Riesgos asociados al CLOUD
El Cloud está de moda Según el último barómetro de IDC España, el mercado de software como servicio (SaaS) alcanzó en 2010 los 153 millones de euros. Esto supone un incremento del 48 por ciento respecto a 2009. IDC prevé que este crecimiento del mercado de SaaS se mantenga, llegando a facturar 475 millones de euros en 2014. La tendencia hacia la compra de SaaS está desplazando a los modelos tradicionales de venta de software.
El Cloud y sus ventajas Existen múltiples ventajas Escalabilidad y Flexibilidad. Ahorro de costes de implantación y mantenimiento. Aumenta las posibilidades de las empresas sin incurrir en más costes de estructura ni adquisición de conocimiento. Todo ello está llevando al Cloud Computing a ser cada vez más popular.
El Cloud y sus riesgos A cambio, el nivel de riesgo sube exponencialmente: Los datos viajan constantemente por internet. Los datos se almacenan en entornos compartidos. Acceso remoto de varias empresas a la vez. Disponibilidad/Dependencia de la red. Interviene más software => hay más vulnerabilidades. Pérdida parcial de la capacidad de gestión del servicio. Se pierde capacidad de intervención en los sistemas. Riesgos asociados directamente al tercero: desaparición de la empresa, transferencia del servicio en caso de terminar el contrato, etc. Y muchos más
Servidor de correo In House Correo en la nube @ Qué diferencias hay si se cae el servicio de correo electrónico? El problema se acota rápidamente. Tenemos el servidor accesible físicamente para cualquier inspección o intervención. Hay más capacidad para resolver nosotros mismos el problema. Más velocidad de respuesta. Debe ser el proveedor del servicio quien te informe sobre el incidente. Las capacidades de inspección e intervención son limitadas. Debes confiar en el buen hacer del proveedor. A priori no conoces ni puedes estimar el tiempo de resolución
Cuáles son los desafíos a conseguir en cuanto a riesgos? Asegurar la confidencialidad e integridad de la información. Asegurar la disponibilidad del servicio. Cumplimiento exhaustivo de la Ley de Protección de Datos. Ofrecer niveles de gestión más altos a los clientes del Cloud => acabar con la opacidad de los servicios en Cloud. Asegurar la transferencia del servicio de forma transparente al cliente. Aportar una resolución de incidentes rápida, eficaz y eficiente. Aportar continuidad a los servicios.
Por dónde empezar? Establecer una política de seguridad actualizada y acorde a la naturaleza de los servicios a prestar, en este caso, basados en Cloud Computing. Desarrollar un análisis de riesgos sobre los servicios (y los sistemas que lo soportan) que estarán en la nube. Tendremos que pensar en 3 conceptos: Amenazas y vulnerabilidades. Probabilidades de ocurrencia de las amenazas. Impactos en caso de materialización de las amenazas.
Diferencias con un análisis de riesgos sobre servicios No Cloud. Las amenazas aumentan y los controles cambian en cuanto a su forma de implantación.
Amenazas y vulnerabilidades Acceso no autorizado. Intercepción de la información. Pérdida de la información. Degradación de la información. Denegación de servicio. Suplantación de la identidad del usuario. Análisis de tráfico. Averías. Caída de servicios de soporte. Vulnerabilidades propias del software que da servicio. Desastres industriales Y un largo etcétera.
Con el Cloud Computing introducimos más infraestructura TI dentro de nuestro servicio => añadimos amenazas. El servicio se opera parcialmente en entornos compartidos con otras organizaciones y a través de internet => aumentamos las probabilidades de ocurrencia de las amenazas. Los impactos son en cualquier caso, iguales o mayores.
Cómo reducir esos riesgos? La implantación tradicional de controles queda obsoleta, al no poder implantar físicamente la gran mayoría de controles de seguridad como se haría en entornos No Cloud. La regulación mediante contratos de los requisitos de seguridad que debe tener el servicio y la infraestructura que lo soporta se convierte en un aspecto de vital importancia. Reservarse el derecho de hacerle auditorías al proveedor de servicios en la nube. Monitorizando el servicio.
Cómo reducir esos riesgos? Establecer una capa de gestión, no sólo una capa técnica de medidas, se convierte en una necesidad. Incluir en los planes de continuidad de negocio la naturaleza Cloud del servicio hace plantearse rediseños en la forma de abordar la implantación y pruebas de los planes. Ya no sólo habrá que tener en cuenta nuestras amenazas, si no que habrá que contar con que parte de nuestros servicios dependen de un tercero => implicaciones a la hora de aportar seguridad y continuidad al servicio.
Global SGSI permite realizar el análisis de riesgos de manera ágil y sencilla
Pensemos en un servicio que tengamos en modo Cloud Computing, bajo una aplicación en modelo Software como Servicio o SaaS
Proyecto para reducir riesgos: Qué deberíamos hacer primero?
Qué deberíamos hacer primero? Asegurar el servicio y los activos de los que depende ISO 27001
Una vez asegurado el servicio y sus activos. Debemos establecer una correcta gestión del servicio, haciéndolo más eficaz y eficiente. ISO 27001 ISO 20000
Ya tenemos el servicio asegurado y gestionado. Qué nos falta? Aportar continuidad al servicio UNE 71599 / Bs 25999 ISO 27001 ISO 20000
Dificultades Gran parte de las medidas de seguridad a implantar tendrán que ser llevadas a cabo por el proveedor de servicios. La gestión del servicio puede ser complicada al tener dificultades para obtener ciertos datos útiles para gestionar correctamente el servicio. A la hora de elaborar los planes de continuidad de negocio tendremos que contar con el escenario de que la infraestructura en producción queda inaccesible, pero no ha sido destruida ni rodaba. Tesitura Coste vs Beneficio.
Dificultades Problemas a la hora de obtener acuerdos contractuales, dada la lejanía del proveedor en algunos casos. Problemas derivados de la Ley de Protección de Datos, al existir la posibilidad de realizar transferencias internacionales de datos. Dependencia total de internet => carencias de ancho de banda.
Soluciones Exigir niveles de seguridad equivalentes, pero asumiendo responsabilidades. El Esquema Nacional de Seguridad dice lo siguiente sobre servicios externalizados: La organización sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que impacten sobre la información manejada y los servicios finales prestados por la organización. La organización dispondrá las medidas necesarias para poder ejercer su responsabilidad y mantener el control en todo momento. Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio. Las Administraciones públicas exigirán, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con unos niveles idóneos de gestión y madurez en los servicios prestados.
Soluciones Asegurar, desde la base, cada activo y cada servicio Reducir al mínimo las posibilidades de ocurrencia de amenazas, vía ISO 27001 / ENS. Gestionar el servicio, vía ISO 20000. Aportar continuidad a los servicios, vía UNE 71599 / BS 25999. Negociar la posibilidad de realizar auditorías al proveedor, o al menos exigirle ciertas certificaciones. Todo ello, reflejado en los pertinentes contratos
Conclusiones Se consolidará el Cloud Computing y llegaremos a niveles de seguridad y madurez suficientes?, sólo el tiempo lo dirá
Conclusiones Gracias por su atención