Como cuidar la salud de nuestra seguridad en el Cloud Generalmente cuando hablamos de la “Nube” nos es difícil visualizarla, y mucho menos crearnos una imagen tangible de sus alcances y riesgos si no tenemos una visión clara de cómo poder controlarla, lo que genera una sensación de incertidumbre que hace que elijamos al Cloud Computing como “moda” y no como un recurso tecnológico que nos da una ventaja para ofrecer mejores servicios de salud.

1. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
1
La salud por las Nubes
Como cuidar la salud de nuestra seguridad en el Cloud
Generalmente cuando hablamos de la “Nube” nos es difícil visualizarla, y mucho
menos crearnos una imagen tangible de sus alcances y riesgos si no tenemos una
visión clara de cómo poder controlarla, lo que genera una sensación de incertidumbre
que hace que elijamos al Cloud Computing como “moda” y no como un recurso
tecnológico que nos da una ventaja para ofrecer mejores servicios de salud.
En lo que primero pensé es en ver cómo podemos hacer más visible nuestra Nube para
poder acortar la distancia que la aleja de los controles y la acerca más a los riesgos, y al
planear el utilizar distintos elementos tecnológicos ya estén relacionados con el hardware o el
software, siempre deben plantearse las siguientes preguntas básicas sobre todo si se trata de
nuevas tecnologías:
· Cuál es el objetivo de su utilización
· Conozco los alcances de la nueva tecnología que pretendo adoptar
· Como puedo aplicarla en soluciones de servicio
· Que beneficios obtengo a través de ella, optimizando recursos
· Que riesgos adquiero con ella
En el caso particular del Cloud Computing, lo primero que tengo que entender es el definir en
forma clara y documentada las diferentes responsabilidades asociadas a los principales
actores, la Entidad de Salud que será Cliente del servicio y su Proveedor. El secreto es
analizar todos los aspectos relacionados con la solución y realizar una planificación pensado
en cómo responder estratégicamente a los puntos arriba mencionados.
Pensando en esto es que necesitamos identificar tres principales medidas a tomar para
empezar a hacer tangible la relación entre el Cloud y los controles para identificar lo tangible y
poder tomar las medidas adecuadas:
· Conocer las necesidades de aplicación para las Entidades de Salud
· Identificar los riesgos y requerimientos de control asociados con la utilización que
hagamos del Cloud
· Seleccionar la plataforma de implementación y el estándar de evaluación que nos
asegure la confidencialidad, integridad y disponibilidad de los datos
Esto nos va a permitir balancear las decisiones a tomar ente cada aspecto del Cloud en
relación a su utilización, y de esta manera empezar a obtener un perfil del riesgo asociado a
los servicios que nos brinda. De igual forma, y en consecuencia, también vamos a tener la
posibilidad de disponer de las herramientas necesarias para poder balancear los controles a
implementar versus la economía y flexibilidad que ganaremos adquiriendo servicios Cloud.
Parte de la información que utilizaremos para llegar a este balance es:
· Estrategia y Objetivos de servicio definidos por la Organización
· Expectativas e intereses entorno de la solución que pretendemos adoptar

2. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
2
· Aplicabilidad con respecto al marco ético, legal y regulatorio sobre los datos de salud
· Compromiso entre las necesidades de servicio y las expectativas del usuario
Con ello podremos crear un marco de solución que integre los Procesos de las Entidades de
Salud soportados en Tecnología Segura, o sea, pensar en soluciones Cloud controladas que
se adecuen a sus servicios y se aliñen a las necesidades operativas de sus áreas funcionales.
Todos más o menos sabemos cuáles son los beneficios del Cloud:
· Acceso a la información y los servicios desde cualquier lugar.
· Disponibilidad del servicio y/o aplicación los 365 días del año y las 24 horas del día.
· Accesibilidad mediante diferentes tecnologías compatibles, tales como: PDAs, móviles,
portátiles, blackberrys, netbooks, etc.
· Resuelve problemas de falta de capacidad o rendimiento de aplicaciones, debido a que
solo se necesita un navegador web e internet. (Capacidad de procesamiento y
almacenamiento sin instalar máquinas localmente)
· Facilidad de escalabilidad tecnológica
Pero no siempre asociamos estos beneficios con determinados riesgos, como pueden ser:
· Pérdida de la gobernabilidad, que aumenta el riesgo al desconocer los procesos de
gestión del Proveedor
· Bloqueo de las operaciones por una gestión de incidentes deficiente
· Riesgos de cumplimiento y conformidad legal
· Compromiso en la gestión de interfaces
· Deficiente protección de datos o almacenamiento accidental que comprometa la
confidencialidad de la información
· Inseguro o incompleto borrado de datos y deficiente gestión de privilegios
· Imposibilidad de acceso a la infraestructura del Proveedor
· Impedimentos para la auditabilidad y control de registros
A todo esto, y de acuerdo al escalamiento en que
vayamos “confiando” recursos en los tipos de servicios en
la Nube, vamos a poder ver como nuestra operatoria de
gestión de componentes va a ir migrando a una Gestión
de Control.
Esto nos va a llevar a que necesitemos garantías adicionales de nuestro Proveedor, “aceitar”
nuestra Gestión de Riesgos y Control y reinventar la Gestión de Incidentes en función del
nuevo marco establecido para nuestra información o de nuestros propios Afiliados. La
tendencia que debemos provocar es la de externalizar la responsabilidad evitando
confrontamientos ante caso de incidentes.
Lo primero que tenemos que ver es que la Nube no es insegura, solo debemos saber cómo
controlarla minimizando los riesgos relacionados con la operación y el tratamiento de los
datos, los diferentes procesos de gestión relacionados y securizando en forma adecuada cada
uno de sus componentes. Esto lo podemos lograr identificando 4 dominios claros sobre los
cuales invertiremos parte de los ahorros obtenidos al implementar Cloud, y estos son:
Gobierno + Gestión de Riesgos + Educación + Cumplimiento.

3. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
3
Este cuadro lo deben haber visto en más de una oportunidad, representando los
componentes, tipos de servicio y la escalabilidad de responsabilidad de los dos principales
actores: Entidad de Salud y Proveedor.
IaaS PaaS SaaS
Datos
Software y aplicaciones de usuarios
Sistemas operativos y bases de datos
Infraestructura Virtual
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
Pero hoy lo voy a utilizar para ver simplemente los
extremos, que me determinan en función de la
IaaS PaaS SaaS
aplicación que le voy a dar a alguno o todos los
Datos
servicios propuestos como voy a aplicarlo para uno o
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
más procesos de tratamiento de la información de la
salud.
Aquí voy a poder empezar a balancear las decisiones y obtener el perfil de riesgo adquirido;
poder entender los extremos de responsabilidad me ayuda a tangibilizar los riesgos asociados
a estos extremos y así poder establecer los controles necesarios y adecuados.
Algunos ejemplos, asociados a cada uno de los tipos de servicio en como pesan las
responsabilidades por cada uno de los actores, nos servirá para visualizar mejor este
concepto:
Modelo IaaS
· Entidad de Salud responsable de la encriptación de los datos y de no compartir la clave
con el Proveedor
· Proveedor sin responsabilidad, pero de cumplimiento deseable.
En este entorno inicial, la Entidad de Salud debe mantener todos los controles y mantener
todos aquellos sistemas que estén a su alcance así como el cifrado y gestión de claves.
En cambio, para el Proveedor es deseable que cuente con el cumplimiento del estándar de
seguridad pero el control del mismo recae sobre la Entidad de Salud.
Modelo PaaS
· Entidad de Salud responsable de parte de los controles y de asegurar cumplimiento del
Proveedor con respecto a su Política de Seguridad.
· Proveedor responsable de parte de los controles, mantener cumplimiento por sobre el
almacenamiento de los datos.
Para este caso, la Entidad de Salud es responsable de la seguridad de sus aplicaciones y
del monitoreo de toda la solución, propia y de terceros contratados. En cambio el

4. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
4
Proveedor debe garantizar a su Entidad de Salud: La seguridad en la plataforma de las
aplicaciones, Seguridad Física, seguridad y control de la red de datos y cifrado, gestión de
claves, Seguridad Lógica.
Modelo SaaS
· Entidad de Salud responsable de controles, asegurando que el Proveedor los cumple
· Proveedor responsable de mantener el cumplimiento del estándar de seguridad
adoptado.
Para este modelo completo, tanto la Entidad de Salud como el Proveedor deben contar
con una Política de Seguridad formalmente implementada y que posibilite a ambos
compartir la Gobernabilidad del procesamiento y seguridad de los datos. Gran parte de las
responsabilidades son trasladadas al Proveedor, quien debe responder por sobre la
seguridad física y lógica de los datos y el acceso a los mismos, ya sea a través de las
aplicaciones o en forma presencial.
En estos ejemplos pudimos identificar rápidamente
diferentes requisitos relacionados con el marco de
protección establecido por la ISO 27799 desde la
arquitectura de seguridad de red hasta el tratamiento
de datos y su protección, aplicabilidad de una política
de seguridad, etc. Esto nos lleva a la necesidad de
visualizar en donde debemos aplicar cada uno de los
4 dominios que nos ayudaran a controlar el servicio,
donde podemos identificar principalmente que el
GOBIERNO debe ser compartido al igual que el
CUMPLIMIENTO para todos los componentes.
Tengamos en cuenta que el CUMPLIMIENTO tiene dos enfoque principales, el relacionado
con la seguridad de los datos y el borrado de los mismos. Cuando hablamos de seguridad
debemos establecer un alcance que cubra desde el acceso hasta el tratamiento de la
información; y en el borrado no solo se refiere a la información ya no utilizada o a la contenida
en componentes a desafectar, sino también a la que queda involucrada en la finalización de
los servicios con nuestro Proveedor.
Por ese motivo debemos pensar en cómo encarar desde la forma tradicional el tratamiento de
la Gestión de Riesgos en función de las nuevas condiciones en la que nos pone el Cloud, y
habiendo identificado esta situación es como debemos empezar a brindar respuestas para
cada nuevo desafío, en donde los controles aplicados, que ya hemos seleccionado en función
de crear un balance costo / beneficio podrían distribuirse para crear un entorno controlado.
¿Cómo obtener una base de referencia? El Cloud Security Alliance tiene una Guía de
Seguridad orientada a Áreas Críticas para el Cloud, y próximamente contaremos con una
publicación de la familia 27000… la ISO/IEC 27017 como estándar de controles de seguridad
para el Cloud basado en la ISO/IEC 27002.

5. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
5
Algunas recomendaciones:
· Desarrolle escenarios como plantilla para sus proyectos
· Desarrolle una matriz de responsabilidad compartida
· Incluir en los contratos con el Proveedor la recuperación de los datos al finalizar la
relación contractual
· Ejecutar los controles y gestión de riesgos en forma continua y mantener el
cumplimiento legal y regulatorio por parte del Proveedor
· Orientar la selección a proveedores certificados
· Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización en
sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)
La conclusión es que la reducción de costos debe dejarnos como beneficio el
enfocarnos en la Atención al Afiliado, y darnos la posibilidad de invertir en controles
para que las Entidades de Salud se beneficien por ver robustecida su seguridad
apoyándose como SOCIO TECNOLÓGICO en su Proveedor, para reducir la carga en el
cumplimiento y una mitigación de riesgos efectiva.
Fabián Descalzo
GRC & Information Security Auditor
Cybsec S.A. – Security Systems