promociones publicitarias o similares.

OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA NUBE El desarrollo del software seguro se basa en la aplicación de principios de diseño de software seguro que forman los principios fundamentales del aseguramiento del software. El seguramiento del software se define como: “los fundamentos que permiten tener confianza justificada de que el software debe tener todas las propiedades requeridas para asegurar que cuando dicho software se esté ejecutando deberá operar de modo fiable pese a la presencia de fallos intencionales. En términos prácticos significa que el software debe ser capaz de resistir la mayoría de los ataques, tolerar tantos ataques como sean posibles, contener los daños y recuperar un nivel de ejecución normal tan pronto como sea posibles, después de que cualesquiera ataques sean incapaces de resistir o tolerar”.

Los principios fundamentales que soportan el aseguramiento de los sistemas de información en la nube son, en general, similares a los establecidos para las Tecnologías de la Información, pero con las características de la Nube. Se consideran los siguientes principios fundamentales: confidencialidad, integridad y disponibilidad, conocidos como la Triada de la Seguridad, y los principios complementarios son: autenticación, autorización, auditoría, responsabilidad (accountability) y privacidad.

Confidencialidad La confidencialidad se refiere a la prevención de la divulgación (revelación) de información no autorizada tanto intencionada como no intencionada. Las confidencialidades en los sistemas de la nube se refieren a las áreas de derechos propiedad intelectual, cobertura de canales, análisis de tráfico, cifrado e inferencia.

Integridad La integridad es la garantía de que el mensaje enviado es el mensaje recibido y que el mensaje no ha sido alterado intencionadamente o no. Esta seguridad de la integridad de los datos se debe garantizar en el tránsito y en el almacenamiento de los datos. También se deben especificar medios para recuperación a partir de errores detectados tales como borrados, inserciones o modificaciones. Los medios para proteger la integridad de la información incluyen políticas de control de acceso y decisiones respecto a quién o quiénes pueden transmitir y recibir datos y cuál información puede ser intercambiada.

Los requerimientos para el cumplimiento de la integridad deben contemplar:

Validación del origen de los datos Detección de la alteración de los datos Determinación de que el origen de los datos se ha cambiado

OTRAS CARACTERÍSTICAS IMPORTANTES Existen otras propiedades o características complementarias de las anteriores que se aplicana todo tipo de taxonomías de seguridad, como es el caso de la tradicional seguridad de lossistemas de información y de los sistemas de computación en la nube.

Identificación Es el proceso mediante el cual los usuarios proporcionan sus identidades a un sistema. La identificación se utiliza, principalmente, para control de acceso y es necesaria para la autenticación y la autorización.

Autenticación La autenticación es el proceso de verificación de evidencia de la identidad de un usuario. Establece la identidad del usuario y asegura que los usuarios son quienes realmente dicen ser. Por ejemplo, un proceso común de autenticación de un usuario exige presentar su identidad (ID del usuario) en el registro de entrada (login) de la pantalla de una computadora y a continuación debe proporcionar una contraseña (password). El sistema autentica (autentifica) al usuario verificando que la contraseña que ha introducido corresponde con la identidad (ID) presentada por el usuario; dicho de otra manera, se trata de establecer la identidad del usuario y asegurar que los usuarios son quienes dicen realmente que son.

La autenticación de un usuario se basa, sobre todo, en varios conceptos prácticos: Un concepto o término que conoce el usuario, como un número de identificación personal

(PIN) o una contraseña. Alguna cosa que tiene el usuario, como una tarjeta inteligente o una tarjeta de crédito o

similar. Alguna cosa física tal como una huella o la exploración de la retina del ojo. Autenticación de comportamiento (teclear nombre u otras frases en el teclado).

AutorizaciónLa autorización se refiere a los derechos y privilegios garantizados a una persona o proceso que facilitan el acceso a los recursos de la computadora y los activos de información. Una vez que la identidad de un usuario y su autenticación se han establecido, los niveles de autorización determinan el grado o alcance de los derechos del usuario en el sistema.

Auditoría La auditoría de un sistema en la nube tiene características similares a la auditoría del ciclo de vida de desarrollo del software y debe contemplar un plan de auditoría que al menos considere los siguientes aspectos (Krutz 83):

Determinación del ámbito de la auditoría

Determinación de los objetivos de la auditoría Validación del plan de auditoría Identificación de recursos necesarios

Responsabilidad La responsabilidad (en inglés, accountability) es la capacidad de determinar las acciones y comportamiento de una persona dentro de un sistema de nube e identificar a ese individuo particular. Los trazos (trails) y conexiones (logs) soportan la responsabilidad y se pueden utilizar para conducir los estudios post mórtem a fin de analizar los eventos históricos y los individuos o procesos asociados con esos eventos. La responsabilidad está relacionada con el concepto de no repudio.

Privacidad El nivel de protección de la privacidad dada a un usuario en un sistema debe ser lo más alta posible y conforme a las leyes de privacidad vigentes en el país en que resida el cliente. La privacidad no sólo garantiza el nivel de confidencialidad de los datos de una empresa, sino que también garantiza el nivel de privacidad de los datos que se han utilizado por el operador. Por la importancia del tema en la computación en nube, se dedica un capítulo en exclusiva al análisis de la privacidad.

ASPECTOS SIGNIFICATIVOS EN LA SEGURIDAD EN LA NUBE Las empresas y organizaciones que optan por la migración o movimiento hacia la nube deberán estudiar plenamente aquellos temas críticos relativos a la seguridad. Así se consideran al menos los siguientes aspectos:

Implicaciones legales, cumplimiento y conformidad con regulatorios y los estándares que son diferentes en la nube de los marcos legales y regulatorios del entorno tradicional.

No existe el perímetro de seguridad de la organización tradicional en la nube. La política de seguridad centrada en la seguridad perimetral no funciona en la nube incluso con aquellas nubes que soporten la seguridad tradicional del perímetro.

El almacenamiento de datos en la nube debe considerarse un perfil de alto riesgo. Las tecnologías de virtualización como Xen, Citrix, o VMware tienen sus propias

vulnerabilidades y por consiguiente se deben introducir pautas de comportamiento.

CUMPLIMIENTO DE REGULACIONES Y ESTÁNDARES La adopción de los servicios de la nube por una organización o empresa, presenta muchos retos y desafíos. Cuando una organización migra a la nube para consumir servicios de ella y, especialmente, servicios de la nube pública, mucha de la infraestructura de sus sistemas de computación pasa a estar bajo el control de un proveedor de servicios de la nube (CSPCSPCSPCSP, Cloud Services Provider). Muchos de estos retos pueden ser afrontados mediante iniciativas de gestión de la seguridad. Estas iniciativas requerirán delinear claramente la oferta de servicios del proveedor, así como la responsabilidad tanto del proveedor (que podría o no tener toda la responsabilidad de la gestión de la seguridad, ya que podría ser a su vez cliente de otro proveedor mayor) como del funcionamiento de la organización que actúa con el rol de cliente.

RIESGOS Y TIPOS DE SEGURIDAD La seguridad de los sistemas de información se divide en dos grandes categorías: protección de los activos (hardware, software e infraestructura de redes que constituyen un sistema de TI) y protección de los datos. Hace unos años los activos eran considerados la parte más valiosa del sistema y a su protección se dedicaban casi todos los esfuerzos para asegurarse que no se hacía un uso no autorizado de los mismos. Hoy día, naturalmente, ha cambiado esa situación y la mayoría de las organizaciones y empresas reconocen que el factor crítico de los sistemas de información es la protección de los datos que requieren un esfuerzo considerable y gran parte de la atención de los proyectos de seguridad de la información.

ADMINISTRACIÓN DE LA IDENTIDAD Y CONTROL DE ACCESO La administración (gestión) de la identidad y el control de acceso (IAMIAMIAMIAM, Identity and AccessManagement) son funciones fundamentales requeridas en la computación en nube segura y uno de los mejores métodos para la protección de su entorno. Dado que la nube implica compartición y virtualización de recursos físicos por múltiples usuarios internos, es preciso conocer quiénes tienen acceso y a cuáles servicios. El objetivo principal de la administración de la identidad es la gestión de la información de dicha identidad personal (IP) de modo que el acceso a los recursos de computación, aplicaciones, datos y servicios sea controlado adecuadamente. La administración de la identidad es una de las áreas de la seguridad de TI que ofrece beneficios importantes en la reducción del riesgo de las violaciones (breaches) de seguridad.

ESTRATEGIAS DE SEGURIDAD Las directrices de TI deben pensar en primer lugar sobre el impacto de la nube en la seguridad de la corporación. Si usted está pensando en crear una nube privada o potenciar una nube pública necesita establecer una estrategia de seguridad. Sin un entorno de seguridad adecuado ninguna organización debe implementar una solución en la nube. Esta decisión se debe adoptar en paralelo con el proceso de puesta en marcha del modelo elegido de nube. Incluso aunque su organización tenga ya una estrategia de seguridad bien diseñada, deberá afrontar una estrategia complementaria para su paso a la nube y deberá tener presente los diferentes modelos existentes de computación en la nube y examinar cuál o cuáles se adaptan mejor a su actual estrategia de seguridad de TI.

SEGURIDAD DE LOS SERVICIOS DE LA NUBE La evaluación de riesgos y la revisión de la seguridad en la nube deben considerar en primer lugar las opciones de despliegue de la nube (pública, privada e híbrida) y modelos de entrega de servicios (SaaS, PaaS, IaaS). Estrechamente vinculados con los modelos anteriores estarán los procesos relacionados con la virtualización y que también consideraremos. Evidentemente, como sucede en el Plan General de Seguridad de la Información, ningunalista de controles de seguridad podrá cubrir todas las circunstancias, pero se deberá adoptar un enfoque basado en riesgos para moverse o migrar a la nube y seleccionar las opciones de seguridad. Los activos de despliegue en la nube se agrupan en dos grandes bloques: los datos y las aplicaciones.