La automatización, ahorro de costos y redundancia de datos, no son temas que le preocupen a los CISO. Ellos saben que son algunos de los premios que pueden obtener al mudarse a la nube. Lo que puede mantenerlos despiertos por la noche es no saber cuántos pasos en falso comete la empresa en el proceso.
Aquí están siete pecados de los CISO y profesionales de la seguridad, que pueden socavar los beneficios de la computación en la nube.
1. No poder comprobar los ID en la puerta
La única forma segura de conectarse a la nube es a través de sistemas empresariales de gestión de identidades. Aunque muchos servicios en la nube permiten que casi cualquier persona de la organización se registre por sí misma, creen sus propios ID y contraseñas sin registrarlos en la empresa y, a continuación, conectar estas credenciales a las direcciones de correo electrónico personales, eso no quiere decir que TI o la empresa deban dejar que suceda.
"Si bien es fácil empezar de esta manera, al no integrarse con la IMS de la empresa, dejará a la organización abierta a las fugas, violaciones de políticas, y en última instancia, con la incapacidad para garantizar la nube", señala John Thielens, gerente principal de seguridad en Axway.
De la misma manera, algunas compañías que están implementando IaaS lo hacen con bastante rapidez -con capacidades de autoservicio- para hacer frente a las quejas de que sus departamentos de TI se demoran en responder o simplemente ignoran. Pero este enfoque no pasa por el gobierno, permitiendo el acceso sin vigilancia a los servidores de la nube.
"La gente se conecta a los datos que nunca deben ver, pues los datos de los proyectos existentes en máquinas virtuales nunca se cierran", explica Stanton Jones, analista de tecnologías emergentes y experto en la nube para Information Services Group.
¿Y si se trata de un servicio de nube de cara al cliente? ¿Cuál es el modelo de acceso? "¿Cómo lo va a integrar para permitir el ingreso de un usuario de una forma similar a, por ejemplo, el inicio de sesión único del modelo interno?", pregunta Julie Talbot-Hubbard, CISO de la universidad estatal de Ohio.
2. Dejar que las demandas por API (seguras) caigan en oídos sordos
Cuando una empresa se traslada a la nube, los usuarios requerirán API (interfaces de programación de aplicaciones) para que puedan aprovechar los servicios de la empresa de forma exclusiva. La nube ofrece servicios internos y capacidades cercanas a los clientes que quieran acceder a ellas. La integración basada en API permite eso.
Los desarrolladores móviles utilizan API para construir ecosistemas valiosos en la parte más alta de las piezas internas e información comercial de las empresas. "Si los desarrolladores monetizan eso, esos ingresos se pueden cortar en la cadena de valor que maneja, y además debería tener una parte de esos ingresos a través de un portal de desarrolladores de API", explica Thielens.
Una vez dicho esto, las claves API -que los desarrolladores utilizan para acceder a la API de servicios- han sido comparadas con las contraseñas. ¿Sabe qué pasa si pierde su contraseña? Los CISO que utilizan las API de servicios en la nube necesitan un plan de seguridad sólido para proteger las claves API.
3. No mantener la suficiente independencia de los proveedores de nube
A medida que evolucionan los servicios en la nube y aparecen nuevos proveedores y enfoques, la vieja guardia de la nube, como Amazon y Facebook, está convirtiendo las mejores prácticas en normas y productos disponibles a una escala menor, de acuerdo con Thielens.
"Esto está revolucionando los enfoques de la nube, así como a la infraestructura en las instalaciones", señala Thielens.
Con todo en continuo cambio y evolución, el mejor enfoque de nube de hoy puede no ser la mejor opción en el futuro. "Las aplicaciones pueden incluso llegar al punto en que es económicamente más rentable moverlas de nuevo fuera de la nube hacia la empresa de nuevo", señala Thielens. Esfuerzos de nuevos estándares como Tosca y CAMP (ambos de OASIS, Organization for the Advancement of Structures Information Standards), ofrecen herramientas para que las empresas puedan moverse a la nube como arquitecturas, sin buscar un proveedor de nube determinado.
Las empresas deben utilizar estas herramientas para mantener su independencia, lo suficiente para que puedan pasar a nuevos enfoques de nube a medida que se adapten mejor a las necesidades de la organización. En el ámbito de gestión del riesgo operacional, la flexibilidad empresarial también es mejor si es capaz de moverse rápidamente a otro proveedor (véase el punto siguiente).
4. Pensar que está externalizando los riesgos y la rendición de cuentas
La empresa puede externalizar parte de su infraestructura a la nube, pero no completamente subcontratar sus obligaciones de riesgo, responsabilidad y cumplimiento. Las empresas requieren de un cierto grado de transparencia en el proveedor de la nube para que puedan ser dueñas de los modelos de riesgo y mitigar las estrategias empresariales.
Estas necesidades le sugieren al proveedor de nube lo que puede o no puede ser adecuado para la empresa, ya que algunos son más accesibles para la evaluación y gestión de riesgos. "Usted no quiere firmar con el proveedor de nube asumiendo todo el riesgo", señala Thielens. El proveedor de nube ciertamente no puede poseer ni se preocupa por sus riesgos.
En un ejemplo de la pasada primavera, los que tenían todos sus servicios en la nube en una zona única de disponibilidad Amazon E2C, tuvieron severos problemas de tiempos de inactividad. Los que cargaron con algunos de los riesgos al dividir de forma proactiva sus datos a través de múltiples zonas de disponibilidad, fueron capaces de recuperarse más rápidamente.
5. Inscribirse en soluciones en la nube sin la participación de TI y del departamento de seguridad
Es fácil registrarse y entrar en la nube con diversos proveedores y aplicaciones grandes y pequeñas sin ningún conocimiento técnico: Dropbox, SharePoint, o un poco de empuje extra de computación de Amazon. Puede que su organización ya esté utilizando servicios basados en la nube sin el conocimiento o participación de TI. Es tan fácil como introducir un número de tarjeta de crédito.
"La idea es que se puede pasar por alto la larga cola de los proyectos y requisitos de TI y ser productivos", señala Jerry Irvine, director de información de Prescient Solutions y miembro de National Cyber Security Task Force.
Por desgracia, este enfoque aporta muchos inconvenientes nuevos de seguridad, rendimiento y problemas de tolerancia a fallas. Mediante la implementación de soluciones corporativas sin la participación de TI, los usuarios entran potencialmente en conflicto con los sistemas, configuraciones y aplicaciones existentes. El personal no cualificado tiene poco conocimiento de los requisitos reglamentarios y de cumplimiento, lo cual puede ser contraproducente.
"Si bien estas aplicaciones en la nube pueden ofrecer una resolución rápida a las necesidades de características específicas, los riesgos y las vulnerabilidades que introducen pueden llevar a grandes costos en daños, fallas en los sistemas, infracciones y sanciones en caso de incumplimiento", explica Irvine.
Por estas razones, toda adopción de la nube debe estar sujeta a las evaluaciones de riesgos, revisión de contratos, aprobación de cumplimiento y de políticas internas.
"Muchas organizaciones están descubriendo que tienen focos de servicios en la nube que aparecen en toda la organización a pesar de no contar con una política institucional sobre la adopción de la computación en la nube dentro de la empresa", indica Steve Durbin, presidente de Global Executive, Information Security Forum.
Cuando nadie del departamento de TI, de adquisiciones o del área legal está involucrado en la migración a la nube, la organización puede perder la totalidad de su gobierno de datos relacionados, aplicaciones, servicios e infraestructuras, agrega Talbot-Hubbard.
6. Sobreestimar la seguridad en la nube
En el apuro por adoptar servicios en la nube y darse cuenta de los ahorros potenciales que se pueden obtener, señala Durbin, las empresas se están concentrando en la funcionalidad de los servicios en la nube y no hacen preguntas acerca de la forma en que los proveedores de nube ofrecen seguridad a través de sus servicios, o la forma en que la seguridad puede ser revisada.
Esto sucede cuando las empresas asumen que debido a que las empresas de servicios en la nube le proveen el servicio a múltiples empresas, tienen un departamento de seguridad más grande y políticas, procesos y procedimientos más fuertes.
"Eso no suele ser el caso", señala Irvine.
A menudo, los proveedores de servicios en la nube asistirán a los niveles básicos de seguridad en las instalaciones y dependiendo de las aplicaciones de seguridad y plataformas automatizadas, para satisfacer la mayor parte de sus prácticas de seguridad.
Otros proveedores de nube pueden subcontratar mayores niveles de seguridad, que se encuentran fuera de su especialización central, a proveedores terceros. Sin embargo, los servicios de seguridad de estos terceros no pueden ser incluidos en los requisitos contractuales y las SLA que el proveedor de nube comparte con el cliente.
"Hay que exigirle al proveedor de servicios que mantenga las funciones específicas de seguridad, documente las tareas de seguridad, y proporcione copias de todas las políticas y prácticas así como informes de seguridad", señala Irvine.
7. No entender los costos
Cuando los proveedores de nube exhiben sus productos, a menudo muestran las ofertas básicas para la comparación de costos por parte de los clientes potenciales.
"Desafortunadamente, después de la contratación de un proveedor de servicios, las empresas suelen determinar que los servicios adicionales, licencias de software e incluso licencias de hardware, son necesarias para realizar todas las tareas de TI a las que la empresa se ha acostumbrado", señala Irvine. Los gastos de seguridad y los relacionados con el cumplimiento (y, significativamente, la documentación de ese cumplimiento) se pueden elevar de manera similar.
Las empresas subestiman los costos de la nube aún más debido a una expectativa poco realista en cuanto al número de recursos internos de TI que van a necesitar después de empujar las aplicaciones a la nube.
"Dependiendo del tipo de servicio que se ofrece (SaaS, IaaS, PaaS), el número de recursos requeridos internamente puede no cambiar en absoluto. De hecho, muchos de nuestros clientes que se dedican a la computación en la nube, no tuvieron ninguna disminución en el departamento interno de TI", señala Irvine.
En cualquier caso, la probabilidad de que una empresa externalice hasta el 100% de sus aplicaciones y sistemas en la nube es mínima. Incluso las empresas que impulsan muchos de sus sistemas a una solución en la nube, todavía tienen requisitos para infraestructura interna e ingenieros de estaciones de trabajo. "Como resultado, los costos del departamento se ven afectados mínimamente", señala Irvine.
– CSO US / IDG News