Computers">
Gestionando El Riesgo de La Nube
Gestionando El Riesgo de La Nube
Gestionando El Riesgo de La Nube
La adopción de la nube continúa creciendo a un paso rápido, transformando los negocios a lo largo
del globo. De hecho, la nube es la forma usual de operar el negocio para la mayoría de las
organizaciones, con algunas de ellas utilizándola para ejecutar procesos críticos. En Julio de 2015,
el reporte Mirada Profunda a la Innovación de ISACA1 menciona la computación en la nube como
una de las tendencias líderes en los negocios guiando las estrategias de negocios. Apareció en
tercer lugar de las diez tecnologías emergentes más destacadas, que más probablemente
entreguen un valor significativo al negocio muy por sobre los costos. El análisis de gran cantidad de
datos (big data) y las tecnologías móviles, aparecieron en primer y segundo lugar,
respectivamente. Una publicación diferente, realizada por la Corporación Internacional de Datos
(IDC) pronostica el crecimiento del uso mundial de la nube pública a 19.4 por ciento, en los
próximos cinco años, casi doblando los US $70 billones de dólares del 2015 en más de US $141
billones en el 2019. Esto es casi seis veces el crecimiento del gasto empresarial en TI como un
todo2.
Este artículo provee algunas recomendaciones prácticas para abordar tres áreas clave de riesgo
asociadas con la adopción de la nube:
Este no es un set completo ni definitivo de áreas de riesgo que los negocios pueden enfrentar
cuando adoptan la computación en la nube. Muchos marcos de trabajo, muchos notablemente
procedentes de la Alianza de Seguridad en la Nube (CSA), ISACA, y el Instituto Nacional de
Estándares y Tecnología de Estados Unidos (NIST), proveen más guías comprensibles sobre la
gestión del riesgo en la nube.
Las iniciativas en torno a la nube deben comenzar identificando problemas de negocios y objetivos
estratégicos y luego construir soluciones para atender necesidades específicas del negocio.
Comunicación continua clara del valor de la nube y el enfoque de la gestión de riesgos es crítica
para la aceptación por el negocio a los programas basados en la nube y logrando su éxito máximo.
La Agencia de la Unión Europea para Redes y Seguridad de la Información (ENISA) establece que
las concentraciones masivas de recursos y datos en la nube presentan un objetivo más atractivo
para los criminales cibernéticos6. Más aún, violaciones a la seguridad de la nube implican una
cobertura mediática más amplia, lo que amplifica el impacto de estos incidentes. La cobertura
mediática extensiva de la violación de la Nube de Apple en el 2014, que expuso fotografías de
celebridades, enfatiza este punto.
Hay tres controles críticos de seguridad para proteger la información de alto valor en la nube:
clasificación de la información, encriptación y gestión de accesos privilegiados.
La criticidad de datos difiere de una organización a otra, dependiendo del sector de la industria a la
que pertenecen o los objetos corporativos. Las compañías aseguradoras, por ejemplo, pueden
estar preocupadas por la privacidad de la información de salud de sus clientes, mientras las firmas
enfocadas a la alta tecnología pueden estar preocupadas por la seguridad de sus planes de
desarrollo de productos.
La información que puede ser de alto valor para criminales cibernéticos también debe ser
considerada. En Septiembre de 2014, un artículo de Reuters declaró que la información médica
hoy es 10 veces más valiosa que los números de tarjetas de crédito a la venta en el mercado
negro, y está siendo atacada cada vez más por criminales cibernéticos 7. Otra información de alto
valor que está siendo atacada por los criminales cibernéticos incluye planes de negocios, modelos
de asignación de precios, acuerdos de cooperación, correos electrónicos a ejecutivos de negocios
y registros financieros personales.
Como se ilustra en la figura 1, clasificar la información permite a los líderes del negocio tomar
decisiones informadas en relación con cuánto riesgo quieren asumir al momento de buscar la
innovación. Por ejemplo, una organización puede no tener apetito para mantener información
altamente confidencial en sistemas de nube pública, pero si puede tener el apetito de utilizar
sistemas de nube pública para mantener información pública.
Información de Alto Valor Aislada
Una vez que los datos han sido clasificados, las empresas reguladas pueden considerar utilizar
una nube privada para aislar las aplicaciones de alto valor. Las nubes privadas, donde un negocio
es dueño y administra su propio entorno virtual, ofrece una oportunidad para darse cuenta de los
beneficios de la nube junto con eliminar la multitenencia y las preocupaciones de responsabilidad
compartida. Previamente, algunas organizaciones evitaban las nubes privadas debido a los altos
costos de montaje. El Estado del Mercado 2016—Reporte de Nube Empresarial de Verizon, reveló
que el costo de la nube privada está disminuyendo, proveyendo a las organizaciones ambientes
más seguros, costo-efectivos para mantener sistemas de alto valor. 8
Implementar controles ajustados para proteger las llaves criptográficas, incluyendo una
política de gestión del ciclo de vida de las llaves. NIST Publicación Especial 800-
5710 partes 1, 2 y 3 proveen guías más detalladas para la gestión de las llaves de cifrado.
Asegurar que el servicio de encriptación de la nube incluye la recuperación de desastres y
capacidades de recuperación para minimizar el impacto al negocio si las llaves se pierden.
Definir responsabilidades para gestionar las llaves de encriptación. Mantener la gestión de
llaves internamente, para mitigar fugas externas del proveedor de servicios o compromiso
malicioso por los usuarios privilegiados del proveedor de servicios.
Probar para confirmar que la encriptación de bases de datos no tendrá un impacto adverso
en el rendimiento de las aplicaciones.
Implementar controles para purgar los datos una vez eliminados del almacenamiento en la
nube.
Complementar el cifrado de datos con protecciones de integridad como las firmas digitales
para mantener la autenticidad de los datos.
Algunos roles de acceso a la nube son de riesgo extremadamente alto y tienen el potencial
para detener ambientes completos en la nube.
El modelo de responsabilidades compartidas implica que los administradores de servicios
en la nube pueden tener acceso privilegiado a la infraestructura, aplicaciones o bases de
datos de una organización, dependiendo del modelo de entrega de servicios. Esto aumenta
la superficie de ataque.
La provisión rápida y sin ataduras de nuevos servidores virtuales rápidamente introduce
nuevas cuentas privilegiadas a un ambiente. Estas cuentas a menudo son creadas con
contraseñas por omisión, que son un objetivo fácil para que los criminales cibernéticos
exploten.
Los administradores de la nube pueden proveer nuevas instancias de servidores virtuales
con el clic de un botón. SI la autorización relevante es eludida, eso puede resultar en
gastos no planificados, debilitando el caso de negocios de la nube de una organización
Los siguientes controles en personas, procesos y tecnología pueden ayudar a disminuir esta
exposición:
Un gran número de proveedores de servicio tienen guías específicas sobre cómo pueden
implementarse estos controles al interior de sus ambientes. Por ejemplo, el Blog de Seguridad de
los Servicios Web de Amazon (AWS)12 provee una guía detallada para gestionar las cuentas
privilegiadas al interior de AWS.
A pesar de estas mejoras, aún ocurren apagones que impactan a variadas ubicaciones de servicios
en la nube. Si no se planifica adecuadamente, estos eventos pueden resultar en disrupciones
mayores en la operación y en la cadena de suministros.
La buena noticia es que ahora están disponibles estadísticas confiables para evaluar la
confiabilidad de los servicios en la nube en distintos proveedores. Por ejemplo, Cloud Harmony,
una firma de terceros que monitorean a los proveedores de servicios en la nube, provee una
comparación independiente de los servicios en la nube basado en su disponibilidad de servicios.
Las siguientes recomendaciones ayudarán a los negocios a mitigar estos eventos poco probables
pero de alto impacto:
Revisar el plan de continuidad del negocio del proveedor de servicios en la nube, para
determinar si cumplen con los objetivos de recuperación de la organización.
Utilizar múltiples proveedores de servicios en la nube para reducir el riesgo de
encadenamiento al proveedor.
Implementar alta disponibilidad en la arquitectura de la nube para minimizar la interrupción
de servicios.
Complementar la arquitectura resiliente con respaldos regulares y procedimientos de
restauración, y almacenar los datos de respaldo fuera de las dependencias del proveedor
de la nube.
Actualizar y probar el plan de gestión de crisis de la organización.
Simular la recuperación de diferentes escenarios de desastre, incluyendo la recuperación
de aplicaciones individuales, ambientes virtuales y el proveedor de servicios en la nube
completo.
De vez en cuando, las organizaciones dan por terminado acuerdos de externalización de funciones
—los acuerdos en la nube no son una excepción. Factores como fallar en cumplir los
requerimientos de desempeño, fallas de seguridad, o quiebra pueden llevar a la terminación de
contratos. Para mantener la continuidad del negocio y facilitar transiciones más suaves, las
organizaciones deben formular estrategias de salida o planes de contingencia para migrar registros
críticos a una solución alternativa, en la nube o fuera de ella.
Conclusión
Cuando se planifica, implementa y gobierna correctamente, la nube puede ser un gran catalizador
para la mejora de los procesos y un gran conductor de la transformación de los negocios. Los
proveedores de servicios en la nube trabajan incansablemente para mejorar sus capacidades de
seguridad y resiliencia. En realidad, los sistemas in situ pueden no ser más seguros que la nube. El
riesgo de seguridad y confiabilidad puede no superar la pérdida de la oportunidad de transformar
una organización con el uso estratégico de la nube. Las iniciativas en la nube se construyen sobre
la estrategia empresarial, acoplado con procesos robustos de gestión de riesgos, tienen el
potencial de acelerar la innovación en los negocios, transformar la experiencia del cliente y mejorar
la ventaja competitiva.
Agradecimientos
El autor quisiera agradecer a Gina Francis, Innocent Ndoda, Kathleen Lo, Andrew Strong y Joe
Chidwala por los valiosos comentarios que ayudaron a mejorar este artículo.
Notas Finales
1
ISACA, Innovation Insights: Top Digital Trends That Affect Strategy, USA,
2015, www.isaca.org/Knowledge-Center/Research/Pages/isaca-innovation-insights.aspx
2
IDC, “Worldwide Public Cloud Services Spending Forecast to Double by 2019, According to IDC,”
USA, 21 January 2016, www.idc.com/getdoc.jsp?containerId=prUS40960516
3
Chan, W.; E. Leung; H. Pili; Enterprise Risk Management for Cloud Computing, Committee of
Sponsoring Organizations of the Treadway Commission, June
2012, www.coso.org/documents/Cloud%20Computing%20Thought%20Paper.pdf
4
Australian Prudential Regulation Authority, Outsourcing Involving Shared Computing Services
(Including Cloud), 6 July 2015, www.apra.gov.au/AboutAPRA/Documents/Information-Paper-
Outsourcing-Involving-Shared-Computing-Services.pdf
5
The Economist Intelligence Unit, Mapping the Cloud Maturity Curve, IBM,
2015 http://public.dhe.ibm.com/common/ssi/ecm/ku/en/kul12355usen/KUL12355USEN.PDF
6
ENISA, Cloud Computing—Benefits, Risks and Recommendations for Information Security,
Greece, December 2012, https://resilience.enisa.europa.eu/cloud-security-and-
resilience/publications/cloud-computing-benefits-risks-and-recommendations-for-information-
security
7
Humer, C.; J. Finkel; ‘Your Medical Record Is Worth More to Hackers Than Your Credit Card’,
Reuters, 24 September 2014, www.reuters.com/article/us-cybersecurity-hospitals-
idUSKCN0HJ21I20140924
8
Verizon, State of the Market: Enterprise Cloud 2016, 2016, www.verizonenterprise.com/enterprise-
cloud-report/
9
Cloud Security Alliance, SecaaS Implementation Guidance, Category 8: Encryption, September
2012, https://downloads.cloudsecurityalliance.org/initiatives/secaas/SecaaS_Cat_8_Encryption_Imp
lementation_Guidance.pdf
10
National Institute of Standards and Technology, Special Publication 800-57,
USA, http://csrc.nist.gov/publications/PubsSPs.html#SP800
11
Cloud Security Alliance, The Treacherous Twelve—Cloud Computing Top Threats in 2016, USA,
2016, https://downloads.cloudsecurityalliance.org/assets/research/top-threats/Treacherous-
12_Cloud-Computing_Top-Threats.pdf
12
Amazon Web Services, AWS Official Blog, http://aws.amazon.com/blogs/aws/
Phil Zongo
Es un consultor de ciberseguridad con base en Sydney, Australia. Él tiene más de 10 años de
experiencia en consultoría de riesgos tecnológicos y gobierno trabajando con firmas de consultoría
de gestión líderes y grandes instituciones financieras. Recientemente lideró una iniciativa de
evaluación de riesgos para un programa complejo multimillonario de transformación en la nube.
https://www.isaca.org/Journal/archives/2016/volume-4/Pages/managing-cloud-risk-spanish.aspx?
utm_referrer=