Gestionando el Riesgo de la Nube 

La adopción de la nube continúa creciendo a un paso rápido, transformando los negocios a lo largo
del globo. De hecho, la nube es la forma usual de operar el negocio para la mayoría de las
organizaciones, con algunas de ellas utilizándola para ejecutar procesos críticos. En Julio de 2015,
el reporte Mirada Profunda a la Innovación de ISACA1 menciona la computación en la nube como
una de las tendencias líderes en los negocios guiando las estrategias de negocios. Apareció en
tercer lugar de las diez tecnologías emergentes más destacadas, que más probablemente
entreguen un valor significativo al negocio muy por sobre los costos. El análisis de gran cantidad de
datos (big data) y las tecnologías móviles, aparecieron en primer y segundo lugar,
respectivamente. Una publicación diferente, realizada por la Corporación Internacional de Datos
(IDC) pronostica el crecimiento del uso mundial de la nube pública a 19.4 por ciento, en los
próximos cinco años, casi doblando los US $70 billones de dólares del 2015 en más de US $141
billones en el 2019. Esto es casi seis veces el crecimiento del gasto empresarial en TI como un
todo2.

Mientras la nube promete beneficios significativos, incluyendo flexibilidad financiera mejorada,

agilidad mejorada y acceso a tecnologías líderes, algunas organizaciones están aún resistiéndose,
mayormente cautelosas de perder el control sobre información de alto valor. Estas preocupaciones
sobre los riesgos son válidas y, si no son consideradas y gestionadas adecuadamente, pueden
resultar en impactos dañinos para el negocio, incluyendo el daño a la experiencia del cliente, fuga
de información sensible o daño a la marca.

Este artículo provee algunas recomendaciones prácticas para abordar tres áreas clave de riesgo
asociadas con la adopción de la nube:

1. Iniciativas en la nube no alineadas con las estrategias del negocio

2. Pérdida de control sobre información de alto valor
3. Excesiva dependencia de los proveedores de servicios en la nube

Este no es un set completo ni definitivo de áreas de riesgo que los negocios pueden enfrentar
cuando adoptan la computación en la nube. Muchos marcos de trabajo, muchos notablemente
procedentes de la Alianza de Seguridad en la Nube (CSA), ISACA, y el Instituto Nacional de
Estándares y Tecnología de Estados Unidos (NIST), proveen más guías comprensibles sobre la
gestión del riesgo en la nube.

Alineando los Proyectos en la Nube con la Estrategia de Negocios

Las empresas entregan valor a los accionistas asumiendo riesgos, pero fallan cuando el riesgo no
es claramente entendido y efectivamente gestionado. A menudo, los proyectos en la nube son
guiados por TI y centrados en la tecnología. Para entregar valor al negocio y minimizar la
exposición al riesgo, estas iniciativas deben estar completamente alineadas a las estrategias de
negocios. Acuerdos activos y supervisión por parte de la junta o comités relevantes en la gestión
de riesgos son prerequisitos esenciales para el éxito de programas en la nube.

En su publicación de Junio de 2012, Gestión de Riesgo Empresarial para la Computación en la

Nube3, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) enfatizó
que la gestión del riesgo en la nube comienza en el más alto nivel de la organización. El
documento declaraba “La computación en la nube debería ser considerada en las actividades
superiores de gobierno y visto como un tema que permite la discusión y requerimientos por parte
de la junta de una organización”. La junta debe determinar qué servicios de la nube son apropiados
para el negocio, basado en las metas de la empresa, su apetito y tolerancia al riesgo. Pero este no
es siempre el caso.

La Autoridad Prudencial y Regulatoria Australiana (APRA), en un documento sobre información en

la nube publicado en Julio de 20154, elevó una preocupación de que la emisión de reportes a
través de la nube por parte de entidades reguladas a las juntas de directores (BoDs) se enfocaban
principalmente en los beneficios, mientras fallaban en proveer una visibilidad adecuada de riesgo
asociado. Una gestión efectiva de riesgos en la nube requiere que la junta desafíe qué tan
adecuadas son las medidas ante el riesgo frente al apetito y la estrategia de negocios. Para lograr
esto, se debe proveer la información pertinente, incluyendo:

 Propuesta de valor en la nube, trazabilidad hacia la estrategia de negocios y como serán

medidos los beneficios
 Riesgo en los negocios a un alto nivel y estrategias de tratamiento, por ejemplo: seguridad
de los datos, leyes de privacidad, ubicación de los datos, resiliencia del negocio,
cumplimiento regulatorio
 Modelo de despliegue de la nube propuesto: público, privado o híbrido e implicaciones de
riesgo asociado
 Modelo de entrega de servicios en la nube planeado: Software como Servicio (SaaS),
Plataforma como Servicio (PaaS) o Infraestructura como Servicio (IaaS), e implicaciones
de riesgo asociado
 Criterio de selección del proveedor de servicios, incluyendo viabilidad financiera,
estabilidad operacional y capacidades de ciberseguridad
 Escenarios realistas de disrupción de negocios y planes de recuperación
 Acuerdos de nivel de servicios (SLAs), respuesta a incidentes y gobierno operacional
 Aseguramiento de terceros, pruebas de penetración, evaluación de vulnerabilidades y
cláusulas de auditabilidad

Las iniciativas en torno a la nube deben comenzar identificando problemas de negocios y objetivos
estratégicos y luego construir soluciones para atender necesidades específicas del negocio.
Comunicación continua clara del valor de la nube y el enfoque de la gestión de riesgos es crítica
para la aceptación por el negocio a los programas basados en la nube y logrando su éxito máximo.

Protegiendo Información de Alto Valor

Gestionar el riesgo cibernético sin restringir la innovación y agilidad en el negocio es una
imperativa crítica del negocio. Aunque los proveedores de la nube continúan haciendo grandes
inversiones en sus capacidades de seguridad, la preocupación por la seguridad de los datos y el
cumplimiento regulatorio permanece como una de las barreras de la adopción de la nube. En el
2015, la Unidad de Inteligencia Economista, en colaboración con IBM, condujo un estudio global de
madurez en la nube. El resultado de esta investigación multi-fase, que reflejo las perspectivas de
784 interesados (incluyendo miembros de juntas, Directores Ejecutivos (CEOs), Directores
Financieros (CFO), Directores de la Información (CIOs), y otros ejecutivos de nivel C) globalmente,
reveló que la seguridad de los datos como la influencia negativa de más alto nivel ante la adopción
de la nube en los últimos tres años, demostrando que algunos ejecutivos de negocios aún no están
convencidos acerca de la seguridad en la nube. Estas preocupaciones aumentan más adelante por
nuevos riesgos presentados por la nube pública, en particular5:
  Multitenencia—La capacidad computacional, almacenamiento y redes se comparten entre
muchos clientes de la nube. Mientras que este modelo permite a los proveedores de la
nube alcanzar economías de escala y costos de servicio más bajos, hay un riesgo
creciente de que una vulnerabilidad o error en la configuración pueda generar un
compromiso de seguridad que afecte a muchos clientes.
 Responsabilidades compartidas—La migración de aplicaciones de negocio a la nube
crea un modelo de responsabilidades compartidas entre los clientes de la nube y los
proveedores de servicios. Los clientes le transfieren algunas responsabilidades clave al
proveedor de servicios, por ejemplo, acceso físico y gestión de infraestructura.

La Agencia de la Unión Europea para Redes y Seguridad de la Información (ENISA) establece que
las concentraciones masivas de recursos y datos en la nube presentan un objetivo más atractivo
para los criminales cibernéticos6. Más aún, violaciones a la seguridad de la nube implican una
cobertura mediática más amplia, lo que amplifica el impacto de estos incidentes. La cobertura
mediática extensiva de la violación de la Nube de Apple en el 2014, que expuso fotografías de
celebridades, enfatiza este punto.

Hay tres controles críticos de seguridad para proteger la información de alto valor en la nube:
clasificación de la información, encriptación y gestión de accesos privilegiados.

Identificar Activos de Información de Alto Valor

La clasificación de datos es un paso vital hacia la construcción de un ambiente de control efectivo
para la seguridad en la nube. Los dueños de la información deben ser convocados para evaluar y
clasificar los activos de información basado en los riesgos del negocio. Esto elimina el gasto
innecesario en seguridad, en la medida en que más recursos son invertidos en proteger las “joyas
de la corona”.

La criticidad de datos difiere de una organización a otra, dependiendo del sector de la industria a la
que pertenecen o los objetos corporativos. Las compañías aseguradoras, por ejemplo, pueden
estar preocupadas por la privacidad de la información de salud de sus clientes, mientras las firmas
enfocadas a la alta tecnología pueden estar preocupadas por la seguridad de sus planes de
desarrollo de productos.

La información que puede ser de alto valor para criminales cibernéticos también debe ser
considerada. En Septiembre de 2014, un artículo de Reuters declaró que la información médica
hoy es 10 veces más valiosa que los números de tarjetas de crédito a la venta en el mercado
negro, y está siendo atacada cada vez más por criminales cibernéticos 7. Otra información de alto
valor que está siendo atacada por los criminales cibernéticos incluye planes de negocios, modelos
de asignación de precios, acuerdos de cooperación, correos electrónicos a ejecutivos de negocios
y registros financieros personales.

Como se ilustra en la figura 1, clasificar la información permite a los líderes del negocio tomar
decisiones informadas en relación con cuánto riesgo quieren asumir al momento de buscar la
innovación. Por ejemplo, una organización puede no tener apetito para mantener información
altamente confidencial en sistemas de nube pública, pero si puede tener el apetito de utilizar
sistemas de nube pública para mantener información pública.
Información de Alto Valor Aislada
Una vez que los datos han sido clasificados, las empresas reguladas pueden considerar utilizar
una nube privada para aislar las aplicaciones de alto valor. Las nubes privadas, donde un negocio
es dueño y administra su propio entorno virtual, ofrece una oportunidad para darse cuenta de los
beneficios de la nube junto con eliminar la multitenencia y las preocupaciones de responsabilidad
compartida. Previamente, algunas organizaciones evitaban las nubes privadas debido a los altos
costos de montaje. El Estado del Mercado 2016—Reporte de Nube Empresarial de Verizon, reveló
que el costo de la nube privada está disminuyendo, proveyendo a las organizaciones ambientes
más seguros, costo-efectivos para mantener sistemas de alto valor. 8

Encriptar Datos Sensibles

De acuerdo con la publicación sobre encriptación en la nube de Septiembre de 2012, de la
CSA, Guía de Implementación de SecaaS, Categoría 8 9, la encriptación y la protección de las
llaves de encriptación se encuentran entre los controles más efectivos de protección de datos. La
información de alto valor debe ser encriptada al ser mantenida en la nube para minimizar el riesgo
de divulgación no autorizada. Una gestión robusta de las llaves es esencial porque la pérdida de
las llaves de encriptación puede resultar en pérdida de datos. Las siguientes recomendaciones
deben ser consideradas al implementar el cifrado en la nube:

 Implementar controles ajustados para proteger las llaves criptográficas, incluyendo una
política de gestión del ciclo de vida de las llaves. NIST Publicación Especial 800-
5710 partes 1, 2 y 3 proveen guías más detalladas para la gestión de las llaves de cifrado.
 Asegurar que el servicio de encriptación de la nube incluye la recuperación de desastres y
capacidades de recuperación para minimizar el impacto al negocio si las llaves se pierden.
 Definir responsabilidades para gestionar las llaves de encriptación. Mantener la gestión de
llaves internamente, para mitigar fugas externas del proveedor de servicios o compromiso
malicioso por los usuarios privilegiados del proveedor de servicios.
 Probar para confirmar que la encriptación de bases de datos no tendrá un impacto adverso
en el rendimiento de las aplicaciones.
 Implementar controles para purgar los datos una vez eliminados del almacenamiento en la
nube.
  Complementar el cifrado de datos con protecciones de integridad como las firmas digitales
para mantener la autenticidad de los datos.

Desplegar Controles Fuertes Sobre el Acceso de Altos Privilegios

Gestionar los accesos privilegiados es crítico para asegurar datos en la nube. Las cuentas
privilegiadas permanecen como un vector ideal de ataque para los criminales cibernéticos porque
ellos proveen acceso ilimitado a aplicaciones y datos de alto valor. Una publicación de CSA, de
Febrero de 2016, Los Doce Traicioneros: Principales Amenazas de la Computación en la Nube en
201611, identificó el secuestro de cuentas, usualmente con credenciales robadas, como una de las
amenazas principales de la computación en la nube. La naturaleza dinámica de la computación en
la nube amplifica el riesgo existente de usuarios privilegiados de variadas maneras, incluyendo:

 Algunos roles de acceso a la nube son de riesgo extremadamente alto y tienen el potencial
para detener ambientes completos en la nube.
 El modelo de responsabilidades compartidas implica que los administradores de servicios
en la nube pueden tener acceso privilegiado a la infraestructura, aplicaciones o bases de
datos de una organización, dependiendo del modelo de entrega de servicios. Esto aumenta
la superficie de ataque.
 La provisión rápida y sin ataduras de nuevos servidores virtuales rápidamente introduce
nuevas cuentas privilegiadas a un ambiente. Estas cuentas a menudo son creadas con
contraseñas por omisión, que son un objetivo fácil para que los criminales cibernéticos
exploten.
 Los administradores de la nube pueden proveer nuevas instancias de servidores virtuales
con el clic de un botón. SI la autorización relevante es eludida, eso puede resultar en
gastos no planificados, debilitando el caso de negocios de la nube de una organización

Los siguientes controles en personas, procesos y tecnología pueden ayudar a disminuir esta
exposición:

 Confirmar la efectividad de los controles de accesos privilegiados de un proveedor de

servicios en la nube específicamente contratando un supervisor de los administradores de
sistemas.
 Implementar contraseñas fuertes y automatizar la provisión de políticas de seguridad.
 Forzar la autenticación de dos factores y la regla de dos personas sobre actividades de alto
impacto.
 Generar registros de auditoría y monitorear el acceso a las cuentas privilegiadas,
incluyendo la ejecución de comandos de alto impacto.
 Retener credenciales de cuentas de superusuario para cuentas que otorguen acceso total
a todos los recursos de la nube.
 Regularmente rotar las contraseñas para las cuentas de servicio, utilizando una solución
automatizada de gestión de contraseñas.

Un gran número de proveedores de servicio tienen guías específicas sobre cómo pueden
implementarse estos controles al interior de sus ambientes. Por ejemplo, el Blog de Seguridad de
los Servicios Web de Amazon (AWS)12 provee una guía detallada para gestionar las cuentas
privilegiadas al interior de AWS.

Minimizando la Dependencia de los Proveedores de Servicio en la Nubes

Mejorar la disponibilidad de servicios sigue siendo el principal catalizador para la adopción de la
nube. Las soluciones en la nube bien diseñadas pueden aumentar significativamente la resiliencia
del negocio en la misma medida en que los proveedores de servicios continúan mejorando la
resiliencia de las plataformas a través de la clusterización, replicación y la oferta de alta
disponibilidad.

A pesar de estas mejoras, aún ocurren apagones que impactan a variadas ubicaciones de servicios
en la nube. Si no se planifica adecuadamente, estos eventos pueden resultar en disrupciones
mayores en la operación y en la cadena de suministros.

La buena noticia es que ahora están disponibles estadísticas confiables para evaluar la
confiabilidad de los servicios en la nube en distintos proveedores. Por ejemplo, Cloud Harmony,
una firma de terceros que monitorean a los proveedores de servicios en la nube, provee una
comparación independiente de los servicios en la nube basado en su disponibilidad de servicios.

Las siguientes recomendaciones ayudarán a los negocios a mitigar estos eventos poco probables
pero de alto impacto:

 Revisar el plan de continuidad del negocio del proveedor de servicios en la nube, para
determinar si cumplen con los objetivos de recuperación de la organización.
 Utilizar múltiples proveedores de servicios en la nube para reducir el riesgo de
encadenamiento al proveedor.
 Implementar alta disponibilidad en la arquitectura de la nube para minimizar la interrupción
de servicios.
 Complementar la arquitectura resiliente con respaldos regulares y procedimientos de
restauración, y almacenar los datos de respaldo fuera de las dependencias del proveedor
de la nube.
 Actualizar y probar el plan de gestión de crisis de la organización.
 Simular la recuperación de diferentes escenarios de desastre, incluyendo la recuperación
de aplicaciones individuales, ambientes virtuales y el proveedor de servicios en la nube
completo.

De vez en cuando, las organizaciones dan por terminado acuerdos de externalización de funciones
—los acuerdos en la nube no son una excepción. Factores como fallar en cumplir los
requerimientos de desempeño, fallas de seguridad, o quiebra pueden llevar a la terminación de
contratos. Para mantener la continuidad del negocio y facilitar transiciones más suaves, las
organizaciones deben formular estrategias de salida o planes de contingencia para migrar registros
críticos a una solución alternativa, en la nube o fuera de ella.

Conclusión
Cuando se planifica, implementa y gobierna correctamente, la nube puede ser un gran catalizador
para la mejora de los procesos y un gran conductor de la transformación de los negocios. Los
proveedores de servicios en la nube trabajan incansablemente para mejorar sus capacidades de
seguridad y resiliencia. En realidad, los sistemas in situ pueden no ser más seguros que la nube. El
riesgo de seguridad y confiabilidad puede no superar la pérdida de la oportunidad de transformar
una organización con el uso estratégico de la nube. Las iniciativas en la nube se construyen sobre
la estrategia empresarial, acoplado con procesos robustos de gestión de riesgos, tienen el
potencial de acelerar la innovación en los negocios, transformar la experiencia del cliente y mejorar
la ventaja competitiva.

Agradecimientos
El autor quisiera agradecer a Gina Francis, Innocent Ndoda, Kathleen Lo, Andrew Strong y Joe
Chidwala por los valiosos comentarios que ayudaron a mejorar este artículo.

Notas Finales
1
 ISACA, Innovation Insights: Top Digital Trends That Affect Strategy, USA,
2015, www.isaca.org/Knowledge-Center/Research/Pages/isaca-innovation-insights.aspx
2
 IDC, “Worldwide Public Cloud Services Spending Forecast to Double by 2019, According to IDC,”
USA, 21 January 2016, www.idc.com/getdoc.jsp?containerId=prUS40960516
3
 Chan, W.; E. Leung; H. Pili; Enterprise Risk Management for Cloud Computing, Committee of
Sponsoring Organizations of the Treadway Commission, June
2012, www.coso.org/documents/Cloud%20Computing%20Thought%20Paper.pdf
4
 Australian Prudential Regulation Authority, Outsourcing Involving Shared Computing Services
(Including Cloud), 6 July 2015, www.apra.gov.au/AboutAPRA/Documents/Information-Paper-
Outsourcing-Involving-Shared-Computing-Services.pdf
5
 The Economist Intelligence Unit, Mapping the Cloud Maturity Curve, IBM,
2015 http://public.dhe.ibm.com/common/ssi/ecm/ku/en/kul12355usen/KUL12355USEN.PDF
6
 ENISA, Cloud Computing—Benefits, Risks and Recommendations for Information Security,
Greece, December 2012, https://resilience.enisa.europa.eu/cloud-security-and-
resilience/publications/cloud-computing-benefits-risks-and-recommendations-for-information-
security
7
 Humer, C.; J. Finkel; ‘Your Medical Record Is Worth More to Hackers Than Your Credit Card’,
Reuters, 24 September 2014, www.reuters.com/article/us-cybersecurity-hospitals-
idUSKCN0HJ21I20140924
8
 Verizon, State of the Market: Enterprise Cloud 2016, 2016, www.verizonenterprise.com/enterprise-
cloud-report/
9
 Cloud Security Alliance, SecaaS Implementation Guidance, Category 8: Encryption, September
2012, https://downloads.cloudsecurityalliance.org/initiatives/secaas/SecaaS_Cat_8_Encryption_Imp
lementation_Guidance.pdf
10
 National Institute of Standards and Technology, Special Publication 800-57,
USA, http://csrc.nist.gov/publications/PubsSPs.html#SP800
11
 Cloud Security Alliance, The Treacherous Twelve—Cloud Computing Top Threats in 2016, USA,
2016, https://downloads.cloudsecurityalliance.org/assets/research/top-threats/Treacherous-
12_Cloud-Computing_Top-Threats.pdf
12
 Amazon Web Services, AWS Official Blog, http://aws.amazon.com/blogs/aws/

Phil Zongo
Es un consultor de ciberseguridad con base en Sydney, Australia. Él tiene más de 10 años de
experiencia en consultoría de riesgos tecnológicos y gobierno trabajando con firmas de consultoría
de gestión líderes y grandes instituciones financieras. Recientemente lideró una iniciativa de
evaluación de riesgos para un programa complejo multimillonario de transformación en la nube.

https://www.isaca.org/Journal/archives/2016/volume-4/Pages/managing-cloud-risk-spanish.aspx?
utm_referrer=