Este documento trata sobre la seguridad de la información en la nube. Discuten los principales riesgos de seguridad como la integridad, privacidad y disponibilidad de los datos. También cubre temas como la autenticación, autorización, auditoría, confidencialidad e integridad de los datos. Resalta la importancia de que los proveedores de la nube tengan sólidos controles de seguridad y políticas claras sobre la protección y el uso de la información de los clientes.
1. SEGURIDAD DE LA NUBE
La computaciónennube tienecaracterísticasespecíficas querequierenevaluaciónde los riesgosen
áreas tales como integridad, recuperación y privacidad de los datos, así como asuntos legales en
áreas talescomo la normativade regulación(compliance) yauditoríade lossistemasde seguridad
de la información.
Tecnologías como EC2 de Amazon o Google App Engine de Google, son ejemplos de servicios de
Cloud Computing en las cuales se entregan a los clientes externos servicios de TI que utilizan
tecnologías de Internet.
PROTECCIÓN DE DATOS
La nube,como yaconoce el lector,esunmodelode computaciónque ofrece el usode una serie de
servicios, aplicaciones, datos, plataformas, infraestructuras, compuestas a su vez por recursos de
computación,redes,servidores,almacenamiento,etc.Enunaprimera impresión,laabstraccióndel
hardware que trae consigolanube da la sensaciónde que el nivel de seguridadesmásbajoque en
losmodelostradicionales,yaqueenalgunosmodelos delanubelaempresacliente pierde elcontrol
de seguridadsobre dichosservicios.Sin embargo,si laspolíticas de seguridaddel proveedorestán
bien definidas y el cliente las ejecuta fielmente, trabajar en la nube supondrá, normalmente, una
mejora de seguridad.
Así, se plantean preguntas clave en la estrategia de seguridad en la nube:
1. ¿dónde estarán desplegados los datos?
2. ¿con cuál protección?
3. ¿quién es responsable de ellos?
Los grandesproveedoresde lanube tienenrespuestaclaraparala tercera pregunta:el responsable
de los datos es el cliente (personal o empresa). IBM llama a este tipo de seguridad “Secure by
design”,odichode otro modo“seguridadpersonalizada”.El concepto pretendeque el entornosea
el resultado de la interacción entre proveedor y empresa receptora de servicios.
SEGURIDAD DE LOS SERVICIOS DE LA NUBE
La evaluación de riesgos y la revisiónde la seguridad en la nube deben considerar en primer lugar
lasopcionesde desplieguede lanube (pública,privadae híbrida) ymodelosde entregade servicios
(SaaS, PaaS, IaaS). Estrechamente relacionada con los modelos anteriores estarán los procesos
relacionadosconlavirtualización,loscualestambién consideraremos.Evidentemente,comosucede
en el Plan General de Seguridad de la Información (PGSI), ninguna lista de controles de seguridad
podrá cubrir todas las circunstancias, pero se deberá adoptar un enfoque basado en riesgos para
moverse omigrara la nube yseleccionarlasopcionesde seguridad.Losactivosde despliegueenla
nube se agrupan en dos grandes bloques: los datos y las aplicaciones.
INFORMESDE LA INDUSTRIA DE SOFTWARE
La importanciade laseguridadenlanube ylanecesidadde afrontarlosretosque ello supone,hace
que los grandesproveedoresde lanube y de seguridadpubliquen frecuentemente informessobre
temas de seguridad. Citaremos algunos casos a manera de ejemplo.
2. Trend Micro
Trend Micro, una de las grandes empresas proveedoras de seguridad informática del mundo,
publicó un informe en junio de 2011, donde destacaba que el 43% de las empresas han tenido
problemasde seguridadconsusproveedoresde serviciosbasadosenlanube.El informese elaboró
despuésde entrevistara1.200 directoresde información(CIO’s) yel tema central de las encuestas
y entrevistasfue cloudcomputingyla seguridad.Enel informe se destacabaque la adopciónde la
nube en las empresas se estaba llevando a buen ritmo.
Cisco
El informe de Cisco de noviembre de 2011. Cisco, primer fabricante del mundo de dispositivos y
redesde comunicaciónpresentóenAcapulco,México,enel mesde noviembre de 2011, el informe:
“Seguridad en la nube, el nuevo reto: Cisco”.
Cisco anunció su servicio de seguridad, ScanSafe Cloud Web que permite blindar la navegación
dentro de la nube y asegurar el almacenamiento de datos salvaguardando la información de los
usuarios.
Microsoft
Microsofttambiénestápreocupadosobrelaseguridadydisponibilidadde losdatosque sus clientes
depositan en la nube, juntocon los requerimientos globales de seguridad. Algunas preguntas que
cabría hacerse son: ¿qué están haciendo los proveedores para poder mantener una nube segura?
¿Están mis datos y los de mi empresa seguros en la nube? Es necesario que las empresas
proveedoras de la nube tengan numerosos controles de seguridad del estándar ISO.
Es importante tener en cuenta que existen muchas medidas de seguridad que Microsoft
implementa, y también se preocupa sobre las reglas básicas de privacidad en el desarrollo de
cualquier programa de software:
1. Privacidad pordiseño:toda lainformaciónobtenidade losusuariosdebe serparaun
propósitoenparticular.Cuandose trata de informaciónsensible,se deben tomarmedidas
de seguridadadicionales.
2. Privacidad pordefecto:Microsoftsiempre pide autorizaciónalosusuariospara utilizaro
transmitirinformaciónsensible.Unavezautorizada,lainformaciónes protegidapor
mecanismosde autenticaciónylistasde control de acceso.
3. Privacidad en la implementación:Microsoftrevelasusmecanismosde privacidadasus
clientesempresarialesparaque éstospuedanadaptaresasmedidasasus propias
necesidades.
4. Comunicación:constante publicaciónde documentossobre novedades relacionadasconla
privacidad.
Microsoftse mantiene alavanguardiaencuantoa lasleyesde seguridad,ycontinúaaplicandolos
estándaresanivel mundial.Lascaracterísticasde losproductosque ofrece Microsoftenla nube se
puedenconsultarenel sitio Cloud Power.
3. ASEGURAMIENTO DE LOS DATOS EN LA NUBE
La seguridad física define el modo de controlar el acceso físico a los servidores que soportan su
infraestructura. La nube exige restricciones físicas de seguridad, teniendo presente que hay
servidoresrealesque funcionanencualquierlugar.Cuandose selecciona unproveedorde lanube,
se debe conocer y entender sus protocolos físicosde seguridad y las cosas que necesitan hacerse
para asegurarse sus sistemas frente a vulnerabilidades físicas.
Control de los datos
El gran abismo existente entre los centros de datos tradicionales y los de la nube reside en la
posición de sus datos en los servidores. Las empresas que han externalizadosus centros de datos
enun proveedorde serviciosgestionadoenlanube se encuentranconel problemade no conocer,
normalmente, en qué servidores están alojados sus datos. En verdad no existe tal problema si
tenemos seguridad y fiabilidad en la empresa que nos gestiona los datos, sin embargo, la carga
emocional existirá siempre y será una limitación que influirá directamente en la sensación de
inseguridad de los datos.
Porotra parte,losdatosalmacenadosenlanubese refierenesencialmentealosdatos almacenados
enlosserviciosde IaaSynoalosdatosasociadosconlaejecuciónde unaaplicaciónenlanube tales
como SaaS y PaaS.
Por estarazón seráprecisoconsiderarlastresáreasclave de temasrelacionadosconla seguridad
y privacidadde losdatos(Hurwitz2010: 76):
Localizaciónde susdatos
Control de sus datos
Transferencias seguras de sus datos
REQUISITOS EXIGIBLES AL PROVEEDOR RELATIVOSA
DATOS
Antesde firmarel contrato con el proveedorde lanube debe asegurarse que enel mismoy
enel acuerdode nivel de servicios(SLA) correspondiente debenestarcontempladosal
menoslossiguientescompromisos(Hurwitz 2010: 85):
Integridad delos datos.
Cumplimiento deestándaresy regulacionespropiasdesu negocio.
Pérdida de datos.
Planesde continuidad delnegocio.
Tiempo deoperación.Aunque suproveedorle señalaraque susdatosestarándisponibles
el 99.999% del tiempo,se debe comprobarenel contratoyverificarsi este tiempoincluye
lasoperacionesde mantenimiento.
Costes de almacenamiento de datos. Es muy importante verificar qué incluye el concepto
“almacenamientode datos”. Está incluido el coste de mover los datos en la nube. Existen
costes ocultos de posibles integraciones de datos. ¿Cuánto costará realmente almacenar
sus datos? Debe enterarse de cómo el proveedor trata realmente el almacenamiento de
datos.
4. Terminación del contrato. Si el contrato se termina,¿cómose devuelvenlosdatos?Si está
utilizando un proveedor de servicios de SaaS, por ejemplo, CRMo paquete ofimático, y se
han creado datos durante las operaciones, ¿cómo se devolverán esos datos? Algunas
compañías simplemente le anunciarán que destruirán losdatos no reclamados;asegúrese
cómo se destruyen y que no se quedan “flotando” en la nube.
Propiedad de los datos. ¿Quién dispondrá del uso de sus datos una vez estén en la nube?
Algunosproveedoresde serviciospuedendesearanalizarsus datospara fines estadísticos,
mezclarlosconotros datos,etc. Son operacionessimilaresalas que se hacen a diarioenel
comercio tradicional donde autorizamos a determinadas empresas a que puedan utilizar
todos o parte de nuestros datos con fines de promociones publicitarias o similares.
OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA NUBE
El desarrollodel softwaresegurose basaenlaaplicaciónde principiosde diseñode softwareseguro
que forman los principios fundamentales del aseguramiento del software. El seguramiento del
software se define como: “los fundamentos que permiten tener confianza justificada de que el
softwaredebe tenertodaslaspropiedadesrequeridasparaasegurarque cuandodicho softwarese
esté ejecutando deberá operar de modo fiable pese a la presencia de fallos intencionales. En
términos prácticos significa que el software debe ser capaz de resistir la mayoría de los ataques,
tolerar tantos ataques como sean posibles, contener los daños y recuperar un nivel de ejecución
normal tan pronto como sea posibles, después de que cualesquiera ataques sean incapaces de
resistir o tolerar”.
Los principiosfundamentalesque soportanel aseguramientode lossistemasde informaciónenla
nube son, engeneral,similaresalosestablecidosparalas Tecnologíasde la Información,perocon
las características de la Nube. Se consideran los siguientes principios fundamentales:
confidencialidad, integridad y disponibilidad, conocidos como la Triada de la Seguridad, y los
principios complementarios son: autenticación, autorización, auditoría, responsabilidad
(accountability) y privacidad.
Confidencialidad
La confidencialidad se refiere a la prevención de la divulgación (revelación) de información no
autorizada tanto intencionada como no intencionada. Las confidencialidades en los sistemasde la
nube se refieren a las áreas de derechos propiedad intelectual, cobertura de canales, análisis de
tráfico, cifrado e inferencia.
Integridad
La integridadesla garantía de que el mensaje enviadoesel mensaje recibidoyque el mensaje no
ha sido alterado intencionadamente o no. Esta seguridad de la integridad de los datos se debe
garantizarenel tránsitoyenel almacenamientode losdatos.Tambiénse debenespecificarmedios
pararecuperaciónapartirde erroresdetectadostalescomo borrados,insercionesomodificaciones.
Los medios para proteger la integridadde la información incluyen políticas de control de acceso y
decisiones respecto a quién o quiénes puedentransmitir y recibir datos y cuál información puede
ser intercambiada.
5. Los requerimientosparael cumplimientode laintegridaddebencontemplar:
Validacióndel origende losdatos
Detecciónde laalteraciónde losdatos
Determinación de que el origen de los datos se ha cambiado
OTRAS CARACTERÍSTICAS IMPORTANTES
Existen otras propiedades o características complementarias de las anteriores que se aplican
a todo tipo de taxonomías de seguridad, como es el caso de la tradicional seguridad de los
sistemas de información y de los sistemas de computación en la nube.
Identificación
Es el proceso mediante el cual los usuarios proporcionan sus identidades a un sistema. La
identificaciónse utiliza,principalmente,paracontrol de accesoy esnecesariapara laautenticación
y la autorización.
Autenticación
La autenticación esel procesode verificaciónde evidenciade laidentidadde unusuario. Establece
la identidad del usuario y asegura que los usuarios son quienes realmente dicen ser. Por ejemplo,
un procesocomún de autenticaciónde un usuarioexige presentarsu identidad(IDdel usuario) en
el registrode entrada(login)de lapantallade unacomputadora yacontinuacióndebeproporcionar
una contraseña (password). El sistema autentica (autentifica) al usuario verificando que la
contraseña que ha introducido corresponde con la identidad (ID) presentada por el usuario; dicho
de otra manera, se trata de establecer la identidad del usuario y asegurar que los usuarios son
quienes dicen realmente que son.
La autenticaciónde unusuariose basa,sobre todo,envariosconceptosprácticos:
Un conceptoo términoque conoce el usuario,como unnúmerode identificaciónpersonal
(PIN) o una contraseña.
Alguna cosa que tiene el usuario, como una tarjeta inteligente o una tarjeta de crédito o
similar.
Alguna cosa física tal como una huella o la exploración de la retina del ojo.
Autenticación de comportamiento (teclear nombre u otras frases en el teclado).
Autorización
La autorización se refiere a los derechos y privilegios garantizados a una persona o proceso
que facilitan el acceso a los recursos de la computadora y los activos de información. Una
vez que la identidad de un usuario y su autenticación se han establecido, los niveles de
autorización determinan el grado o alcance de los derechos del usuario en el sistema.
Auditoría
La auditoría de un sistema en la nube tiene características similares a la auditoría del ciclo
de vida de desarrollo del software y debe contemplar un plan de auditoría que al menos
considere los siguientes aspectos (Krutz 83):
Determinación del ámbito de la auditoría
Determinación de los objetivos de la auditoría
6. Validación del plan de auditoría
Identificación de recursos necesarios
Responsabilidad
La responsabilidad (en inglés, accountability) es la capacidad de determinar las acciones y
comportamiento de una persona dentro de un sistema de nube e identificar a ese individuo
particular. Los trazos (trails) y conexiones (logs) soportan la responsabilidad y se pueden utilizar
para conducir los estudios post mórtem a fin de analizar los eventos históricos y los individuos o
procesos asociados con esos eventos. La responsabilidad está relacionada con el concepto de no
repudio.
Privacidad
El nivel de protecciónde laprivacidaddadaaun usuarioenun sistemadebe serlomásalta posible
y conforme a las leyes de privacidad vigentes en el país en que resida el cliente. La privacidad no
sólogarantizael nivel de confidencialidadde losdatosde unaempresa,sino que tambiéngarantiza
el nivel de privacidadde losdatosque se hanutilizadopor el operador.Porlaimportanciadeltema
en la computación en nube, se dedica un capítulo en exclusiva al análisis de la privacidad.
ASPECTOS SIGNIFICATIVOSEN LA SEGURIDAD EN LA NUBE
Las empresas y organizacionesque optan por la migración o movimiento hacia la nube deberán
estudiarplenamenteaquellostemascríticosrelativosalaseguridad.Asíse consideranal menoslos
siguientes aspectos:
Implicaciones legales, cumplimiento y conformidad con regulatorios y los estándares que
son diferentes en la nube de los marcos legales y regulatorios del entorno tradicional.
Noexiste el perímetrode seguridadde laorganizacióntradicional enlanube.La políticade
seguridadcentradaenla seguridadperimetral nofuncionaenlanube inclusocon aquellas
nubes que soporten la seguridad tradicional del perímetro.
El almacenamiento de datos en la nube debe considerarse un perfil de alto riesgo.
Las tecnologías de virtualización como Xen, Citrix, o VMware tienen sus propias
vulnerabilidades y por consiguiente se deben introducir pautas de comportamiento.
CUMPLIMIENTO DE REGULACIONES Y ESTÁNDARES
La adopción de los servicios de la nube por una organizacióno empresa, presenta muchos retos y
desafíos.Cuandounaorganizaciónmigraalanube paraconsumirservicios de ellay, especialmente,
servicios de la nube pública, mucha de la infraestructura de sus sistemas de computación pasa a
estar bajo el control de un proveedor de servicios de la nube (CSPCSPCSPCSP, Cloud Services
Provider).
Muchos de estosretospueden serafrontadosmedianteiniciativasde gestiónde la seguridad.Estas
iniciativas requerirán delinear claramente la oferta de servicios del proveedor, así como la
responsabilidadtantodel proveedor(quepodríaonotenertodala responsabilidadde lagestiónde
la seguridad,yaque podríasera su vezcliente de otro proveedormayor) comodel funcionamiento
de la organización que actúa con el rol de cliente.
7. RIESGOSY TIPOS DE SEGURIDAD
La seguridadde lossistemasde informaciónse divideendosgrandescategorías: protección de los
activos (hardware, software e infraestructura de redes que constituyen un sistema de TI) y
protección de los datos. Hace unos años los activos eran considerados la parte más valiosa del
sistemaya su protecciónse dedicabancasi todoslosesfuerzosparaasegurarse que nose hacía un
uso no autorizado de los mismos.
Hoy día, naturalmente, ha cambiado esa situación y la mayoría de las organizaciones y empresas
reconocen que el factor crítico de los sistemas de información es la protección de los datos que
requierenunesfuerzoconsiderableygran parte de laatenciónde los proyectos de seguridadde la
información.
ADMINISTRACIÓN DE LA IDENTIDAD Y CONTROLDE ACCESO
La administración (gestión) de la identidad y el control de acceso (IAMIAMIAMIAM, Identity and
AccessManagement) sonfuncionesfundamentalesrequeridasenlacomputaciónennube seguray
uno de los mejores métodos para la protección de su entorno. Dado que la nube implica
comparticiónyvirtualizaciónde recursosfísicospormúltiplesusuariosinternos,espreciso conocer
quiénes tienen acceso y a cuáles servicios.
El objetivo principal de la administración de la identidad es la gestión de la información de dicha
identidadpersonal (IP) de modoque el accesoalosrecursosde computación, aplicaciones,datosy
servicios sea controladoadecuadamente. La administraciónde la identidades una de las áreas de
la seguridad de TI que ofrece beneficios importantes en la reducción del riesgo de las violaciones
(breaches) de seguridad.
ESTRATEGIAS DE SEGURIDAD
Las directricesde TIdebenpensarenprimerlugarsobre el impactode lanube enla seguridadde la
corporación. Si usted está pensando en crear una nube privada o potenciar una nube pública
necesita establecer una estrategia de seguridad. Sin un entorno de seguridad adecuado ninguna
organizacióndebe implementarunasoluciónenlanube.Esta decisiónse debe adoptarenparalelo
con el proceso de puesta en marcha del modelo elegido de nube.
Inclusoaunque suorganizacióntengayaunaestrategiade seguridadbiendiseñada, deberáafrontar
una estrategia complementaria para su paso a la nube y deberá tener presente los diferentes
modelosexistentesde computaciónenlanubeyexaminarcuál o cuálesse adaptanmejorasuactual
estrategia de seguridad de TI.
SEGURIDAD DE LOS SERVICIOS DE LA NUBE
La evaluación de riesgos y la revisiónde la seguridad en la nube deben considerar en primer lugar
lasopcionesde desplieguede lanube (pública,privadae híbrida) ymodelosde entrega de servicios
(SaaS, PaaS, IaaS). Estrechamente vinculados con los modelos anteriores estarán los procesos
relacionadosconla virtualizaciónyque tambiénconsideraremos. Evidentemente,comosucede en
el Plan General de Seguridad de la Información, ninguna
lista de controles de seguridad podrá cubrir todas las circunstancias, pero se deberá adoptar un
enfoque basadoenriesgosparamoverse omigraralanube yseleccionarlasopcionesde seguridad.
Losactivosde despliegueenla nubese agrupanendosgrandesbloques:losdatosylas aplicaciones.