Según IDC en su estudio “Latin America Cloud Report Card 2011”, la adopción de servicios cloud por parte de empresas con más de 100 empleados en América Latina aumentó de 3,5% en enero de 2010 a 15% en enero de 2011, lo que indica que las tecnologías cloud se están convirtiendo en un fenómeno cada vez más masivo. Pero enfrentar este modelo implicará, además de los beneficios, nuevos desafíos, principalmente en materia de seguridad TI, pues se trata de un escenario tecnológico donde mucha información se alojará en la nube y, por ende, estará más expuesta a nuevas amenazas y riesgos asociados.
¿Qué nuevos desafíos a la seguridad implica el modelo de cloud computing?
Este modelo ofrece grandes facilidades para los consumidores, permitiéndoles acceder a diferentes tipos de servicios ordenados en capas. Por ejemplo, Software as a Service (SaaS – software como un servicio), capa superior del modelo, en donde el usuario utiliza una aplicación predefinida, y el nivel de personalización es muy controlado. Platform as a Service (PaaS – plataforma como un servicio), capa media del modelo, en donde el consumidor accede a una plataforma predefinida (sistema operativo, base de datos o ambiente de desarrollo) que podrá utilizar para crear su propia aplicación. Y, por último, Infraestructure as a Service (IaaS, infraestructura como un servicio, capa inferior del modelo, en donde el usuario accede a instancias computacionales base (memoria, disco, etc.), y es responsable del sistema operativo, base de datos o ambiente de desarrollo y todo lo necesario para desarrollar su aplicación desde cero.
Cuanto más abajo de la capa consumamos servicios de cloud computing, somos más responsables de implementar y gestionar más seguridad. Por ejemplo un consumidor de SaaS, ya tiene mecanismos de autenticación, registro de eventos, respaldos de la aplicación, etc., por lo que no se debe preocupar de esos elementos, porque ya están dados con el servicio. En cambio, un usuario de IaaS debe velar por todas las medidas de seguridad aplicadas al sistema operativo, bases de datos y todas las funcionalidades de seguridad necesarias para un funcionamiento adecuado.
Por lo tanto nos enfrentamos a un nuevo escenario tecnológico con nuevos riesgos asociados.
¿Se vislumbra un nuevo tipo de amenazas?
En una encuesta realizada por el Cloud Security Alliance, se identifican siete amenazas principales: 1) pérdida o fuga de datos, 2) abuso y uso malicioso del cloud computing, 3) APIS e interfaces seguras, 4) “insiders” maliciosos, 5) secuestro de una cuenta o del servicio, 6) perfil de riesgo desconocido, y 7) tecnología compartida. Algunas de estas amenazas pueden ser conocidas en un entorno de outsourcing tradicional, pero no se tratan de la misma forma, porque se desarrollan en un nuevo contexto: el cloud.
CSA en el mundo
Cloud Security Alliance (CSA) es una organización sin fines de lucro, formada por expertos en diversos temas de un amplio abanico de disciplinas, que se unen con el objetivo de fomentar el uso de buenas prácticas y la investigación independiente en torno a éstas, reforzar las garantías de seguridad y ofrecer formación en todo lo concerniente a cloud computing, potenciando un alto nivel de comprensión entre consumidores y proveedores referente a los requisitos y necesidades en materia de seguridad.
Tiene más de 60 miembros Corporate (Microsoft, Salesforce, Google etc.) y más de 10.500 individuales, con un crecimiento de 300 nuevos asociados a la semana.
¿Existe conciencia sobre la necesidad de abordar desde otro enfoque la seguridad TI?
Lamentablemente, no. Las empresas que consumen servicios de cloud computing no se preocupan de todas las buenas prácticas en seguridad de la información. En nuestro caso, hemos asesorado a compañías para evaluar la seguridad para su contexto y éstas han tenido una experiencia más controlada en términos del manejo del riesgo, pero más ágil en el aprovechamiento de los beneficios del servicio de cloud computing.
¿El tema de la seguridad ha actuado ralentizando la tendencia de ir a la nube?
Sí. Una de las principales preocupaciones de los clientes es la seguridad. Los consumidores de servicios de cloud computing tienen varias interrogantes que apuntan a este tema, por ejemplo: ¿Cómo nos perjudica si el activo se hace público y muy distribuido? ¿Cómo nos afecta si un empleado de nuestro proveedor accede a un activo? ¿Cómo nos perjudica si el activo no está disponible por un período de tiempo?
Por eso, las empresas que entregan servicios de cloud computing deben preocuparse de tener las credenciales adecuadas como la certificación ISO 27001, o ser compliances con buenas prácticas como la de Cloud Security Alliance Guidance, además de tener personal calificado.
¿Qué rol le cabe a cada actor en estos nuevos retos a la seguridad?
La responsabilidad es de ambas partes. Con un consumidor informado, la oferta se mejora. Con un proveedor preocupado, los riesgos son anticipados. De esta forma, todos ganamos en el desarrollo seguro del cloud computing.
¿Cuáles son los consejos para que una empresa pueda ir a la nube en forma segura?
Se recomiendan los siguientes pasos: 1) identifique el activo para la implementación del cloud computing, 2) evalúe el activo, 3) mapee los activos a los potenciales modelos de implementación del cloud, 4) evalúe a los potenciales proveedores y modelos de servicios cloud, 5) dibuje el flujo potencial de los datos, 6) aplique las buenas prácticas de seguridad de Cloud Security Alliance
Actualmente Cloud Security Alliance ha centralizado sus buenas prácticas en un documento que puede ser bajado sin costo desde el sitio https://cloudsecurityalliance.org/ . El contenido de ese documento incluye tres secciones: Arquitectura de la Cloud, Gobernabilidad en la Cloud y Operando en la Cloud.
Todas estas prácticas están homologadas por los principales players de la industria.
CSA en la Region
En Latinoamérica, Cloud Security Alliance tiene capítulos oficiales en Brasil y en Chile. A mediados de 2010, se activaron las iniciativas de formar capítulos locales en Argentina, Chile y Colombia, con un coordinador regional en México.
Después de Brasil, Chile es el capítulo con más miembros afiliados (más de 100, desde el mes de septiembre de 2010). Su Presidente, Carlos Samaniego, se desempeña actualmente también como Chief Information Security Officer de Ademanda.com, empresa de servicios sobre cloud computing.
