Desmitificando la seguridad en la nube

Aspectos a tener en cuenta a la hora de elegir un proveedor de servicios cloud en función de la seguridad requerida

Hemos encontrado un resumen de una mesa redonda que tuvo lugar en un foro de seguridad organizado por la empresa Forrester. Aunque el evento tuvo lugar hace casi un año (Forrester’s Security Forum 2010 in Boston), los temas tratados son de total actualidad:

• Seguridad en la nube
• Clouds privadas vs públicas
• Estándares de seguridad en la nube

A pesar de que las empresas y profesionales se mantienen escépticos sobre cómo los proveedores de servicios cloud administran la seguridad, los datos y privacidad de sus Clientes. A pesar de esto, según una encuesta realizada por Forrester, en torno al 45% de las empresas estadounidenses y europeas consideran que utilizar servicios cloud es una de sus prioridades durante el año 2011. Esta encuesta también indica que una de cada cuatro empresas ya utiliza alguna de las formas posibles de cloud computing.

A continuación os resumimos alguna de las preguntas realizadas durante la mesa redonda y el debate producido en torno a ellas.

¿La nube es necesariamente menos segura que tener mi propia infraestructura IT? ¿Puede ser más segura?

Los principales beneficios de la nube son el aumento en la eficiencia y productividad y la reducción de costes que supone para las empresas. Por lo tanto, son razones suficientes para realizar un análisis coste/beneficio en contraste con los posibles riesgos en seguridad que puede haber en los servicios cloud.

Pero hablando de seguridad, ¿qué es más seguro? ¿Qué información sensible esté en dispositivos USB o portátiles o en un proveedor cloud que disponga de una infraestructura securizada?

Por lo tanto, antes de decidirse por un proveedor cloud deberemos evaluar:

• Si dispone de algún tipo de certificación que pruebe la madurez de su seguridad. Un proveedor cloud serio conoce que la seguridad es una de las principales barreras a la hora de adoptar servicios cloud. Es por ello que muchos de estos proveedores adopten estándares de seguridad como SAS 70 Type II, ISO 270001 o FISMA.
• Si tiene un departamento de seguridad lo suficientemente grande y competente para garantizar la seguridad de tus datos.

¿Cuáles son las preocupaciones en cuanto a seguridad más significativas?

Aunque los proveedores de servicios cloud adopten estándares de seguridad o realicen mejoras para asegurar su infraestructura, según Forrester los usuarios todavía tienen preocupaciones en relación a:

• Aunque muchos proveedores ofrecen transferencia de datos segura encriptada, por ejemplo a través de HTTPS, no son tantos los que almacenan los datos de forma encriptada en sus cabinas de almacenamiento o durante el procesamiento de datos. Por lo tanto, se necesitan proveedores que sean capaces de asegurar el ciclo completo de tratamiento de sus datos. En este sentido, la madurez todavía es baja.
• Mantenimiento de identidad y control de acceso en un entorno que incluya múltiple servicios cloud, con diferentes estándares y proveedores de servicios cloud.

¿Cómo valoramos un proveedor cloud?

Como decíamos antes, a la hora de evaluar un proveedor cloud, que disponga de algún tipo de certificación en seguridad es importante. De algún modo, te está diciendo que el proveedor tiene los procesos y controles esenciales para mantener la seguridad de tus datos. Sin embargo, estas certificaciones no dejan de ser algo estándar y no fueron desarrolladas específicamente para servicios en la nube.

Por lo tanto, necesitarás tu propia lista de requerimientos en seguridad. Se puede comenzar con los requerimientos en seguridad y riesgos ya conocidos en la infraestructura IT local de la empresa y ajustarlos en función del servicio prestado en la nube.

Forrester ha creado una lista de requerimientos a tener en cuenta a la hora de evaluar un servicio cloud:

• El tipo de servicio en la nube. Como sabemos, existen muchos tipos de servicios en la nube: SaaS, PaaS o IaaS. Cada uno de ellos con diferentes requerimientos en seguridad.
• La criticidad de los datos. Los requerimientos cambiarán en función de la naturaleza de los datos. Si los datos son altamente sensibles necesitaras altos requerimientos en privacidad y seguridad. En este caso tu proveedor de cloud debe ofrecer un control específico sobre los datos, por ejemplo encriptación de los datos en el almacenamiento de los mismos.
• La ubicación del servicio. Aunque tus datos estén disponibles desde cualquier lugar del mundo, el país donde opera tu proveedor de servicios cloud es importante. Por ejemplo si es un proveedor europeo o japonés, con leyes restrictivas en relación a la protección de datos, debes asegurarte que no se violan dichas leyes que reestringen el movimiento de datos fuera de sus fronteras.
• Disponer de algún tipo de acuerdo de nivel de servicio (SLA). En el caso de incidencias, en función de la criticidad de disponer de la aplicación o datos, una pérdida de servicio puede suponer pérdidas para la empresa. En ese caso puede ser fundamental que el proveedor compense de algún modo los daños causados.

¿Se está trabajando en la elaboración de estándares de seguridad en servicios cloud?

Actualmente existen más de 78 grupos trabajando en estándares relacionados con servicios en la nube, y entre ellos, más de 48 están relacionados con la seguridad. Por ejemplo, la SNIA (Storage Network Industry Association) está trabajando en estándares relacionados con la seguridad de los datos y gestión del almacenamiento. Por otro lado, NIST (National Institute of Standars and Technology) tiene un grupo de trabajo y publicaciones emitidas sobre la nube.

Según Forrester, CSA (Cloud Security Alliance) es la más fiable ya que tiene un punto de vista más integral de la seguridad en la nube. Además en CSA participan usuarios y proveedores de servicios cloud. De todos modos, como en otros ámbitos, no se espera que haya un único estándar para la seguridad en la nube. Es imposible definir un único estándar que se adapte a la gran variedad de servicios disponibles.