El Congreso Academic ITGSM12 se centra en pedir a la comunidad Académica y de las empresas más innovadoras que compartan su visión, investigaciones y trabajos que ayuden a impulsar al tejido empresarial a avanzar ante este nuevo reto. Siguiendo esta línea argumental, la temática del congreso se agrupará en torno a las últimas prácticas, experiencias e investigaciones del Gobierno y la Gestión del Servicio de unas tecnologías de la información que son clave para la sociedad y la economía del país.

leet security participará en este congreso con una ponencia titulada: “No más dudas sobre el Cloud gracias al nuevo rating de seguridad” en la que abordaremos las posibilidades que aporta la utilización de un sistema de calificación y como la transparencia que introduce en el mercado de seguridad ayuda a la toma de decisiones más eficaces y más eficientes por todas las partes (tanto proveedores como usuarios de servicios en la nube).

¡Nos vemos allí!

Puedes seguirnos en twitter.com/leet_security

Elegir el servicio con el nivel de calificación más elevado (AAA) es una tentación, sobre todo para los profesionales de la seguridad, que siempre buscan (instintivamente) asumir el menor riesgo posible. Sin embargo, no es, en absoluto, la decisión óptima.

¿Y cuál es entonces la mejor decisión? Pues algo que nos posibilita la calificación: elegir el servicio con las medidas de seguridad (o en otras palabras, con la calificación) que mejor se adecuen a nuestras necesidades. Es decir, deberemos entender para qué queremos usar el servicio TIC que vamos a subcontratar para identificar qué requerimientos de seguridad le son exigibles (en función de las normativas o las políticas internas que le sean de aplicación) y, en consecuencia, qué calificación es la más acorde a nuestras necesidades.

Gracias a los niveles de calificación en las distintas dimensiones (confidencialidad, integridad y disponibilidad) podemos elegir un servicio con diferente grado de exigencia en cada una de ellas y, por tanto, más ajustada a nuestra situación.

De esta forma, seremos más eficientes, puesto que elegir un servicio con un nivel excesivo implica un gasto excesivo, mientras que seleccionar uno insuficiente, supone pagar menos por el servicio, pero también tener un grado de exposición mayor al deseado.

Por lo tanto, debemos evitar la tentación de buscar los servicios con mayor nivel de calificación y realizar un pequeño análisis (leet security lo ofrece de manera gratuita) que nos permita sabes qué calificación es la más acorde a nuestra realidad.

Puedes seguirnos en twitter.com/leet_security

Para participar, es necesario enviar un correo a algunas de las siguientes direcciones de correo electrónico:

• ALI – secretec@ali.es
• CPITICM – secretaria@cpiticm.es

Puedes seguirnos en twitter.com/leet_security

• Estandarizar los requisitos de seguridad (partiendo de la publicación 800-53 del NIST, “Security and Privacy Controls for Federal Information Systems and Organizations”)
• Homologar asesores (3PAOs – Third-party assessment organizations)
• Llevar registro de proveedores y asesores homologados (en el caso de PCI SSC solo son los asesores)
• Adicionalmente, FedRAMP incluye modelos de ANS para que sean utilizados por las partes y simplificar así este proceso.

La idea consiste, básicamente, en “hacer una y usar muchas veces”, es decir, revisar una vez la seguridad del proveedor y utilizar los resultados tantas veces como sea necesario, en función de las agencias del gobierno que quieran utilizar sus servicios.

FedRAMP nos parece un esquema muy interesante que aborda desde otro enfoque el objetivo de que la seguridad deje de ser un freno a la contratación de servicio en la nube. Además, el programa comparte algunas características con el esquema de calificación que proponemos en leet, aunque las principales son las cuatro siguientes:

• Aporta transparencia al proceso de contratación mediante un registro público en el que figuran los proveedores que cumplen los criterios. De esta manera también se consigue reducir el número de valoraciones necesarias de lo mismo, por lo que, la sociedad, en su conjunto, es más eficiente.
• Reconoce que pueden existir diferentes necesidades por parte de los usuarios en cuanto a su nivel de seguridad en función de los procesos a los que den soporte [por desgracia, por el momento, solo han desarrollado los requisitos para sistemas de seguridad con requerimientos bajos y medios según NIST 800-53].
• No solo es importante la “homologación” inicial, sino que el mantenimiento de las condiciones es importante y se monitoriza a lo largo del tiempo.
• Los criterios de valoración son públicos.

Aunque también tenemos nuestras diferencias, siendo las principales las siguientes:

• Solo utilizan (potencialmente) tres niveles, mientras que en nuestra calificación hay cinco.
• No segrega el nivel de seguridad en cuanto a las tres dimensiones de confidencialidad, integridad y disponibilidad, sino que las considera en su conjunto (la mayor de todas ellas).
• FedRAMP solo es para las agencias públicas [norteamericanas], no para el sector privado.
• El esquema de calificación que propone leet no requiere de terceros autorizados sino que aborda la problemática del cumplimiento mediante una combinación de autodeclaración, vigilancia y denuncia de incumplimientos.
• Finalmente, el esquema de calificación que nosotros proponemos está más orientado a los servicios de manera específica y toma en consideración en la valoración aspectos adicionales a los meramente técnicos (orientados a valorar la viabilidad del proveedor y a su perduración en el mercado).

En cualquier caso, como decíamos una aproximación muy interesante que acabaremos de analizar la semana que viene, revisando con un poco más de profundidad los criterios de seguridad que utiliza para la valoración.

Puedes seguirnos en twitter.com/leet_security

Nosotros también nos hemos atrevido y aquí va nuestra propuesta:

Ayudamos al mercado de TI
a simplificar procesos de contratación de servicios
mediante la transparencia que aportamos

¿Qué les parece? ¿Lo hemos conseguido?

Puedes seguirnos en twitter.com/leet_security

El documento identifica ocho grandes capítulos:

1. Disponibilidad del servicio
2. Respuesta a incidentes
3. Elasticidad del servicio y tolerancias de carga
4. Gestión del ciclo de vida de los datos
5. Cumplimiento técnico y gestión de las vulnerabilidades
6. Gestión de cambios
7. Aislamiento de los datos
8. Gestión de logs y forense

El documento nos ha servido para varias cosas. En primer lugar, para comprobar si habíamos incluido en nuestra metodología todos los aspectos de monitorización necesarios. Efectivamente, la metodología que sirve para asignar las calificaciones, contempla el hecho de que el proveedor de servicios facilite a sus usuarios la posibilidad de supervisar el nivel de seguridad de dichos servicios. De hecho, las condiciones de uso de la calificación incluyen la obligación de que el proveedor nos informe de cualquier circunstancia que pueda influir en el nivel de calificación que ostente, así como de los incidentes de seguridad que sufra. De esta manera, la agencia se encarga de llevar a cabo esta labor de monitorización de manera indirecta para el usuario final.

Pero, por otro lado, también nos ha servido para corroborar que, lógicamente, la rigurosidad de los valores a monitorizar dependerá del perfil de riesgo del usuario, por eso el documento incluye, para cada uno de los capítulos, una mención a valorar el perfil de riesgo de la organización. En nuestra opinión, este enfoque ad hoc para cada caso nos parece poco eficiente, puesto que, cada organización se convierte en un caso único que no permite aprovechar las ventajas que da la estandarización. La idea que tenemos en leet es que en lugar de que sea el cliente el que identifique sus requerimientos únicos, sea el proveedor el que clasifique las necesidades [considerando cinco niveles (de la A a la E) en tres dimensiones (confidencialidad, integridad y disponibilidad) tenemos un total de 125 posibles calificaciones, o lo que es lo mismo 5^3] aprovechando las ventajas de la calificación y cree diferentes modalidades de servicio para cada tipo de cliente con el objetivo de conjugar, en la medida de lo posible, las ventajas de la estandarización y de la particularización de las necesidades.

Puedes seguirnos en twitter.com/leet_security

Pero ambas partes comparten algo: una debida diligencia (due diligence) en la selección del servicio.

La debida diligencia ayudará a las organizaciones al clarificar su perfil de riesgo y elegir el servicio en la nube que mejor cumpla sus necesidades evitando sorpresas más adelante.

Sin embargo, el proceso de debida diligencia no es fácil. Debemos considerar las medidas de seguridad implantadas por el proveedor, pero también los acuerdos de nivel de servicio, el cumplimiento con diferentes regulaciones y otros aspectos críticos relacionados con el potencial proveedor – estabilidad financiera, estrategia a largo plazo, experiencia en el sector, políticas de recursos humanos, garantías en caso de fusiones o adquisiciones, etc. Estos aspectos contribuyen a construir la confianza necesaria para establecer una relación a largo plazo con el proveedor.

Ninguna de las herramientas que tenemos para llevar a cabo este proceso son perfectas. Las certificaciones de seguridad están relacionadas con el proceso, no con el nivel de seguridad real que el proveedor tiene y el alcance puede ser completamente exógeno a nuestros intereses. Las auditorías, por otro lado, son específicas y concretas, pero los proveedores normalmente no están dispuestos a permitir que clientes potenciales les auditen para cubrir cada necesidad específica (los informes SSAE pueden ser una buena aproximación).

Por tanto, la debida diligencia necesita de herramientas ágiles que permitan a los profesionales de TI, a los gestores de riesgo, a los CIOs y a los responsables de negocio comparar de manera rápida y fácil los niveles de riesgo que suponen diferentes servicios en la nube, permitiéndoles tomar decisiones acertadas en línea con los objetivos de sus organizaciones.

En este escenario, podemos aplicar una herramienta que ha sido usada durante más de un siglo en los mercados financieros: la calificación. Aparte de las críticas relativas al papel de las agencias de calificación crediticia en la actual crisis financiera, la calificación ha demostrado ser una buena herramienta para los inversores. Todos nosotros continuamos creyendo y confiando en las auditorías, a pesar de casos como Enron (una correcta implementación de una idea no significa que la idea sea mala).

A diferencia de la calificación crediticia, la calificación de seguridad debe considerar, al menos, tres dimensiones de la seguridad para cubrir el apetito por el riesgo de la organización en tres vectores: confidencialidad, integridad y disponibilidad (una organización podría tener requerimientos muy fuertes en confidencialidad y no así en disponibilidad, por ejemplo).

La calificación de seguridad debería considerar las medidas de seguridad implantadas por los proveedores, así como los aspectos generales como estabilidad financiera y estrategias a largo plazo, mencionadas anteriormente.

Finalmente, la calificación de seguridad debería considerar si el proveedor detenta certificaciones de seguridad, y si realiza periódicamente auditorías exhaustivas.

Lo que puede ser de mayor ayuda es que la calificación de seguridad sea específica del servicio, considerando solo los aspectos relevantes a dicho servicio y ayudar así a las organizaciones a tomar las decisiones acertadas.

En nuestra opinión, gestionando los elementos problemáticos de las agencias de calificación – básicamente, transparencia y competencia -, pueden ser de una gran ayuda para todos nosotros a la hora de tener que elegir el mejor proveedor de servicios para nuestro negocio.

Cross-posted from ISACA blog

Puedes seguirnos en twitter.com/leet_security

Sus autores Michael R. Overly, Chanley T. Howell y R. Michael Scarano de la firma Foley & Lardner LLP, proponen tres herramientas para reducir las amenazas que pueden suponer los nuevos socios, asegurar una adecuada diligencia (documentada) y proporcionar remedios en caso de compromiso:

1. Un cuestionario de ‘due diligence’
2. Protecciones contractuales básicas
3. Un documento de requerimientos de seguridad de la información

Lo que nos gustaría resaltar es que los autores incluyen, entre la información a obtener en el proceso de selección, datos como responsabilidades corporativas, cobertura de seguros, condiciones financieras, políticas de personal y, por supuesto, políticas de seguridad, seguridad física, planes de continuidad y de recuperación de desastres, etc.

El motivo de resaltar estos aspectos es que, coincidimos con los autores del artículo en que, para construir la confianza necesaria con el prestador de servicios, la información relativa a las medidas de la seguridad de la información son importantes pero también hace falta poder confiar en la organización en general. Por este motivo, para establecer el nivel de calificación, pedimos desde leet security al proveedor que proporcione lo que denominamos, información general y que incluye toda esta información y otra similar como podría ser: certificaciones del proveedor, certificaciones de los empleados, antecedentes penales o estrategia empresarial a medio y largo plazo, entre otras.

Puedes seguirnos en twitter.com/leet_security.

En nuestra opinión, la opinión de Joseba refleja de manera clara la situación con la que se enfrentan ahora mismo los proveedores de servicios en la nube cuando se acercan a sus clientes. Además, como muy bien dice Joseba (opinión autorizada como experto en seguridad que es), se produce una situación de desconfianza. Desde nuestro punto de vista, esta situación de desconfianza no implica que la seguridad de los servicios en la nube sea mejor o peor, es algo previo: Se duda de qué seguridad estará poniendo el proveedor y de qué capacidad de actuación le va a quedar al usuario para gestionar sus servicios (algo así como lo que le sucede a España que no puede modificar su tipo de cambio porque eso lo hace Bruselas

En definitiva, en nuestra opinión éste es realmente el factor que deben vencer los proveedores de servicios en la nube: Tienen que construir un entorno que genere confianza en los usuarios y, para nosotros, desde luego la construcción de ese clima favorable pasa por una mayor transparencia a la que contribuye indudablemente la utilización de un servicio como el de calificación que, básicamente, aporta información al usuario sobre las medidas de seguridad establecidas por su proveedor.

Evidentemente, no es el único factor que contribuirá a una mayor confianza, también deben estar claras las responsabilidades, el contrato debe reflejar qué elementos quedan bajo el control de cada parte y las consecuencias en casos de incumplimiento, etc… pero, desde luego, la calificación de la seguridad del servicio ayuda a la transparecia necesaria para mejorar la confianza.

Puedes seguirnos en twitter.com/leet_security

En dicho informe, se analizan los datos relativos a 2,200 millones de eventos y más de 62.000 incidentes gestionados por Alert Logic en sus clientes para comparar la situación entre los proveedores de servicios y las instalaciones in-house, todo ello con el objetivo de responder a la pregunta típica de, ¿qué es más seguro, llevar la gestión de los sistemas internamente o en la nube?

Pues bien, las conclusiones de este primer informe son claras: “Los entornos en proveedores de servicios muestran menores tasas de ocurrencia para todas las clases de incidentes analizadas” y eso que el análisis se ha realizado sobre empresas que están concienciadas e invierten en seguridad (al menos, lo suficiente, como para contratar servicios del tipo que ofrece Alert Logic), que si incluimos el resto, la diferencia sería seguramente mucho mayor.

Sin embargo, nuestro objetivo no es defender aquí las bondades de los servicios en la nube, sino apoyar otra información que se realiza en el informe y que nos parece mucho más importante: “La decisión [de llevar servicios a la nube] debería basarse en una revisión de los actuales riesgos y no en percepciones que no estén soportadas por datos”. En nuestra opinión, más que a la literalidad de la frase, nos gustaría ir al fondo, es decir, que las decisiones de utilizar servicios en la nube deben estar apoyadas en una gestión adecuada de riesgos gracias a mecanismos que nos permitan conocer a priori la capacidad de respuesta del proveedor a los incidentes, que, para nosotros, es más importante que simplemente conocer el número de incidentes que sufre el proveedor.

En este sentido, pensamos que la calificación es un mecanismo que permite aportar esa transparencia al proceso de selección y que, su generalización, contribuirá claramente a la adecuación de los niveles de seguridad a las necesidades de los clientes.

Puedes seguirnos en twitter.com/leet_security