Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Una ecuación de riesgo desentraña la paradoja de seguridad en la nube

¿Es la nube más o menos segura que su entorno actual? Cómo evaluar su riesgo antes de mover el procesamiento de datos o aplicaciones a la nube.

¿Cuántas veces has escuchado que "la nube proporciona una mejor seguridad" o que "la nube proporciona peor seguridad" que su propio entorno? Todos hemos sido testigos de este continuo debate en innumerables ocasiones durante los últimos años. Por lo general, los partidarios de ambos lados de la discusión toman una posición basada en un subconjunto de información y algunos presumen la situación en los centros de datos actuales.

La verdad es, que si un entorno de nube es más o menos seguro que su red corporativa depende de los escenarios de implementación y del estado actual de la infraestructura existente. ¿Está usted simplemente moviendo el correo electrónico y el intercambio de archivos a la nube a través del software como servicio (SaaS), o almacenando datos sensibles en una nube privada o pública que requiere un control de acceso privilegiado, cumplimiento y encriptación?

La ecuación del riesgo es la mejor manera de evaluar el impacto de los escenarios específicos de nubes en materia de seguridad informática y gestión de riesgos. El riesgo es una función de la probabilidad de que algún acontecimiento negativo, como el acceso no autorizado o la pérdida de datos, se producirá y de las consecuencias previstas en caso de ocurrir, como la posible responsabilidad o las sanciones por incumplimiento. La probabilidad del evento se divide en un componente de amenaza, que es el potencial de que una fuente de alguna actividad en línea es maliciosa, y un componente de vulnerabilidad, que determina el nivel en el que un conjunto de recursos técnicos es capaz de verse comprometido.

A pesar de las elevadas preocupaciones por la seguridad entre los ejecutivos de TI, solo el 50% de los encuestados consultó a sus equipos de seguridad sobre los proyectos en la nube "siempre" o "casi todo el tiempo”, de acuerdo con el Estudio de Seguridad de los Usuarios de la Computación en la Nube 2013, realizado por el Instituto Ponemon.

Cuando las operaciones de seguridad tienen la tarea de evaluar el cambio en la postura de riesgo provocado por un movimiento hacia la nube, un buen lugar para comenzar es la evaluación de tres elementos de riesgo: amenazas, vulnerabilidades y consecuencias.

Como profesional de la seguridad, usted ya puede estar objetando lo difícil que es cuantificar estos tres elementos de riesgo. No se equivoque, cualquier profesional bien intencionado que está tomando decisiones ya está cuantificando estos elementos, ya sea que sean conscientes de ello o no. Lo que realmente hay que hacer es comparar el estado futuro esperado con la situación actual en términos bastante amplios, tal vez incluso asignando un valor "superior" o "inferior" para el cambio esperado en cada elemento.

Durante este ejercicio, es útil tener en cuenta las amenazas, vulnerabilidades y consecuencias por separado, de cualquier entorno de control esperado o existente. Esto puede ser un poco difícil; sin embargo, los cambios en los controles de seguridad se evalúan en una etapa posterior.

Cambio en los niveles de amenaza

La mejor manera de pensar acerca de las amenazas es simplemente como una fuente de actividad –una dirección IP o una versión ficticia de ese "tipo malo" en medio de todo tipo de otras personas sentadas frente a sus teclados. Cuando está evaluando las amenazas, es fundamental tener en cuenta la accesibilidad y el costo-beneficio del atacante. En primer lugar, determine si habrá algún cambio en el volumen global de uso de una vez que una aplicación, servicio o proceso de datos se mueva a la nube. Por lo menos, el volumen de actividad proporciona una idea de la posibilidad de que los atacantes elegirán estos activos como objetivo (debería ser relativamente sencillo determinar si un recurso en la nube estará disponible para más personas). Un servicio que solo es accesible dentro del entorno de una organización y se mueve a una nube pública verá un aumento de las amenazas; uno que ya es accesible por internet es menos probable que cambie significativamente. Y un entorno de nube privada, alojado internamente, es poco probable que cambie en absoluto.

Cuando los equipos de seguridad acceden al riesgo de la nube mediante la aplicación del valor “más alto” o “más bajo" a los cambios actuales y esperados, es probable que muchos entornos corporativos esperen un mayor nivel de amenaza.

Las cosas se ponen un poco más interesantes cuando nos fijamos en el escenario de costos y beneficios para los atacantes. Los atacantes solo atacan si creen que sus costos son menores que los beneficios esperados. Cualquier cambio a una plataforma más popular, o uno que utiliza componentes comunes, disminuye los costos. Es más probable que los atacantes estén familiarizados con la tecnología, por lo que no necesitarán dedicar tiempo a capacitación o investigación. La disponibilidad de recursos también es importante. En un escenario de nube pública, por ejemplo, que comparte muchas aplicaciones diferentes con diversos tipos de datos es probable que aumente el beneficio percibido.

Cuando los equipos de seguridad acceden al riesgo en la nube mediante la aplicación del valor “más alto” o “más bajo” a los cambios actuales y esperados, muchos entornos empresariales tienden a esperar un mayor nivel de amenaza.

Evaluaciones de vulnerabilidad

La comprensión de la superficie de ataque es la mejor manera de evaluar el segundo elemento de la ecuación de riesgo, que es el nivel de vulnerabilidad. Esto implica mirar los componentes individuales de una aplicación y determinar si una implementación en la nube tiene más componentes que pueden ser atacados, como la capa de virtualización.

Los componentes complejos y distribuidos traen una mayor vulnerabilidad en la nube, pero si la aplicación es lo suficientemente importante y difícil de evaluar, puede valer la pena mirar el número de interfaces, el tamaño del código o incluso (estremecimiento) los procesos del sistema. Tenga en cuenta que el número de vulnerabilidades existentes no se menciona. Las vulnerabilidades descritas son en realidad elementos que impactan en las amenazas (es decir, que reducen los costos del atacante) en lugar de la vulnerabilidad.

Un entorno de aplicación que se está moviendo desde un sistema heredado o monolítico a una arquitectura altamente distribuida y virtualizada verá fácilmente incrementada su vulnerabilidad. En uno que ya está utilizando arquitecturas modernas es menos probable que veamos un gran aumento.

En las nubes públicas con recursos compartidos, es importante entender la posibilidad de daños colaterales, que afectan tanto a las amenazas como a las vulnerabilidades. En este contexto, los daños colaterales significan que su entorno de nube puede terminar bajo ataque simplemente porque sus recursos se comparten con algún otro objetivo. Un ataque de denegación de servicio distribuido contra un despliegue corporativo de SaaS puede resultar en que otras organizaciones se vean afectadas.

Consecuencias de la adopción de la nube

Es útil recordar que cualquier aplicación o entorno de TI saludable está creciendo en valor en algún   nivel. Esto también significa que las consecuencias –el tercer elemento de la ecuación de riesgo– son mayores. Con el tiempo, la creciente dependencia en la tecnología de nube reduce la experiencia en la organización y puede inhibir las innovaciones internas que aumentarían la eficiencia. Por lo tanto, generalmente no hay necesidad de suponer una diferencia significativa en las pérdidas potenciales cuando compara el ambiente existente con el que está orientado a la nube.

Hay, sin embargo, formas en que las consecuencias podrían cambiar significativamente. Tal vez la más obvia es en los costos de respuesta y recuperación. La capacidad de quienes responden para tener acceso a todos los registros y recursos adecuados de los proveedores de nubes u otros terceros puede ser deteriorado significativamente durante un incidente de brecha, creando el potencial para un mayor costo. Por el lado de la recuperación, las cuestiones de jurisdicción pueden tener un impacto significativo en los costos legales y regulatorios a medida que más  entidades afectadas se ven involucradas. Tenga en cuenta que las organizaciones son responsables por la integridad de la informaciónen cualquier violación de datos, aun cuando la fuga o el problema de cumplimiento se produjo a causa de un proveedor de nube o un proveedor externo, y los acuerdos de nivel de servicio están vigentes.

Factorización en entornos de control

Los daños colaterales significan que su entorno de nube puede quedar bajo ataque simplemente porque sus recursos son compartidos con otro objetivo.

En esta etapa, evaluar la variación neta del riesgo debería ser bastante sencillo. En la mayoría de los casos, es probable que usted vea un aumento en el riesgo. ¿Pero eso no significa que la nube es menos segura? No necesariamente. Teniendo en cuenta las variables descritas, algunas implementaciones pueden ser fácilmente más seguras o igualmente seguras en la nube, sobre todo cuando se consideran los factores en un escenario de nube privada.

Sin embargo, es fundamental entender el cambio en la postura de seguridad. Sin duda, es razonable crear un entorno de control orientado a la nube que reduce el riesgo a un nivel por debajo del que tiene el entorno existente, aunque solo sea porque muchas personas perciben –probablemente con razón– que los riesgos de la nube son más altos.

Hasta ahora, no se ha considerado soluciones de seguridad en la ecuación del riesgo. La nube ofrece una oportunidad para evaluar las diferencias en el entorno de control. Las empresas pueden y deben aprovechar la oportunidad para mejorar los mecanismos de autenticación, sobre todo porque los usuarios más privilegiados vendrán de lugares fuera del firewall. En el nivel de SaaS, se puede aplicar parches mucho más rápidamente. Y una organización también puede obtener beneficios de las operaciones de seguridad del proveedor de la nube. Esto es, si los controles del proveedor de nube son aplicados y monitoreados correctamente (es probable que los proveedores de nube externos no hayan invertido tanto en asegurar su red y los activos de datos como las operaciones de seguridad interna de su empresa).

Estos son solo algunos ejemplos, y no tienen en cuenta los costos de seguridad en los cuales una organización puede ver un beneficio neto en el riesgo, particularmente si su propio programa de seguridad interno lucha –como muchos lo hacen– para mantener un alto nivel de competencia. La próxima vez que escuche a alguien decir que "la nube es más segura" o "la nube es menos segura", siéntase libre de ignorarlo.

Acerca del autor: Peter Lindstrom es director y vicepresidente de investigación en Spire Security. Ha ocupado puestos similares en Burton Group y Hurwitz Group. Lindstrom también ha trabajado como arquitecto de seguridad para Wyeth Pharmaceuticals y como auditor de TI para Coopers & Lybrand y GMAC Hipotecaria. Puede encontrarlo en PeteLind@spiresecurity.com, en Twitter @ SpireSec o en su página web, www.spiresecurity.com.

Este artículo se actualizó por última vez en julio 2014

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Guía Esencial

Guía Esencial: Seguridad en la nube

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close