Formando parte de la serie de ISACA sobre computación en la nube, encontramos el documento "Consideraciones de Seguridad para Computación en la Nube" (enlace) cuyo objetivo es proporcionar una guía práctica y facilitar el proceso de decisión para los profesionales de negocio y de TI a la hora de tomar la decisión de moverse a la nube.

ISACA Security Considerations for CCNos ha parecido interesante analizarlo puesto que una de las principales ventajas de los sistemas de calificación como el propuesto por leet es, precisamente, facilitar esta toma de decisiones.

El documento de ISACA está organizado en cuatro grandes capítulos que recogen, además de la presentación del propio documento, un breve resumen conceptual de lo que consiste la computación en la nube, una visión general de los riesgos y amenazas relacionadas de manera específica con la nube y, finalmente, la guía sobre cómo evaluar el potencial de la nube como respuesta a las necesidades de una organización (aportando árboles de decisión y listas de comprobación).

Coincidiendo con ISACA en que el elemento clave es la confianza, la visión de leet sobre cómo alcanzarla es radicalmente diferente a la propuesta de ISACA. Mientras que la apuesta de ISACA es actuar de manera intrusiva sobre las operaciones de los proveedores de servicios en la nube (petición de información exhaustiva, realización de auditorías, revelación de información sobre seguridad, etc.), la apuesta de leet está fundamentada en un modelo más centrado en los resultados, es decir, garantizar la resiliencia del proveedor en la prestación del servicio.

Comenzando por las cosas en las que coincidimos:

  • Nos parece muy acertada la lista de aspectos a tener en cuenta a la hora de confiar en nuestro proveedor, ya que no solo hay que considerar aspectos técnicos, sino también de fiabilidad del mismo como empresa.
  • También nos parece muy acertado el planteamiento faseado para tomar la decisión que comienza por un análisis de la propia empresa que se plantea ir a la nube sobre la criticidad de la información / el proceso que quiere subir a la nube. Es decir, no todos los viajes a la nube son iguales, cada uno tendrá sus particularidades en función de lo que se quiera subir.
  • Son muy útiles los dos árboles de decisión planteados para ayudar a decidir el tipo de modelo de servicio (IaaS, PaaS o SaaS) y el modelo de despliegue (básicamente público versus privado).
  • Es un acierto recoger como un riesgo positivo, la mejora de seguridad de los proveedores SaaS, puesto que al ser su negocio la venta de servicios, tienen incentivos a proveer servicios seguros (más que la propia empresa que tiene otros motivadores).
  • Finalmente también coincidimos plenamente en que la parte más difícil es encontrar el servicio que mejor se ajuste a las necesidades de negocio de nuestra organización minimizando el riesgo potencial, es decir, hacer coincidir los perfiles de riesgo de proveedor y usuario.

Y, para finalizar, recogemos aquellos aspectos en los que estamos en desacuerdo o cuyo planteamiento no nos parece acertado (para ilustrarlo utilizaremos el suministro de energía eléctrica como símil a la provisión de un servicio asemejándolo con la provisión de capacidad de procesamiento o almacenamiento):

  • No creemos que sea necesario conocer todas las partes implicadas y su ubicación física del mismo modo que no necesitamos saber todos los actores implicados en la generación y distribución de la electricidad que consumimos. En cualquier caso, tendremos que solicitar a nuestro proveedor que nos garantice que los terceros implicados no suponen un riesgo para las condiciones de nuestro servicio.
  • Nos parece muy simplista la fórmula de confiar en los proveedores con tradición en la industria de la nube, básicamente porque esto cerraría las puertas a todos los nuevos actores y frenaría la innovación. En realidad, lo que debemos hacer es contar con mecanismos que nos ayuden a saber si es un proveedor de confianza o no.
  • Tampoco pensamos que sea imprescindible la posibilidad de auditar al proveedor igual que no nos planteamos auditar a nuestro proveedor de suministro eléctrico. Si lo que se persigue es asegurar la implementación de controles, pidamos que se realicen auditoría independientes por personal cualificado y que sean supervisadas por organismos independientes. En este sentido todas las medidas incluidas en el apéndice A nos parecen muy intrusivas y poco realistas, puesto que pocos proveedores se van a avenir a revelar toda la información propuesta por ISACA.

Como conclusión, creemos que el planteamiento de ISACA está muy próximo a considerar la computación en la nube como un tipo de externalización, cuando en realidad lo que está haciendo es cambiar completamente los modelos de relación y los roles de los actores. En este sentido, pensamos que la apuesta debe ser por el establecimiento de mecanismos que permitan a los potenciales usuarios, sin la necesidad de realizar un análisis profundo de cada servicio y proveedor, conocer de manera sencilla si el servicio ofertado se ajusta a sus necesidades en cuanto a su perfil de riesgo.

Puedes seguirnos en twitter.com/leet_security

14 de diciembre de 2012