Internet y Seguridad
Control, auditoría y aseguramiento en Cloud Computing
Cómo controlo la Nube? ¿Cuáles son las mejores prácticas para asegurar la información? ¿Es...
Conozca todos los detalles en:
Inicio »
Noticias de Negocios y Tecnología »
Noticias de Negocios y Tecnología »
Entrevistas »
¿Qué tan segura es la nube?
aaaa
¿Qué tan segura es la nube?
Sin lugar a dudas el tema de seguridad se ha convertido en uno de los aspectos claves a la hora de tomar la decisión de subir o no a la nube. Channel Planet conversó con Cristian Borghello* de Argentina y Omar Herrera* de México, expertos latinoamericanos en seguridad sobre este neurálgico tema en el Cloud Computing.
CHP: ¿Cuál es su perspectiva respecto al tema de seguridad actual en Cloud Computing?
OH: La seguridad es un catalizador indispensable para que el Cloud Computing alcance el nivel de madurez y penetración de mercado que se espera. Cloud Computing representa la oportunidad de bajar costos de infraestructura tecnológica, hacer más eficiente la operación y tener una flexibilidad nunca antes vista en cuanto a disponibilidad de la información y acceso por demanda a recursos tecnológicos.
Pero también llega en una época donde tenemos requerimientos de seguridad y privacidad muy estrictos a nivel mundial. La única manera de solventar estos requerimientos es a través de soluciones de seguridad que resuelvan de raíz los problemas fundamentales de seguridad en la nube; de otra manera éstos serían acentuados por las características propias de Cloud Computing.
CB: Nuestra información está almacenada en ciertos lugares que llamamos nube que podría estar en cualquier parte del mundo, en cualquier servidor o en cualquier infraestructura que el proveedor haya decidido. A partir de ese momento es muy difícil establecer si esa información va a estar segura o no. Siempre vamos a tener cierta cantidad de no conocimiento de donde está y que tan segura está.
Con el advenimiento de Cloud Computing surgen distintos estándares sobre cómo asegurar esa información en términos de la confidencialidad del dueño de los datos, que en este caso sería quien contrata el servicio; la disponibilidad de la información, es decir que quien adquiere el servicio siempre pueda acceder a la información sin ningún tipo de cortes; y la integridad, que busca que esa información no sea modificada en ningún momento, ni en el centro de datos donde es almacenada ni mientras se esté transfiriendo.
Actualmente estamos en un nivel bastante alto de incertidumbre de cómo se va a almacenar la información, dónde se va a almacenar y con qué grado de seguridad y por eso empiezan a surgir ciertos estándares que todavía están en pañales, porque todo lo que es Cloud todavía está en una época inicial donde estamos empezando a conocer la tecnología.
¿Cuáles son los mayores riesgos y retos, a nivel de seguridad, en Cloud Computing?
OH: Hay tres retos fundamentales que aún no se han solventado adecuadamente.
El primero se refiere a la localización geográfica de la información. Diversas regulaciones en materia de privacidad, como por ejemplo la Directiva de Privacidad de la Unión Europea, restringen de manera explícita la exportación de cierto tipo de datos hacia países que no tienen regulaciones equivalentes. Éste es un problema legal que afecta directamente a las empresas que desean contratar servicios de Cloud Computing, ya que son directamente responsables del cumplimiento de dichas disposiciones.
El segundo, que también es un problema legal que afecta a los clientes de servicios de Cloud Computing, se refiere a la propiedad de los datos que se almacenan, procesan, generan o transmiten a través de servicios en la nube. Si bien se pueden mitigar mediante requerimientos contractuales, en la práctica resulta muy difícil asegurar el cumplimiento de estos requerimientos y la entrega de datos en tiempo y forma.
El tercer reto se refiere a la confidencialidad de la información. Es un problema que se ya se tenía con el outsourcing tradicional pero que se agudiza en el esquema de Cloud Computing, porque pueden participar diversos actores en diversas localidades.
Obligar a la firma de acuerdos de confidencialidad con cada participante limitaría las ventajas de Cloud Computing y lo reduciría a un esquema multi-outsourcing. Por otro lado, la confidencialidad de los datos en el punto donde dejan de estar encriptados para poder ser procesados, momento durante el cual pueden ser conocidos por un administrador, es algo que preocupa a empresas que requieren altos niveles de seguridad y que hoy en día no hemos logrado.
Pero más allá de estos riesgos operativos y técnicos, está el gran reto de aceptar que Cloud Computing plantea reglas del juego totalmente distintas, y se requieren paradigmas y soluciones diferentes a lo que tenemos actualmente.
CB: Con Cloud Computing lo que nace en realidad es un término nuevo, pero el principio y el modelo completo de utilizar distintas tecnologías y utilizar distintas formas de almacenamiento o de acceso a la información no es algo nuevo, lo venían utilizando las empresas hace algún tiempo.
Dejando de lado el término de marketing, hay que hacer un análisis desde dos puntos de vista. Primero hay que ver que Cloud tiene ventajas como que ya no tenemos que preocuparnos del Hosting para almacenar la información, no importa el lugar donde estemos podemos acceder a ella; no tenemos que preocuparnos por la disponibilidad porque supuestamente el servicio que adquirimos va a tener esa disponibilidad en todo momento.
Por otro lado no tenemos que preocuparnos, todo indica, de la seguridad de los servicios y de la información que almacenemos porque el servicio que estamos adquiriendo lo va a proveer. Es la forma de despreocuparnos de un montón de cosas que antes teníamos que hacer por nuestro lado.
En segunda instancia, hay algunos inconvenientes relacionados con la integración de una gran cantidad de servicios que involucra Cloud Computing, aunque algunos de estos servicios ya están maduros en el mercado. Por ejemplo, un centro de cómputo de datos para una empresa que provee este tipo de servicios no debería tener ningún tipo de secretos.
También aparece el tema de la confidencialidad de la información. Quién asegura que si almacenamos información confidencial y sensible, alguno de los administradores de los centros de datos, en algún lugar del mundo, en la nube, no ingresa a ellos.
También, en menor grado, pero no deja de ser importante, la integridad de nuestra información.
En la medida en que el modelo se haga más duro, vamos a ir aprendiendo y asegurando nuestra información de distintas formas. Obviamente sucederá en la medida en que el modelo se haga más conocido y lo vayamos implementando masivamente.
¿Qué recomendaciones daría a las empresas que están en búsqueda de un proveedor para soluciones en la nube?
OH: Que valoren su oferta, no sólo con base en el costo y los niveles de servicio, sino también considerando su potencial de crecimiento. La nube es todavía un esquema en proceso de madurez.
Muchas de las ventajas que se le atribuyen aún no son tangibles, pero para poder aprovechar al máximo el esquema cuando estas ventajas se materialicen será necesario evaluar de manera integral a los proveedores.
Si bien no existe aún un acuerdo general sobre cuáles son los servicios mínimos que debe ofrecer un proveedor de Cloud Computing, yo recomendaría evaluar al menos los siguientes:
•Un nivel de confidencialidad para datos sensibles, que sea adecuado para nuestras necesidades
•Un esquema de pagos que solo cobre por lo que se usa y que permita crecer y disminuir los recursos utilizados en cualquier momento
•Un esquema que asegure disponibilidad y acceso a los datos en cualquier momento
CB: En primer lugar lo que habría que exigir es un contrato donde quede claramente especificado todos los estándares internacionales que sigue esa organización. Ante la firma de un contrato va a ser poco probable que esa organización mienta.
En el contrato también se debe decir que buenas prácticas se tienen a nivel de seguridad. Si hablamos de las empresas más reconocidas en el mercado, sin duda todas ellas van a cumplir con los estándares
Por otro lado, con la norma SAS 70 puedo tener un servicio de auditoría de un tercero para que audite a esa organización y me brinde los resultados, lo que podría ser muy útil.
¿Cuáles son los estándares internacionales que deberían cumplir los proveedores de servicios en la nube?
OH: En mi opinión, todavía falta desarrollar estándares específicos para el esquema de Cloud Computing, que consideren seguridad de los datos, interoperabilidad entre proveedores e interacción con clientes.
A falta de esto, los estándares que hoy en día pueden apoyar adecuadamente a un proveedor de la nube son los estándares ISO, tales como 27001 y 9000, ya que son suficientemente genéricos para adecuarse a servicios particulares que se ofrecen bajo este nuevo esquema, y a la vez proporcionan una cobertura adecuada en términos de seguridad y procesos.
CB: Actualmente una de las más importantes y más reconocidos es la norma 27001 siempre y cuando no solicitemos que todas las empresas del mundo están certificadas, sino que se debe procurar que por lo menos sigan las buenas prácticas recomendadas por estos estándares.
La ISO 27002 es un código de buenas prácticas que nos va sugiriendo qué hacer en la organización para cumplir con todos los estándares de buenas prácticas recomendadas para asegurar la información, para tener un sistema de gestión adecuado.
Por otro lado hay otros estándares como SAS 70, que nos brinda el poder tener un contrato con un proveedor para conocer las mejores prácticas que sigue esta compañía y también nos habilita para hacer cierto tipo de auditorías en esas organizaciones a través de un tercero para verificar que todos los servicios provistos por esta empresa cumplen con los requerimientos.
También existe una norma Anfi que es la guía TIA-942 que indica como debería ser un centro computo, como debería estar desarrollado, y otros estándares que deberían seguir las organizaciones justamente para saber que se cumplen con los estándares internacionales.
También podemos mencionar las guías NIS o DISA de Estados Unidos.
¿Hay avances importantes en criptografía para generar confianza en el uso de soluciones en la nube?
OH: Definitivamente. Algunos de los avances más importantes se han llevado a cabo en el campo de cifrado homomórfico, que son algoritmos que permiten operar directamente sobre los datos encriptados, sin necesidad de conocer su contenido.
Estos esquemas, cuando logren alcanzar los niveles de eficiencia requeridos para operar los volúmenes de datos que se pretende manejar en la nube, podrán resolver de raíz el problema de la confidencialidad de los datos.
El avance más reciente lo realizó Craig Gentry apenas a mediados del 2009, al encontrar el primer mecanismo de cifrado homomórfico completo, es decir que permite realizar diversas operaciones con los datos encriptados de esta manera.
CB: La criptografía está muy madura en el mercado actualmente. Existen distintas soluciones que van a proveer servicios de criptografía, de cifrado para verificar la autenticidad, la integridad y la autenticidad de la información, ya sea que esté viajando o almacenada en algún centro de computo en algún lugar del mundo.
El servicio de criptografía nos ayuda porque tendríamos que en algún momento se necesita trabajar con la información descifrada, por ende alguien tendría la posibilidad de acceder a información confidencial. Para evitar ese tipo de problemas empiezan a surgir algunos modelos, si bien aún hay discusiones de si funcionarían en la práctica o no. Una de ellas es la posibilidad de trabajar con datos cifrados sin descifrarlos en ningún momento, criptografía homomórfica, pero todavía algunos expertos hablan de que a esto le faltan entre 5 o 10 años como mínimo para que el modelo de trabajo sea lo suficientemente adulto y sea posible trabajar en la práctica con este modelo.
¿En los contratos de servicios con los proveedores se debería incluir la información de en cuántos servidores se replica la información, dónde están ubicados o en qué momento toman la decisión de tener una réplica adicional de la información?
OH: En mi opinión, es un tema tan complejo que no vale la pena tratar de regular contractualmente la información de la ubicación de los datos, dado el dinamismo que empezará a adquirir el Cloud Computing.
Las empresas requieren esta información para evaluar el nivel de confianza que les brinda el esquema. Creo que en ese sentido resultaría mucho más sencillo encontrar esquemas que resuelvan el problema de la confidencialidad, sin importar la ubicación geográfica de los datos. Los intermediarios o brokers jugarán un papel fundamental en estas soluciones, ya que serán quienes se comprometerán contractualmente con los clientes, y a su vez manejarán de manera transparente la relación con el resto de los proveedores involucrados.
Técnicas de disociación de la información para generar grupos de datos que sin contexto no puedan ser utilizados de manera maliciosa podrían solventar gran parte de este problema.
CB: En el contrato lo que debería estar especificado es el porcentaje de tiempo que va a estar la información, como cuando hablábamos de Gmail. Este tema es independiente de la cantidad de granjas de servidores que tiene Google. Yo no sé si Google está almacenando mis correos de Gmail en una granja, en 5 o en 10 granjas de servidores distribuidas en todo el mundo.
A mayor cantidad de lugares hay una probabilidad menor de que ocurra un daño, pero no necesariamente va a asegurar la disponibilidad, además esta información raramente una empresa proveedora de servicios lo va a brindar porque muchas veces forma parte del secreto comercial y de la forma de trabajo que tiene la organización.
En cuanto a disponibilidad debe ser claro que la información va a ser almacenada para un objetivo determinado por el cliente, qué esta información debe ser eliminada cuando así se requiera o cuando el contrato se vence y no sea renovado.
Considera que en el campo del cómputo forense va a haber algún cambio
OH: Ciertamente. El cómputo forense se verá transformado totalmente. Pasará de operar en las capas de infraestructura y sistema operativo a operar en la capa de datos principalmente y deberá volverse preventivo. En la actualidad, mucha información que nos permite manejar los datos se genera en la capa de infraestructura y sistema operativo, y recientemente el enfoque se ha cargado hacia los metadatos de los aplicativos. Todo esto típicamente se registra en bitácoras.
Pero en un ambiente sin fronteras geográficas y altamente dinámico como será Cloud en un futuro no muy lejano, será imposible centralizar la información en bitácoras. Es probable que los metadatos deban acompañar a los datos en todo momento, a donde quiera que éstos viajen y sean procesados o almacenados. Es por esto que el esquema deberá ser preventivo, porque a nivel de protocolos de interacción se deberá definir cómo deben generarse, tratarse y transmitirse los metadatos. De cierta manera será un concepto similar a la información que cargaban consigo los agentes inteligentes que se desarrollaron hace algunos años.
¿El tema de Cloud va a generar nuevas especialidades en materia de seguridad?
CB: En el tema de certificaciones ya hay una nueva alianza que se creó hace algún tiempo que es Cloud Computing Alliance intenta diseñar nuevos estándares, buscado los principales expertos que trabajan con Cloud en el mundo.
En este momento ellos están trabajando en la versión dos de un documento sobre lo que se debería tener en la nube actualmente para trabajar en forma segura. En él se citan los principales problemas que existen y las soluciones que se están estudiando en este momento para esos problemas.
Una de las cosas que tiene pensadas crear Cloud Computing Alliance es una certificación de organizaciones que brinden el servicio de Cloud. De esta forma para quien quiera adquirir el servicio, podrá ser un dato muy importante saber si está certificada por Cloud Computing Alliance no solo en seguridad, sino en distintos dominios.
¿Qué diferencias ve entre el nivel de seguridad que se debe ofrecer en un Cloud privado y Cloud público?
OH: La Cloud pública requiere de soluciones de seguridad integrales que ataquen de raíz los problemas fundamentales y que puedan demostrar por sí mismas su valor. Es decir, la efectividad de dichas soluciones deberá quedar manifiesta por su diseño y arquitectura, más que por su desempeño en campo.
Se requieren controles de seguridad robustos y bien diseñados para que la Cloud Pública pueda prosperar, que es lo mismo que demandaría cualquier Cloud privada. En este sentido no veo ninguna diferencia.
Sin embargo la Cloud privada deberá encontrar un control que permita delimitar sus fronteras. No será fácil, pues las tendencias indican que tarde o temprano habrá recursos compartidos entre ambas y estas fronteras serán dinámicas en el futuro.
¿Cómo ve el futuro del sector proveedor de soluciones, productos y servicios de seguridad informática ante Cloud?
OH: El sector de la seguridad se va a transformar de manera radical. Muchas empresas dejarán de tener la presencia que tienen y también aparecerán nuevos jugadores. Para bien o para mal, las características dinámicas y de interacción entre un gran número de participantes de la Cloud, requieren de soluciones que sean más efectivas, por lo que el mercado será más estricto con los proveedores de estos servicios y dará menos margen para errores.
Ésta será una gran oportunidad para aquellas empresas que han logrado entender y aplicar correctamente conceptos y tecnologías de seguridad que tradicionalmente son complejas, y donde se han cometido muchos errores, como es el caso de la criptografía.
Quienes quieran participar en este mercado deberán mostrar madurez y solidez en sus soluciones. La mercadotecnia no será suficiente para mantenerse en este mercado.
Omar Herrera Reyna cuenta con más de 10 años de experiencia en seguridad de la información, especializándose en los rubros de análisis de riesgos, cómputo forense, evaluaciones de seguridad, y arquitectura de seguridad, dentro del sector financiero. Cuenta con una Maestría en Ciencias en Cómputo Forense por parte de la Universidad de Bradford, del Reino Unido. Se ha desempeñado como especialista y oficial en áreas de seguridad y riesgo tecnológico de diversas empresas, entre las que destacan: Deloitte, Banco de México, Banco Walmart, Banco Fácil, Volkswagen Bank y Banobras. Ha sido colaborador de bankinfosecurity.com y se ha desempeñado como miembro del comité directivo del estándar ISSAF de evaluaciones de seguridad, en el Open Information Systems Security Group (OISSG). Cuenta con las certificaciones CISSP de la ISC^2, y CISA de ISACA."
Cristian Borghello es una de las figuras más reconocidas en el ámbito de la Seguridad informática en Argentina pues desde hace 10 años es Director de Segu- Info, trabajo que desarrolla paralelamente con otras actividades laborales.
Se desempeña como consultor independiente en Seguridad de la Información para Empresas grandes y medianas. Ha sido Profesor Seguridad Informática en la Universidad CAECE y Director de Educación e Investigación en ESET (empresa de software de seguridad), entre otras actividades laborales.
Es Licenciado en Sistemas de la Universidad Tecnológica Nacional de Argentina, desarrollador de software, Certified Information Systems Security Professional (CISSP) y Microsoft MVP (Most Valuable
Professional) Security.
Escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información.
Ha disertado en congresos y seminarios nacionales e internacionales sobre la temática
OH: La seguridad es un catalizador indispensable para que el Cloud Computing alcance el nivel de madurez y penetración de mercado que se espera. Cloud Computing representa la oportunidad de bajar costos de infraestructura tecnológica, hacer más eficiente la operación y tener una flexibilidad nunca antes vista en cuanto a disponibilidad de la información y acceso por demanda a recursos tecnológicos.
Pero también llega en una época donde tenemos requerimientos de seguridad y privacidad muy estrictos a nivel mundial. La única manera de solventar estos requerimientos es a través de soluciones de seguridad que resuelvan de raíz los problemas fundamentales de seguridad en la nube; de otra manera éstos serían acentuados por las características propias de Cloud Computing.
CB: Nuestra información está almacenada en ciertos lugares que llamamos nube que podría estar en cualquier parte del mundo, en cualquier servidor o en cualquier infraestructura que el proveedor haya decidido. A partir de ese momento es muy difícil establecer si esa información va a estar segura o no. Siempre vamos a tener cierta cantidad de no conocimiento de donde está y que tan segura está.
Con el advenimiento de Cloud Computing surgen distintos estándares sobre cómo asegurar esa información en términos de la confidencialidad del dueño de los datos, que en este caso sería quien contrata el servicio; la disponibilidad de la información, es decir que quien adquiere el servicio siempre pueda acceder a la información sin ningún tipo de cortes; y la integridad, que busca que esa información no sea modificada en ningún momento, ni en el centro de datos donde es almacenada ni mientras se esté transfiriendo.
Actualmente estamos en un nivel bastante alto de incertidumbre de cómo se va a almacenar la información, dónde se va a almacenar y con qué grado de seguridad y por eso empiezan a surgir ciertos estándares que todavía están en pañales, porque todo lo que es Cloud todavía está en una época inicial donde estamos empezando a conocer la tecnología.
¿Cuáles son los mayores riesgos y retos, a nivel de seguridad, en Cloud Computing?
OH: Hay tres retos fundamentales que aún no se han solventado adecuadamente.
El primero se refiere a la localización geográfica de la información. Diversas regulaciones en materia de privacidad, como por ejemplo la Directiva de Privacidad de la Unión Europea, restringen de manera explícita la exportación de cierto tipo de datos hacia países que no tienen regulaciones equivalentes. Éste es un problema legal que afecta directamente a las empresas que desean contratar servicios de Cloud Computing, ya que son directamente responsables del cumplimiento de dichas disposiciones.
El segundo, que también es un problema legal que afecta a los clientes de servicios de Cloud Computing, se refiere a la propiedad de los datos que se almacenan, procesan, generan o transmiten a través de servicios en la nube. Si bien se pueden mitigar mediante requerimientos contractuales, en la práctica resulta muy difícil asegurar el cumplimiento de estos requerimientos y la entrega de datos en tiempo y forma.
El tercer reto se refiere a la confidencialidad de la información. Es un problema que se ya se tenía con el outsourcing tradicional pero que se agudiza en el esquema de Cloud Computing, porque pueden participar diversos actores en diversas localidades.
Obligar a la firma de acuerdos de confidencialidad con cada participante limitaría las ventajas de Cloud Computing y lo reduciría a un esquema multi-outsourcing. Por otro lado, la confidencialidad de los datos en el punto donde dejan de estar encriptados para poder ser procesados, momento durante el cual pueden ser conocidos por un administrador, es algo que preocupa a empresas que requieren altos niveles de seguridad y que hoy en día no hemos logrado.
Pero más allá de estos riesgos operativos y técnicos, está el gran reto de aceptar que Cloud Computing plantea reglas del juego totalmente distintas, y se requieren paradigmas y soluciones diferentes a lo que tenemos actualmente.
CB: Con Cloud Computing lo que nace en realidad es un término nuevo, pero el principio y el modelo completo de utilizar distintas tecnologías y utilizar distintas formas de almacenamiento o de acceso a la información no es algo nuevo, lo venían utilizando las empresas hace algún tiempo.
Dejando de lado el término de marketing, hay que hacer un análisis desde dos puntos de vista. Primero hay que ver que Cloud tiene ventajas como que ya no tenemos que preocuparnos del Hosting para almacenar la información, no importa el lugar donde estemos podemos acceder a ella; no tenemos que preocuparnos por la disponibilidad porque supuestamente el servicio que adquirimos va a tener esa disponibilidad en todo momento.
Por otro lado no tenemos que preocuparnos, todo indica, de la seguridad de los servicios y de la información que almacenemos porque el servicio que estamos adquiriendo lo va a proveer. Es la forma de despreocuparnos de un montón de cosas que antes teníamos que hacer por nuestro lado.
En segunda instancia, hay algunos inconvenientes relacionados con la integración de una gran cantidad de servicios que involucra Cloud Computing, aunque algunos de estos servicios ya están maduros en el mercado. Por ejemplo, un centro de cómputo de datos para una empresa que provee este tipo de servicios no debería tener ningún tipo de secretos.
También aparece el tema de la confidencialidad de la información. Quién asegura que si almacenamos información confidencial y sensible, alguno de los administradores de los centros de datos, en algún lugar del mundo, en la nube, no ingresa a ellos.
También, en menor grado, pero no deja de ser importante, la integridad de nuestra información.
En la medida en que el modelo se haga más duro, vamos a ir aprendiendo y asegurando nuestra información de distintas formas. Obviamente sucederá en la medida en que el modelo se haga más conocido y lo vayamos implementando masivamente.
¿Qué recomendaciones daría a las empresas que están en búsqueda de un proveedor para soluciones en la nube?
OH: Que valoren su oferta, no sólo con base en el costo y los niveles de servicio, sino también considerando su potencial de crecimiento. La nube es todavía un esquema en proceso de madurez.
Muchas de las ventajas que se le atribuyen aún no son tangibles, pero para poder aprovechar al máximo el esquema cuando estas ventajas se materialicen será necesario evaluar de manera integral a los proveedores.
Si bien no existe aún un acuerdo general sobre cuáles son los servicios mínimos que debe ofrecer un proveedor de Cloud Computing, yo recomendaría evaluar al menos los siguientes:
•Un nivel de confidencialidad para datos sensibles, que sea adecuado para nuestras necesidades
•Un esquema de pagos que solo cobre por lo que se usa y que permita crecer y disminuir los recursos utilizados en cualquier momento
•Un esquema que asegure disponibilidad y acceso a los datos en cualquier momento
CB: En primer lugar lo que habría que exigir es un contrato donde quede claramente especificado todos los estándares internacionales que sigue esa organización. Ante la firma de un contrato va a ser poco probable que esa organización mienta.
En el contrato también se debe decir que buenas prácticas se tienen a nivel de seguridad. Si hablamos de las empresas más reconocidas en el mercado, sin duda todas ellas van a cumplir con los estándares
Por otro lado, con la norma SAS 70 puedo tener un servicio de auditoría de un tercero para que audite a esa organización y me brinde los resultados, lo que podría ser muy útil.
¿Cuáles son los estándares internacionales que deberían cumplir los proveedores de servicios en la nube?
OH: En mi opinión, todavía falta desarrollar estándares específicos para el esquema de Cloud Computing, que consideren seguridad de los datos, interoperabilidad entre proveedores e interacción con clientes.
A falta de esto, los estándares que hoy en día pueden apoyar adecuadamente a un proveedor de la nube son los estándares ISO, tales como 27001 y 9000, ya que son suficientemente genéricos para adecuarse a servicios particulares que se ofrecen bajo este nuevo esquema, y a la vez proporcionan una cobertura adecuada en términos de seguridad y procesos.
CB: Actualmente una de las más importantes y más reconocidos es la norma 27001 siempre y cuando no solicitemos que todas las empresas del mundo están certificadas, sino que se debe procurar que por lo menos sigan las buenas prácticas recomendadas por estos estándares.
La ISO 27002 es un código de buenas prácticas que nos va sugiriendo qué hacer en la organización para cumplir con todos los estándares de buenas prácticas recomendadas para asegurar la información, para tener un sistema de gestión adecuado.
Por otro lado hay otros estándares como SAS 70, que nos brinda el poder tener un contrato con un proveedor para conocer las mejores prácticas que sigue esta compañía y también nos habilita para hacer cierto tipo de auditorías en esas organizaciones a través de un tercero para verificar que todos los servicios provistos por esta empresa cumplen con los requerimientos.
También existe una norma Anfi que es la guía TIA-942 que indica como debería ser un centro computo, como debería estar desarrollado, y otros estándares que deberían seguir las organizaciones justamente para saber que se cumplen con los estándares internacionales.
También podemos mencionar las guías NIS o DISA de Estados Unidos.
¿Hay avances importantes en criptografía para generar confianza en el uso de soluciones en la nube?
OH: Definitivamente. Algunos de los avances más importantes se han llevado a cabo en el campo de cifrado homomórfico, que son algoritmos que permiten operar directamente sobre los datos encriptados, sin necesidad de conocer su contenido.
Estos esquemas, cuando logren alcanzar los niveles de eficiencia requeridos para operar los volúmenes de datos que se pretende manejar en la nube, podrán resolver de raíz el problema de la confidencialidad de los datos.
El avance más reciente lo realizó Craig Gentry apenas a mediados del 2009, al encontrar el primer mecanismo de cifrado homomórfico completo, es decir que permite realizar diversas operaciones con los datos encriptados de esta manera.
CB: La criptografía está muy madura en el mercado actualmente. Existen distintas soluciones que van a proveer servicios de criptografía, de cifrado para verificar la autenticidad, la integridad y la autenticidad de la información, ya sea que esté viajando o almacenada en algún centro de computo en algún lugar del mundo.
El servicio de criptografía nos ayuda porque tendríamos que en algún momento se necesita trabajar con la información descifrada, por ende alguien tendría la posibilidad de acceder a información confidencial. Para evitar ese tipo de problemas empiezan a surgir algunos modelos, si bien aún hay discusiones de si funcionarían en la práctica o no. Una de ellas es la posibilidad de trabajar con datos cifrados sin descifrarlos en ningún momento, criptografía homomórfica, pero todavía algunos expertos hablan de que a esto le faltan entre 5 o 10 años como mínimo para que el modelo de trabajo sea lo suficientemente adulto y sea posible trabajar en la práctica con este modelo.
¿En los contratos de servicios con los proveedores se debería incluir la información de en cuántos servidores se replica la información, dónde están ubicados o en qué momento toman la decisión de tener una réplica adicional de la información?
OH: En mi opinión, es un tema tan complejo que no vale la pena tratar de regular contractualmente la información de la ubicación de los datos, dado el dinamismo que empezará a adquirir el Cloud Computing.
Las empresas requieren esta información para evaluar el nivel de confianza que les brinda el esquema. Creo que en ese sentido resultaría mucho más sencillo encontrar esquemas que resuelvan el problema de la confidencialidad, sin importar la ubicación geográfica de los datos. Los intermediarios o brokers jugarán un papel fundamental en estas soluciones, ya que serán quienes se comprometerán contractualmente con los clientes, y a su vez manejarán de manera transparente la relación con el resto de los proveedores involucrados.
Técnicas de disociación de la información para generar grupos de datos que sin contexto no puedan ser utilizados de manera maliciosa podrían solventar gran parte de este problema.
CB: En el contrato lo que debería estar especificado es el porcentaje de tiempo que va a estar la información, como cuando hablábamos de Gmail. Este tema es independiente de la cantidad de granjas de servidores que tiene Google. Yo no sé si Google está almacenando mis correos de Gmail en una granja, en 5 o en 10 granjas de servidores distribuidas en todo el mundo.
A mayor cantidad de lugares hay una probabilidad menor de que ocurra un daño, pero no necesariamente va a asegurar la disponibilidad, además esta información raramente una empresa proveedora de servicios lo va a brindar porque muchas veces forma parte del secreto comercial y de la forma de trabajo que tiene la organización.
En cuanto a disponibilidad debe ser claro que la información va a ser almacenada para un objetivo determinado por el cliente, qué esta información debe ser eliminada cuando así se requiera o cuando el contrato se vence y no sea renovado.
Considera que en el campo del cómputo forense va a haber algún cambio
OH: Ciertamente. El cómputo forense se verá transformado totalmente. Pasará de operar en las capas de infraestructura y sistema operativo a operar en la capa de datos principalmente y deberá volverse preventivo. En la actualidad, mucha información que nos permite manejar los datos se genera en la capa de infraestructura y sistema operativo, y recientemente el enfoque se ha cargado hacia los metadatos de los aplicativos. Todo esto típicamente se registra en bitácoras.
Pero en un ambiente sin fronteras geográficas y altamente dinámico como será Cloud en un futuro no muy lejano, será imposible centralizar la información en bitácoras. Es probable que los metadatos deban acompañar a los datos en todo momento, a donde quiera que éstos viajen y sean procesados o almacenados. Es por esto que el esquema deberá ser preventivo, porque a nivel de protocolos de interacción se deberá definir cómo deben generarse, tratarse y transmitirse los metadatos. De cierta manera será un concepto similar a la información que cargaban consigo los agentes inteligentes que se desarrollaron hace algunos años.
¿El tema de Cloud va a generar nuevas especialidades en materia de seguridad?
CB: En el tema de certificaciones ya hay una nueva alianza que se creó hace algún tiempo que es Cloud Computing Alliance intenta diseñar nuevos estándares, buscado los principales expertos que trabajan con Cloud en el mundo.
En este momento ellos están trabajando en la versión dos de un documento sobre lo que se debería tener en la nube actualmente para trabajar en forma segura. En él se citan los principales problemas que existen y las soluciones que se están estudiando en este momento para esos problemas.
Una de las cosas que tiene pensadas crear Cloud Computing Alliance es una certificación de organizaciones que brinden el servicio de Cloud. De esta forma para quien quiera adquirir el servicio, podrá ser un dato muy importante saber si está certificada por Cloud Computing Alliance no solo en seguridad, sino en distintos dominios.
¿Qué diferencias ve entre el nivel de seguridad que se debe ofrecer en un Cloud privado y Cloud público?
OH: La Cloud pública requiere de soluciones de seguridad integrales que ataquen de raíz los problemas fundamentales y que puedan demostrar por sí mismas su valor. Es decir, la efectividad de dichas soluciones deberá quedar manifiesta por su diseño y arquitectura, más que por su desempeño en campo.
Se requieren controles de seguridad robustos y bien diseñados para que la Cloud Pública pueda prosperar, que es lo mismo que demandaría cualquier Cloud privada. En este sentido no veo ninguna diferencia.
Sin embargo la Cloud privada deberá encontrar un control que permita delimitar sus fronteras. No será fácil, pues las tendencias indican que tarde o temprano habrá recursos compartidos entre ambas y estas fronteras serán dinámicas en el futuro.
¿Cómo ve el futuro del sector proveedor de soluciones, productos y servicios de seguridad informática ante Cloud?
OH: El sector de la seguridad se va a transformar de manera radical. Muchas empresas dejarán de tener la presencia que tienen y también aparecerán nuevos jugadores. Para bien o para mal, las características dinámicas y de interacción entre un gran número de participantes de la Cloud, requieren de soluciones que sean más efectivas, por lo que el mercado será más estricto con los proveedores de estos servicios y dará menos margen para errores.
Ésta será una gran oportunidad para aquellas empresas que han logrado entender y aplicar correctamente conceptos y tecnologías de seguridad que tradicionalmente son complejas, y donde se han cometido muchos errores, como es el caso de la criptografía.
Quienes quieran participar en este mercado deberán mostrar madurez y solidez en sus soluciones. La mercadotecnia no será suficiente para mantenerse en este mercado.
Omar Herrera Reyna cuenta con más de 10 años de experiencia en seguridad de la información, especializándose en los rubros de análisis de riesgos, cómputo forense, evaluaciones de seguridad, y arquitectura de seguridad, dentro del sector financiero. Cuenta con una Maestría en Ciencias en Cómputo Forense por parte de la Universidad de Bradford, del Reino Unido. Se ha desempeñado como especialista y oficial en áreas de seguridad y riesgo tecnológico de diversas empresas, entre las que destacan: Deloitte, Banco de México, Banco Walmart, Banco Fácil, Volkswagen Bank y Banobras. Ha sido colaborador de bankinfosecurity.com y se ha desempeñado como miembro del comité directivo del estándar ISSAF de evaluaciones de seguridad, en el Open Information Systems Security Group (OISSG). Cuenta con las certificaciones CISSP de la ISC^2, y CISA de ISACA."
Cristian Borghello es una de las figuras más reconocidas en el ámbito de la Seguridad informática en Argentina pues desde hace 10 años es Director de Segu- Info, trabajo que desarrolla paralelamente con otras actividades laborales.
Se desempeña como consultor independiente en Seguridad de la Información para Empresas grandes y medianas. Ha sido Profesor Seguridad Informática en la Universidad CAECE y Director de Educación e Investigación en ESET (empresa de software de seguridad), entre otras actividades laborales.
Es Licenciado en Sistemas de la Universidad Tecnológica Nacional de Argentina, desarrollador de software, Certified Information Systems Security Professional (CISSP) y Microsoft MVP (Most Valuable
Professional) Security.
Escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información.
Ha disertado en congresos y seminarios nacionales e internacionales sobre la temática
