Desde hace más de 5 años los servicios en la nube, han estado proporcionando soluciones de infraestructura, sistemas o aplicaciones a demanda, flexibles, económicas, colaborativas con poca o incluso sin necesidad de inversión inicial. Cada día más personas, empresas, gobiernos suben sus datos a la nube, pero es realmente seguro? depende, difícil de responder de manera breve a esta pregunta.
Me gusta usar la metáfora del avión para graficarlo. Para mi subirse a la nube es como subirse a un avión, una vez que estamos arriba, perdemos totalmente el control y confiamos en el piloto, su equipo y en el estado de la nave. Pero donde la industria aeronáutica tuvo más de 100 año para pensar, definir y establecer procedimientos y normas de fabricación, revisión, mantención, capacitación, controlling y monitoreo constante, la nube aun no llega al mismo nivel de madurez. Y aún en la actualidad los aviones se caen.
Entonces, ¿ hay que subirse a la nube? Si, pero hay que hacerlo de manera controlada y no solamente buscando reducir costos. La primera pregunta a hacerse es ¿que datos voy a subir?, si son datos personales, sensibles, tomar en cuenta la ley de protección de datos (Ley 19628, hoy con proyecto de ley para actualización) que en la mayor parte del tiempo impide o pone muchas barreras para sacar del país datos de esta índole, por lo tanto la nube tiene que asegurar que sus datos se quedan en el país, como por ejemplo lo hizo Google con su solución para el gobierno norteamericano (no para el Chileno). También pensar el tema de fraude, juicios futuros, como responder a un orden judicial que pide análisis forense de un sistema en la nube a fuera de sus fronteras, el ejercicio puede volver complicado o imposible el análisis, ahí de nuevo la naturaleza de los datos es clave (y su clasificación de seguridad).
Después hay que pensar en el proveedor, asegurarse que sigue buenas prácticas y cumple con niveles de seguridad idéntico o mejores a los definidos por su propia política de seguridad, por lo tanto tiene que permitir las auditorias de sus procesos, infraestructura y aplicaciones. A nivel de mejores prácticas existen varias organizaciones internacionales como https://cloudsecurityalliance.org, Enisa (https://www. enisa.europa.eu) y las normas y estándares ya conocidos de la industria como PCI DSS y ISO 27001, no se puede subir a la nube sin tener la certeza de que el proveedor cumple con las regulaciones que nos impactan directamente.
Además desde el punto de vista del Ethical o no Ethical Hacking el concepto cloud de seguridad al subir a una nave que en teoría impiden subirse con un arma, explosivo o antecedentes judiciales que podrían poner en peligro el viaje, concepto ausente por el momento en la nube, podríamos compartir infraestructuras con ciberdelincuentes, hacktivista o agencias de inteligencias extranjeras.
Enfatizo, no hay que desechar la opción de utilizar un servicio en la nube, pero hay que hacerlo de manera controlada, definir datos a subir y a nivel de proveedor revisar:
- Su seguridad aplicativa › Sus procesos de auditoria.
- Su BCP/DRP › Su proceso de control de cambios.
- Sus políticas de seguridad de la información.
- La seguridad de su Datacenter.
- La implementación y gestión de la encriptación.
- Su gobernabilidad y gestión de riesgo.
- Políticas relacionadas con sus recursos humanos.
- Gestión de identidad y accesos.
- La seguridad de sus infraestructuras virtuales.
- La posibilidad de migrar, exportar sus datos a otro proveedor, evitar el lock in.
- Proceso de gestión de incidentes › La capacidad de proveer el servicio y subir en carga.
- La transparencia en cuanto a incidentes, ataques, perdidas de datos.
- Gestión de vulnerabilidades › Proceso de Ethical Hackin
En resumen, elegir un proveedor responsable, seguro, idealmente basado en el mismo país o basado en un país con ley de protección de datos compatible y porque no pensar en el cloud privado, en todo caso si o si se deben blindar sus contratos.
Por Fabien M. Spychiger Fischer. Director Regional Dreamlab OPSA, OPST, ISECOM Trainer CISA Certified Auditor. ISO 31000 Risk Manager.