domingo, 25 de octubre de 2009

Inseguridad en la Nube: Retos y riesgos

En el documento elaborado por la Cloud Security Alliance - CSA (http://www.cloudsecurityalliance.org/guidance/csaguide.pdf) se establecen una serie de características y variables a tener en cuenta cuando se trata de aplicar una estrategia de computación en la nube, de tal manera que le permita a los analistas de riesgos revisar cada uno de ellos y evaluar en el contexto de cada organización lo pertinente para decidirse o no con una estrategia de computación en la nube.

El documento establece quince (15) dominios de acción para considerar los aspectos de seguridad de la computación en la nube:

• Marco arquitectónico de la computación en la nube
• Gobierno y administración de riesgos empresariales
• Consideraciones legales
• Descubrimiento electrónico (electronic discovery)
• Cumplimiento y auditoría
• Administración del ciclo de vida de la información
• Portabilidad e interoperabilidad
• Seguridad tradicional, continuidad de negocio y recuperación ante desastres
• Operaciones de centros de cómputo
• Respuesta a incidentes, notificación y remediación
• Seguridad en aplicaciones
• Cifrado y administración de llaves
• Administración de la identidad y el acceso
• Almacenamiento
• Virtualización


A continuación una breve explicación del alcance de cada una de las categorías establecidas en el documento de la CSA.

Marco Arquitectónico de la Computación en la Nube
Es este domino se establecen las definiciones propias de la computación en la nube, que define este paradigma de servicios computacionales como una colección distribuida de servicios, aplicaciones, información e infraestructura compuesta de múltiples recursos de tecnología de información como redes, información, servidores y recursos de almacenamiento, los cuales son orquestados, aprovisionados, implementados y configurados utilizando un modelo de demanda, basado en la localización de los recursos y las tasas de consumo de éstos.

Gobierno y Administración de Riesgos Empresariales
Dado que en el contexto de la computación en la nube la participación de un tercero es factor fundamental de la estrategia, la gestión de riesgos requerida para este caso solicita un análisis cuidadoso de la debida diligencia del proveedor, los acuerdos de nivel de servicio que se requieren, las consideraciones legales de propiedad de los datos, la jurisdicción aplicable, los aspectos de continuidad de negocio, resolución de conflictos, entre otros temas que ofrezcan a la organización que esté pensando en esta opción, valorar con claridad los riesgos claves de esta opción.

Consideraciones Legales
En este aspecto las organizaciones deben estar atentas para revisar entre otros aspectos las obligaciones de cumplimiento regulatorio propias de la organización (como de otros países) y cómo esta son asumidas por el proveedor de servicios en la nube; analizar las implicaciones de la localización de los datos, los elementos de protección de la privacidad de los datos de clientes y empleados de la empresa, los usos secundarios de la información almacenada en la infraestructura del proveedor, el manejo de las brechas de seguridad que se presenten, el aseguramiento de los planes de continuidad de negocio, la respuesta a los posibles litigios donde se solicite información corporativa disponible en la nube, los elementos del monitoreo de los servicios contratados en la nube y los elementos concretos de terminación del contrato con el proveedor.

Descubrimiento Electrónico
Este elemento llama la atención de mantener unas buenas prácticas de seguridad de la información por parte del proveedor de servicios, de tal forma que la evidencia informática o electrónica materializada en los registros de la operación de la empresa sea auténtica y confiable como evidencia. Esto implica que el cliente deberá asegurar en los acuerdos de nivel de servicio, la custodia y control de la información de la empresa alineada con los estándares de autenticidad y confiabilidad requeridos por su cliente y propios del contexto legal de su empresa y país.

Cumplimiento y Auditoría
Si bien no es evidente asegurar aspectos de cumplimiento y revisión por parte de terceros en la nube, ciertamente es posible adelantar un programa de evaluación que mantenga un monitoreo y revisión de las consideraciones de seguridad y control requeridas frente a las buenas prácticas y el marco normativo vigente. Para ello, se sugiere a nivel contractual, dejar la posibilidad abierta para que la empresa contratante pueda adelantar ejercicios de auditoría o verificación que considere convenientes.

Administración del Ciclo de Vida de la Información
Adicional a los pasos naturales del ciclo de vida de la información: creación, clasificación, transporte, almacenamiento, recuperación y disposición, en la estrategia de computación en la nube se deben considerar aspectos como:
• El nivel de controles lógicos y físicos que deben estar diseñados en el sitio de almacenamiento
• La validación de la integridad de los datos que soportan la información
• La identificación y control de acceso del persona a los datos
• Los términos del servicio relacionados con el control y revelación de información sensible
• Los requisitos de privacidad
• Los elementos de recuperación y respaldo
• Los tiempos de retención de los datos y su destrucción posterior
• La respuesta a solicitudes de información por parte de terceros autorizados
• El tránsito o transmisión de información entre países
• La validez y continuidad del proveedor de servicios en la nube

Portabilidad e Interoperabilidad
Esta variable nos habla sobre la calidad del proveedor de servicios en la nube, de la capacidad de manejo de sus recursos computacionales y la migración interna de ambientes o nubes que éste tenga configuradas al interior de su arquitectura de tecnologías de información. Así mismo, nos exige revisar los temas de recuperación ante desastres y capacidad de restauración del servicio de acuerdo con los niveles de servicio previstos.

Seguridad Tradicional, Continuidad de Negocio y Recuperación Ante Desastres
El reto en esta sección es identificar las interdependencias de la infraestructura que conforma la nube, cómo se integra y soporta de manera dinámica y de acuerdo con la demanda. Aún cuando los servicios en la nube requieren de elementos de seguridad tradicional y el cumplimiento de sus fundamentos (confidencialidad, integridad, disponibilidad, no repudio, autenticación, autorización y auditabilidad), los conceptos de continuidad de negocio y recuperación ante desastres son requerimiento fundamentales de la protección de los servicios.

Operaciones de Centros de Cómputo
Los clientes de proveedores en la nube, deben con frecuencia validar el nivel de maestría de éste en el soporte de sus servicios. Esto es someterlo a evaluaciones periódicas de la gestión del servicio prestado, la presencia de ambientes pilotos de pruebas para soportar cambios y nuevos productos, validación de la segregación de funciones y ambientes para cada uno de los clientes del proveedor, el nivel de la administración de parches de la infraestructura, así como el nivel de las evaluaciones efectuadas por terceros a la gestión de sus servicios.

Respuesta a Incidentes, Notificación y Remediación
Este aspecto exige de los proveedores de la nube la responsabilidad de la identificación y notificación del incidente, con la opción preferente de remediación de un acceso no autorizado a los datos generados por una aplicación. En este sentido, el análisis del incidente puede adquirir un significado y acciones diferentes dependiendo de los requerimientos de ubicación del usuario de la aplicación. Por lo tanto, la atención de incidentes, si bien podrá seguir lo establecido por los discursos metodológicos existentes al respecto, deberá tener en cuenta el contexto del país donde se materializa o se ubica el usuario.

Seguridad en Aplicaciones
En este punto decisiones como dónde deben ser desarrolladas o ejecutadas las aplicaciones son las que se deben tomar, dado el modelo de entrega de las mismas en una plataforma particular. Adicionalmente, se debe dar respuesta a preguntas como:
• ¿Qué controles deben tener las aplicaciones tanto dentro de su diseño, como en la nube?
•¿Qué tanto debe cambiar el modelo de desarrollo de software para acomodarse a la computación en la nube?

Cifrado y Administración de Llaves
De acuerdo con el autor del documento en el concepto de computación en la nube no es clara la definición de perímetro de seguridad, dado que los componentes y sus localizaciones varían según la demanda. En este contexto y de acuerdo con lo establecido por la CSA, la única vía para asegurar los recursos de computación son un cifrado fuerte y una administración escalable de llaves.

Si bien los autores hablan del cifrado como la única vía para el aseguramiento en la nube, esta decisión implica elementos de gestión y control propios de la infraestructura que deben ser manejados y administrados por los clientes, los cuales son los que mantienen el control sobre sus datos en la infraestructura de la nube. En este escenario, los diseños y aplicación de los servicios deben estar articulados con esta directriz de confidencialidad de la información.

Administración de la Identidad y el Acceso
Esta variable de análisis nos invita a revisar los temas de la identidad de los usuarios en el consumo de los servicios de una infraestructura. Si bien, a la fecha no existe un ambiente maduro que evidencie la preparación de las organizaciones para la administración de la identidad, se hace necesario revisar en el contexto de los proveedores en la nube, el grado de madurez de esta estrategia, de cara a una futura implementación de la misma, como parte interesada y participante de la identidad de los usuarios en ella.

Almacenamiento
En este segmento del documento las preguntas que el cliente de los servicios en la nube se hace son:
• ¿Cómo el proveedor asegura que sus datos sean confiables y estén disponibles de acuerdo con sus necesidades de negocio?
• ¿Está usted y sus clientes confiados en la promesa de que toda su información privada y confidencial permanece como tal y debidamente protegida?
• ¿Están sus datos almacenados de manera confiable y debidamente segregados de otros residentes en la misma granja de almacenamiento?

Virtualización
Este componente es una de las variables fundamentales al considerar la estrategia de computación en la nube. Dentro del conjunto de riesgos a revisar en este aspecto se encuentran:
• Nuevas tecnologías, que mantienen antiguas vulnerabilidades y el surgimiento de otras. Esto implica que a mayor complejidad de la configuración del entorno de operación, menores y poco homogéneos aspectos de seguridad y control.
• Pérdida de la seguridad por defecto, es decir, que al cambiar un entorno previamente configurado, se requiere una nueva configuración de las condiciones de seguridad tanto en el hardware como en el software utilizado.
• Mezcla de retos alrededor de la integridad, que implica la mixtura de datos y niveles de confidencialidad. El tratamiento de la reconfiguración de entornos, implica un manejo de información que puede no ser la más adecuada.
• Aspectos de jurisdicción, regulatorios y de control, tema que ha sido tratado en otros apartes del documento de la CSA.
• Nuevos retos administrativos que impactan la seguridad, esto es, la configuración de las máquinas y sus recursos, requiere un nivel de seguridad y control adicional al propio de las aplicaciones que se ejecutarán en ellas. La seguridad de la virtualización en sí misma, es una característica necesaria dentro de la administración de ambientes computacionales en esta condición.

Por tanto, antes de considerar una estrategia de computación en la nube, revise las implicaciones que establece esta opción y recuerde que, será un tercero quién ahora participará del control de sus datos y aplicaciones. La decisión es suya!

domingo, 4 de octubre de 2009

Reflexiones sobre las métricas en seguridad de la información

Revisando las ideas desarrolladas por Bruce Schneier en su libro “Beyond fear” publicado en 2003, sobre la seguridad de la información encontramos que muchas de ellas nos sirven de escenario base para adelantar una reflexión sobre lo que pueden ser las métricas en seguridad de la información.


Dice Schneier:

  • La seguridad es subjetiva y será diferente para diferentes personas, pues cada una de ellas determina su nivel de riesgo y evalúa sus estrategias compensatorias (trade-off) frente a los controles.
  • La seguridad es un sistema. Un sistema de contramedidas (controles) individuales y sus interacciones.
  • El sistema de seguridad es en sí mismo una colección de activos mas funcionalidad.
  • Las interacciones entre sistemas son inevitables. Éstas producen o generan propiedades emergentes de los sistemas. En este sentido, de alguna manera las brechas de seguridad son resultado de las propiedades emergentes.
  • La seguridad no es una función que pueda ser verificada, como una reacción química o un proceso de manufactura. Por el contrario, solamente es efectivamente verificada cuando algo no sale bien.
  • El atacante debe ser parte del diseño de un sistema de seguridad, por tanto, el sistema debe tomar en cuenta el atacante para mantenerse seguro.
  • Los diseñadores de sistemas informáticos que quieren hacer sus sistemas más seguros deben construirlo tan simple como sea posible: elimine opciones, reduzca interacción con otros sistemas, corte funcionalidad que no sea necesaria.
  • Usted no podrá tomar buenas decisiones sobre qué tanta seguridad necesita hasta que no conozca los mecanismos de detección y respuesta que necesita implementar.
  • “Invulnerable”, “impenetrable” son palabras que no tienen sentido cuando se habla acerca de la seguridad.
  • Cuando ocurre un evento de seguridad, regularmente las personas se vuelven más experimentadas y saben que hacer.


Todas estas reflexiones nos hablan de un concepto de seguridad de la información basada en la inseguridad, en ese elemento tangible y medible como lo es la falla en sí misma. En este sentido, las métricas de seguridad de la información deben responder a la capacidad de la organización de responder a las brechas de seguridad, a la cultura de reporte de incidentes de seguridad y al nivel de confianza que quiere tener la alta gerencia respecto de la seguridad de los activos de información.


En este contexto, medir en seguridad de la información no debe estar atado a los estándares de seguridad como el ISO 27000, sino a las relaciones emergentes y propias de cómo se ejecutan las prácticas diarias de seguridad de la información en la organización, en los detalles de cómo se asumen y manejan los escenarios de falla y sobremanera, en la forma como la gerencia quiere administrar los riesgos propios de la protección de la información.


Así las cosas, medir en seguridad de la información exige el reconocimiento de la cultura de seguridad de la información, ese núcleo de supuestos, prácticas expuestas y en uso, así como los artefactos tecnológicos que hacen parte de la estrategia corporativa de seguridad de la información para desestimar posibles conductas que atenten contra la confianza emergente de la gerencia en la protección de los activos.


La gerencia valora más la manera como la organización se enfrenta y reacciona cuando se tiene una brecha de seguridad, que cuando no la tiene. Pues puede ver allí que tan preparada está para que, a pesar de los hechos, pueda procesar el incidente y seguir operando. Así mismo, reconoce el valor de un enfoque preventivo y de aseguramiento, más que uno reactivo y postmortem, porque sabe que mientras más pueda avanzar en una administración de riesgos de seguridad de la información, mejor podrá posicionar su confianza y la de sus clientes para fortalecer sus alianzas estratégicas.


Si bien esta reflexión no pretender agotar el tema de las métricas en seguridad de la información u ofrecer un conjunto de ellas, si busca repensar las ya existentes basadas en operaciones o números, que si bien son muy útiles para mirar la efectividad de las tecnologías de seguridad, no son suficientes para dar respuesta a la pregunta que se hace la gerencia: ¿Cuál es el nivel de confianza que tiene la organización en la seguridad de la información?


Medir en seguridad de la información, no es un tema exclusivamente de números, cantidades o volúmenes. Es una estrategia y la mejor excusa para dar respuesta a una pregunta, a una realidad que se hace evidente en la cultura de seguridad de la información. Medir es reconocer que somos tan seguros como la atención y gestión de los incidentes que hemos tenido, como el nivel fallas que experimentamos en las tecnologías de seguridad y la percepción de protección y amparo que cada una de las personas de la organización presenta.


Cuando nos arriesgamos a medir la gestión de la seguridad de la información, es decir, la generación de valor basada en la protección de los activos de información, nos lanzamos a ver con los ojos de la gerencia su entendimiento de los riesgos frente a los procesos de negocio.