Lista de requisitos de seguridad en la nube

Ya sea que sea un pequeño negocio confiando en Google Docs para compartir documentos, o una empresa que está moviendo su sistema global de ERP a la nube, debe exigir que los vendedores que proveen aplicaciones y servicios sobre la web alcancen requisitos de cumplimiento y seguridad comunes. Estos requisitos implican quiénes pueden acceder a sus aplicaciones y datos, así como los sistemas que los albergan, dónde se almacenan los datos, y si los datos están compartidos en hardware dedicado, en lugar de hardware compartido. También aseguran que usted obtenga los registros detallados de quién ha accedido a sus datos y aplicaciones a fin de cumplir con los estándares corporativos y regulatorios, y verificar que los datos están debidamente encriptados -un factor que es más importante fuera del firewall corporativo.

 
Lo que demande de la nube depende de las normas de su empresa y sus necesidades de cumplimiento, la cantidad y tipo de cargas de trabajo que se está moviendo hacia la misma, y cómo se dividen las responsabilidades administrativas y de seguridad entre su personal y sus proveedores. Los requisitos de seguridad también varían dependiendo de si está utilizando ofertas de software como servicio (SaaS), infraestructura como servicio (IaaS) o plataforma como servicio (PaaS). Pero al menos debe considerar cada una de las siguientes preguntas en sus planes de seguridad en la nube.
 
1. ¿Quién tiene el control de acceso/autenticación?
La capacidad de probar que los usuarios son quienes dicen ser. y controlar los datos que pueden ver así como las funciones que pueden realizar, sobre la base de sus identidades y roles, es la principal prioridad de casi todos los usuarios de nube entrevistados para este artículo. La autenticación puede ser más difícil, cuando se mantiene la información de usuario y controles dentro de la red utilizando un repositorio, como Active Directory, pero alojando sus servidores y aplicaciones en la nube.
 
Lo ideal es un sistema de acceso por identificación "federado" que reúna la información de autenticación de todos los sistemas de su organización -internos y externos. Esto permite la autenticación inmediata de cualquier usuario que presenta las credenciales adecuadas, como una contraseña, o una clave y un token. También provee el inicio de sesión único permitiendo que los usuarios accedan a todas sus aplicaciones y datos, en la casa y en la nube, con un único nombre de usuario y contraseña. Mientras que los principales proveedores de SaaS tienen una infraestructura que ofrece inicio de sesión único para los grandes clientes que a su vez están equipados para servir como "proveedores de identidad", muchos pequeños proveedores de servicios y sus clientes carecen de estas capacidades, señala Eva Maler, analista de Forrester Research.
 
Sin embargo, debido a que la gestión federada de identidad puede ser costosa y difícil de implementar, muchas organizaciones se conforman con un enfoque "sincronizado" en el que diferentes copias de la información de autenticación de un usuario son mantenidas por las diferentes aplicaciones, afirma Maler. Esto puede comprometer la seguridad mediante la difusión de datos de credenciales de usuario entre varias ubicaciones y empresas. También puede crear retrasos entre el momento en que el acceso de un empleado se retira de los sistemas internos y de una aplicación basada en la nube, creando una brecha potencial de seguridad.
 
Otra opción de autenticación es que el proveedor de la nube se conecte directamente a la información del usuario en la compañía, lo que según Maler "es probablemente más seguro que la sincronización", pero solo si tiene una colección relativamente sencilla de sistemas. Esa es la ruta tomada por el proveedor de servicios de atención médica HCR ManorCare. Thomas Vines, director de seguridad de la información en HCR, señala que ha usado una aplicación basada en la nube para alojar el sistema de registros médicos electrónicos de la compañía durante los últimos siete años y se siente "muy cómodo" con él. Vines agrega que permite un servicio de seguridad basado en la nube de Zscaler (que también comprueba los sitios web en busca de malware y controla los sitios a los que los usuarios pueden entrar) para acceder a su implementación de Active Directory, y determinar qué usuarios autenticar y qué nivel de acceso concederles.
 
Una implementación de IaaS en la que un cliente compra el uso de servidores en la nube es un caso en el que un simple enlace de un proveedor de servicios a un directorio LDAP puede ser suficiente, agrega Tom Cecere, director de gestión de producto de nubes en NetIQ. Eso es porque por lo general hay un número limitado de funciones administrativas, señala. Por ejemplo, una función podría cubrir a los usuarios que pueden crear nuevos servidores, una segunda puede abarcar un conjunto más amplio que puede ampliar las capacidades de los servidores, y una tercera función podría cubrir al grupo más grande que puede utilizar los servidores.
 
Una serie de proveedores, incluyendo Symplified, Okta y Ping Identity, proporciona inicio de sesión único a través de lo que Maler llama "una forma simplificada de federación", desviando las peticiones de acceso de los usuarios a un proceso de autenticación basado en la nube que soporta todos los servicios basados en la nube que el cliente utilice.
 
El próximo desafío es garantizar que los usuarios solo puedan acceder a las aplicaciones, los datos o las funciones dentro de las aplicaciones a las que están autorizados. No todas las organizaciones necesitan el mismo nivel de granularidad en la especificación de acceso, señala Maler, pero es muy importante mantener el nivel de detalle que necesita, en lugar de confiar únicamente en el control "de grano grueso" ofrecido por los vendedores que tienen un incentivo por permitir el acceso de más usuarios para maximizar sus ingresos. Un proveedor que proporciona un control más preciso de acceso es Aveksa, que vende su software tanto a los proveedores de la nube como a los clientes cloud.
 
2. ¿El lugar es seguro?
La nube permite que los datos se puedan trasladar a la ubicación más rentable sin el conocimiento de los usuarios. Sin embargo, para salvaguardar la seguridad, los clientes deben conocer la ubicación de sus datos. Gary Landau, vicepresidente de infraestructura de TI y seguridad de la información financiera en el proveedor de servicios Wilshire Associates, quiere que los proveedores de nube proporcionen replicación a los sitios redundantes, "pero también quiero saber dónde van a estar los datos, porque no quiero que mis datos vayan a migrar" a un país que carece de una fuerte protección legal.
 
Los clientes de la nube preocupados por la seguridad de los documentos pueden utilizar las herramientas de SaaS como WatchDox, que les permite controlar quién puede ver los documentos basados en la nube y rastrear a quien los visita. De acuerdo con Kevin Gholston, vicepresidente de desarrollo de negocio en la consultora de defensa de fabricación CVG Strategy, WatchDox es más fácil de usar y menos engorroso que el software de gestión de derechos digitales.
 
AMAG Pharmaceuticals se basa en los proveedores de nube para alojar todas sus 24 aplicaciones sensibles y los casi 8TB de datos, incluyendo información relacionada con los procesos de fabricación y control de calidad, señala Nathan McBride, director ejecutivo TI de AMAG. Él usa CloudLock para Google Apps desde CloudLock (antes Aprigo) para restringir el acceso a los documentos solo para usuarios autorizados, y para transferir la propiedad de los documentos a otro empleado cuando un usuario sale de la empresa. Esto elimina el proceso manual de búsqueda de cada documento y cambiar quién puede acceder a cada uno de ellos.
 
3. ¿Cuándo se llevan a cabo las auditorías?
Demostrar que sus aplicaciones y datos alcanzan los estándares corporativos y las normas de la industria y del gobierno requiere auditorías e informes. Vine hace una auditoría trimestral de cada uno de los proveedores de aplicaciones críticas HCR, que abarca todo, desde actualizaciones de software para la validación de las cuentas de los usuarios, a los controles necesarios para el cumplimiento de HIPAA y Sarbanes-Oxley. Él dice que los años de experiencia y la cooperación "mano a mano" entre la auditoría y los grupos de seguridad significan que las auditorías requieren solo una cuarta parte del tiempo de un empleado. "Una vez que entramos en el flujo, está bien documentado y no tan ad hoc", agrega, señalando que los guiones y los procesos que su equipo desarrolló de forma proactiva sacó a flote los problemas.
 
Cada proveedor de nube que utiliza AMAG de McBride debe cumplir los estrictos requisitos de seguridad de datos de la FDA, uno de los cuales requiere de una auditoría in situ de varios días hecha por AMAG sobre las instalaciones y los procesos del proveedor.
 
Mientras que el cumplimiento de SAS 70 se cita frecuentemente como una garantía de seguridad, solo muestra los controles que el proveedor tiene en su lugar, no cómo hace cumplir los controles, agrega Karthik Chakkarapani, director de TI de soluciones de tecnología y operaciones de la American Hospital Association, que alberga todo, desde los sistemas de CRM, la planilla, hasta los datos para las aplicaciones móviles en la nube. Jason Lau, director de seguridad TI en Service Now, un proveedor de gestión de TI SaaS, indica que la norma ISO 27001 es una alternativa más rigurosa.
 
Marlin Pohlman, director de gestión de almacenamiento de EMC y presidente del consejo de estrategia para la Cloud Security Alliance (CSA), sugiere que se utilice SOC 2 y la Declaración sobre Normas para Compromisos de Atestación (SSAE) Nº 16 en lugar de SAS 70. El CSA también ha presentado un conjunto de principios de seguridad en su Cloud Controls Matrix y, en el cuarto trimestre, espera que a los usuarios se les pueda dar el acceso a los cuestionarios de seguridad completados por proveedores de la nube para sus registros de seguridad, registro y garantía (STAR por sus siglas en inglés). Esto les dará a los usuarios un formato señala la comparación de las prácticas de seguridad que los proveedores afirman que siguen, dice Jay Chaudhry, CEO de Zscaler y co-fundador de la CSA.
 
En cualquier caso, Chakkarapani aconseja que haga preguntas detalladas acerca de qué datos se almacenan en determinados sistemas, cómo se almacenan y encriptan, y la ruta exacta por la que se leen y escriben. También, agrega, descubra qué administradores pueden acceder a sus sistemas y cómo se controla su acceso.
 
Mientras que la capacidad de un único inicio de sesión elimina la confusión de nombres de usuario y contraseñas, también puede proporcionar las auditorías más completas mediante la captura de todas las acciones de los usuarios, independientemente de en qué sistemas se registras y las credenciales que utilizan, de acuerdo con Cecere de NetIQ.
 
Proveedores como Core Security Tecnhologies y nCircle permiten que los usuarios lleven a cabo análisis de vulnerabilidad. Muchas compañías quieren hacer las mismas exploraciones que hacen internamente, y ver los mismos informes de los proveedores de nube sobre sus propias organizaciones, agrega Tim Keanini, director de tecnología de nCircle. Sin embargo, algunos argumentan que mediante la imitación de los ataques, las pruebas pueden interrumpir el servicio de un proveedor. Otros dicen que los análisis son incompletos e inexactos o, como señala McBride, "una forma segura de hacer un hueco en la relación" con un proveedor. Pohlman recomienda el protocolo de autenticación de contenido de seguridad, elaborado por el Instituto nacional de estándares y tecnología, como una forma menos intrusiva para evaluar a un proveedor.
 
4. ¿Mis datos están en hardware dedicado?
Muchos vendedores cloud promocionan sus arquitecturas "multiusuario", en las que los datos y aplicaciones de múltiples usuarios comparten los mismos servidores o almacenamiento, como una manera de ofrecer servicios escalables y rentables. Pero a veces los clientes necesitan garantizar que sus datos están en su propia plataforma, guardada de forma segura, separada de la de otros clientes.
 
Kris Herrin, director de tecnología de Heartland Payment Systems, señala que él insiste en que los proveedores le permitan elegir qué aplicaciones se asentarán en un hardware dedicado y cuáles pueden ir a los sistemas compartidos. Herrin elige la opción dedicada, por ejemplo, para las aplicaciones que se ejecutan en servidores virtuales. Él quiere esa seguridad adicional porque a pesar de que sigue las especificaciones de Heartland, el proveedor de IaaS, en lugar de la de los propios ingenieros de la compañía, está gestionando el hipervisor.
 
5. ¿Quién se ocupa de la tienda?
Lau de Service Now señala que los clientes muchas veces "quieren conocer de forma explícita a todos los proveedores de terceros involucrados".
 
"Un proveedor de SaaS podría verse como una gran empresa, pero ¿se trata solo de una pequeña tienda de mamá y papá utilizando otro alojamiento?, agrega.
 
Lau recomienda sondear el tamaño real de la empresa con preguntas detalladas sobre el tipo de oficina en la que se encuentra el proveedor, el tamaño de su equipo de seguridad, y si la seguridad es un trabajo de tiempo completo en el vendedor. "Pídales una copia de sus normas y políticas de seguridad", agrega. "Si no puede obtener una, probablemente no tengan un programa de seguridad".
 
6. ¿Cómo se pueden cifrar los datos?
Encriptar, o disimular, los datos es una parte central de cualquier política de seguridad. Sin embargo, el tipo de cifrado necesario y su aplicación pueden variar dependiendo de cómo un cliente usa la nube.
 
El cifrado es parte central del plan de Herrin para "salir del negocio de centro de datos y del hardware" alojando aplicaciones en servidores propiedad de un proveedor de la nube, pero gestionados por su personal. Él utiliza los dispositivos reforzados de Voltage Security para encriptar porciones de números de tarjetas de crédito de sus clientes, desde el momento en que se cruzan con el comerciante en su procesamiento. El enfoque que le permite aprovechar los ahorros en los costos de la nube sin tener que preocuparse acerca de si cada paso que da cumple con los estándares de la Industria de Pagos con Tarjeta (PCI) para proteger el número de las tarjetas de crédito de los clientes. Debido a que el número completo de la tarjeta de crédito no se puede leer, señala, los procesos no están sujetos a los requisitos de PCI.
 
Larry Whiteside Jr., director de seguridad de la información y jefe de seguridad de la información en Visiting Nurse Service de Nueva York, insiste en la encriptación de 1.024 bits para mover datos entre los usuarios y aplicaciones en la nube, así como para los certificados de encriptación asociada. El cifrado de datos en reposo es deseable pero no obligatorio para su organización, asumiendo que otros controles de seguridad están en su lugar, como la ofuscación de datos y el uso de distintas instancias de SQL o, incluso, máquinas físicas.
 
Una manera de evitar sorpresas desagradables es asegurarse de que su proveedor de IaaS cita los precios para servidores y almacenamiento lo suficientemente rápido para manejar el nivel requerido de cifrado, sin desacelerar las aplicaciones. Pohlman sugiere consultar las 140-3 directrices de la FIPS (Estándares Federales de Procesamiento de Información) para determinar el nivel de cifrado para cada organización y jurisdicción. También debe asegurarse de que el plan de un proveedor de recuperación de desastres no solo protege los datos cifrados, sino también las claves de descifrado necesarias para utilizar los datos, informa Vines.
 
Una vez que han sido tomadas todas las precauciones, la clave para la seguridad es la gente. Algunos usuarios sienten que los proveedores de la nube pueden hacer un mejor trabajo que ellos mismos manteniendo los datos seguros, ya que los vendedores tienen más dinero -y mucho más en juego.
 
En lugar de confiar en alguien de su propio personal, "que podría estar haciendo 15 cosas diferentes", además de la seguridad, McBride señala que es más seguro confiar en un proveedor de nube, cuyo trabajo depende de mantener seguros los datos de los clientes.
 
"Ustedes saben que lo van a hacer", agrega.
 
– Robert L. Scheier, Computerworld