Blog de Matias Katz Info de IT para la gente Comun, Info Comun para la gente de IT

Seguridad en Cloud Computing

El siguiente es una artículo que escribí que fue publicado en la última revista impresa de la comunidad CXO, referido a la Seguridad en Cloud Computing.

CXO es una comunidad latinoamericana de seguridad de la información, que reúne profesionales de diferentes nacionalidades a compartir sus conocimientos, experiencias y visiones empresariales sobre esta hermosa profesión.

Para subscribirse a la revista, deben seguir el siguiente link: http://www.cxo-community.com/revista-impresa/3000.html?task=view

A continuación el artículo:

Seguridad en la nube:

¿Qué se esconde atrás de la gran imagen corporativa de nuestro proveedor de Cloud Computing? ¿Qué garantías podemos tener como clientes de que nuestra información estará protegida y de que nuestras regulaciones de seguridad se mantendrán aplicadas? En una modalidad operativa que cada día gana mayor terreno, existen temores y dudas sin resolver que podrían poner en riesgo a su empresa, visual, económica y legalmente.

Cloud Computing es un término bastante abarcativo que pretende solucionar los problemas de performance y disponibilidad que una empresa pueda tener, de la manera más económica posible. Sin embargo, la implementación de dicha modalidad requiere tomar varias consideraciones importantes en lo que respecta a la seguridad de la información:

1. Confidencialidad: Muchos riesgos referidos a la confidencialidad pueden emerger al confiar nuestra información a un tercero. A la hora de contratar sus servicios, surgen ciertas preguntas que deberían ser aclaradas antes de firmar un contrato:

1. 1. ¿Qué tipo de protección física y técnica posee el proveedor hacia la infraestructura que hostea el servicio?
   2. ¿Qué nivel de visibilidad hacia la información del cliente tiene el proveedor?
   3. ¿Puede el cliente saber (o inclusive elegir) cuales empleados del proveedor tienen acceso a su información?
   4. ¿Puede el cliente elegir que métodos de autenticación se requerirán para acceder a su información desde Internet?
   5. ¿Cómo maneja el proveedor el Identity Management?
   6. ¿Qué pasará con la información del cliente al finalizar el contrato?
   7. ¿De qué forma podrá acceder el cliente a su información si hay una disputa con el proveedor, o una terminación abrupta del contrato? ¿Podrá el proveedor retener dicha información?
   8. ¿Qué pasará con la información del cliente si se disuelve la empresa proveedora?
   9. ¿Qué nivel de abstracción existe entre los recursos, virtuales o físicos, asignados por el proveedor a cada cliente?
   10. ¿Puede el cliente utilizar sus propios métodos de encriptación de la información en una capa superior a la brindada por el proveedor?

La correcta mitigación de los riesgos relacionados con la confidencialidad le brindará a su empresa una tranquilidad invaluable sobre el nivel de protección de su información en la nube.

1. Disponibilidad: La disponibilidad es un jugador clave en Cloud Computing, y representa uno de los principales requisitos para la contratación de dicho servicio. Sin embargo, la provisión de un efectivo nivel de disponibilidad requiere de diferentes factores, muchos de los cuales no son tomados en cuenta:

1. 1. ¿Qué infraestructura física (hardware, backups, enlaces y conexiones eléctricas redundantes) ofrece el proveedor para garantizar la disponibilidad que promete?
   2. ¿Qué nivel de resiliencia posee el proveedor en su DataCenter?
   3. ¿Cómo maneja el proveedor la respuesta a incidentes?
   4. ¿Qué guías y políticas de actualización y mantenimiento de hardware y software, revisión de logs y estrategias de BCP y DRP internos mantiene el proveedor?
   5. ¿Qué métodos ofrece el proveedor para la exportación y/o importación de información y recursos desde/hacia otros proveedores?

En ciertos casos, el riesgo de la falla en la entrega del nivel de disponibilidad prometido por el proveedor finaliza su alcance en el cliente mismo. Pero en muchos otros casos, el cliente a su vez está comprometido con sus propios clientes a entregarles una calidad de servicio atada directamente a lo contratado con el proveedor de Cloud Computing, por lo que una falla en el servicio puede perjudicar la reputación del cliente e inclusive traer implicancias legales, lo cual nos lleva al tercer punto en discusión.

1. Responsabilidad: La responsabilidad (o liability) es el factor más importante en juego al tercerizar servicios claves para su empresa. La falta de un análisis cuidadoso puede resultar en consecuencias graves de índole legal. Se deben establecer las pautas necesarias para poder estar cubierto ante cualquier responsabilidad acarreada a un incumplimiento en las normativas y leyes que apliquen:

1. 1. ¿Quién es el dueño y responsable legal de la información almacenada en los servidores del proveedor?
   2. ¿En caso de efectuarse un ataque hacia los recursos del cliente hosteados en los servidores del proveedor, quién es el encargado de realizar las acciones legales correspondientes?
   3. ¿Cómo se procede si el ataque fue efectuado hacia otra empresa que comparte recursos físicos del proveedor con el cliente?
   4. ¿En el caso que un perito pida confiscar un servidor que contenga información del cliente, para recolectar evidencia relacionada con una investigación hacia otra empresa que comparta recursos de dicho servidor, tiene ese perito autorización a revisar información del cliente?
   5. ¿Cuál es el modo de ejecución legal a seguir si el servicio se provee desde un país diferente al que pertenezca el cliente?
   6. ¿Con cuáles políticas, normativas y regulaciones de compliance de seguridad cumple el proveedor? ¿Cómo las mantienen y refuerzan?
   7. ¿Cuáles certificaciones de calidad posee el proveedor a nivel empresa y los empleados que interactúan con la información del cliente?
   8. ¿Recibe el proveedor auditorías internas y/o externas regularmente?
   9. ¿Puede el cliente efectuar una auditoría hacia el proveedor, para poder demostrar Due Dilligence y Due Care?
   10. ¿Puede el proveedor ajustar su estructura y sus políticas para cumplir con las normativas requeridas al cliente (por ejemplo BCRA 4609 o SOX)?

Los riesgos relacionados con Cloud Computing no son exclusivos a dicha situación. De hecho, muchas de las preguntas recién planteadas aplican también a soluciones in-house.

Sin embargo, al depositar recursos en terceros se pierde el control minucioso que podría tener administrando dichos recursos de manera interna.