Análisis de seguridad de los servicios de almacenamiento en la nube

Gracias al CERT de INTECO, hemos analizado el documento publicado por el Fraunhofer Institute for Secure Information Technology relativo a la seguridad de los servicios de almacenamiento en la nube (enlace).

Básicamente, se trata de un análisis básico de la seguridad que presentan una muestra de este tipo de servicios (concretamente, CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One y Wuala). Decimos que se trata de un análisis básico porque solo se han analizado los aspectos relacionados con el proceso de registro, el transporte y el cifrado de la información, los mecanismos para compartir y la deduplicación, además de las consideraciones legales oportunas, y sólo desde la perspectiva de cliente sin entrar en análisis de seguridad de los servidores.

Las conclusiones principales del informe son que:

  1. La utilización de mecanismos de cifrado por parte del usuario mejoran significativamente los niveles de confidencialidad.
  2. Merece la pena considerar la utilización de más de un servicio para reducir los tiempos de indisponibilidad.
  3. Para reducir la dependencia, se puede disponer de un plan de cambio de proveedor.

Al margen de las conclusiones nos gustaría pararnos a analizar el informe desde su perspectiva metodológica:

  • Específico por servicio. La evaluación se ha realizado para cada uno de los servicios identificados, no para el proveedor en general, sino de manera específica por servicio.
  • Estándares de seguridad. Los estándares utilizados han sido bastante limitados, ya que solamente han utilizado SAS70, ISO27001 y EuroCloud Germany_eco e.V. (una iniciativa local alemana).
  • Clasificación de los requerimientos de seguridad. El planteamiento es muy básico, ya que solo distingue entre obligatorios y adicionales, y además, a criterio de los investigadores (que pueden ser o no los nuestros).
  • Graduación de las medidas. Este aspecto nos ha resultado interesante porque es una de las aproximaciones más cercanas a la utilización de una calificación que hemos visto puesto que evalúa las medidas de seguridad en: Muy buenas - Buenas - Con debilidades - Malas - Muy malas. Es decir, utiliza cinco niveles al igual que el sistema de leet, con la diferencia de que las utilizadas por ésta no tienen ninguna connotación positiva o negativa, simplemente implica un mayor o menor grado de implantación de medidas de seguridad, lo cual, no es ni bueno ni malo, o mejor dicho, puede ser ambas cosas (bueno si nuestra aversión al riesgo es elevada o poco eficiente si es reducida).
Nos ha parecido interesante comentar este informe porque vemos que la utilización de un sistema de calificación, como el que proponemos desde leet puede proporcionar más información a los potenciales usuarios de los servicios en la nube:
  1. Toma en consideración múltiples estándares de seguridad reconocidos a nivel internacional.
  2. Aporta una mayor granularidad al utilizar cinco niveles de calificación y en tres dimensiones de la seguridad (a saber, confidencialidad, integridad y disponibilidad).
  3. Da mayor flexibilidad a los usuarios al poder ellos determinar qué nivel de medidas es el que requieren para cada servicio en función del uso que le vayan a dar.
  4. Proporciona información sobre aspectos generales del proveedor (como estabilidad, madurez, etc.).