Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

El proceso de modelado de amenazas de seguridad para la nube

El proceso de modelado de amenazas en la nube empieza con una comprensión fundamental de la gestión de amenazas. Conozca estas mejores prácticas.

Algunas empresas y consumidores se resisten a aceptar y adoptar la computación en la nube. Sin embargo, la aceptación procede en parte de la comprensión del riesgo, que es en gran medida sobre la comprensión del panorama de amenazas. Por lo tanto, las empresas tienen que definir adecuadamente las amenazas y clasificar los activos de información con un proceso de modelado de amenazas de seguridad.

Definición de amenazas

Antes de poder realizar el modelado de amenazas de nube, las empresas deben entender las amenazas de seguridad de información en un nivel más intrínseco.

Las amenazas son eventos no maliciosos y malintencionados; los últimos dañan activos de información. Los eventos no maliciosos ocurren sin intención maliciosa. Los ejemplos incluyen los desastres naturales, tecnología defectuosa, errores humanos, sobrecargas de energía, factores ambientales indeseables (como HVAC inadecuada), factores económicos, innovación tecnológica que excede la experiencia del personal, innovación que supera la supervisión regulatoria e innovación que excede las medidas de protección.

Eventos maliciosos son aquellos que ocurren por malicia. Los ejemplos incluyen hacking, hacktivismo, robo, abuso de derechos, abuso de acceso y recuperación de activos desechados, tales como buceo en el basurero. Los resultados de daños de cualquiera de estos eventos, cuando los activos de información son violados, expuestos o no están disponibles. Shellshock es un buen ejemplo de una vulnerabilidad que podría dar lugar a interrupciones generalizadas en toda una infraestructura de nube. En infraestructuras de nube, muchas de las tecnologías de punta –tales como firewalls, balanceadores de carga y routers– son aparatos que ejecutan un kernel Linux. Un atacante que gane con éxito el control de tecnologías de punta puede causar interrupciones a los servicios en la nube que soportan. Cuando el objetivo es la recopilación de información, el acceso a tecnología de punta es un trampolín hacia los sistemas internos que almacenan información personal o financiera. Del mismo modo, una variedad de las tecnologías utilizadas en infraestructuras de nube también ejecutan hosts Linux o Unix, ya sea que estén soportando almacenes de datos o un bus de servicios empresariales.

Eventos no maliciosos se producen regularmente y, en algunos casos, son inevitables. Tenga en cuenta los incidentes recientes en los que varios proveedores de servicios reiniciaron instancias para aplicar parches de hipervisor Xen. Para que los parches surtan efecto, los sistemas parchados tuvieron que ser reiniciados. Esos reinicios introdujeron la posibilidad de servicios en la nube no disponibles.

Ya sea malicioso o no malicioso, los proveedores de nube deben estar preparados para evitar interrupciones perceptibles a sus clientes.

Clasificar los activos de información

Una organización debe entender lo que significan los activos de información. Un activo de información es cualquier activo que resultaría en la pérdida de negocios o personales en caso de incumplimiento, exposición o indisposición. Los activos de información pueden incluir datos, tecnología y relaciones. Debido a sus costos, la tecnología se considera de mayor valor que los datos. Sin embargo, sin datos estructurados, es poco probable que la tecnología que almacena y transmite podría ser comprada y sostenida. Los datos son una mercancía para sus propietarios. Los ejemplos de datos son bases de datos de contacto de clientes, información de identificación personal, información de tarjetas de crédito, finanzas de la empresa, finanzas de consumo, dibujos de infraestructura, documentos confidenciales, información de configuración del sistema, información sanitaria e iniciativas estratégicas.

Los datos son más valiosos cuando pueden ser comercializados o utilizados para ganar la confianza de los consumidores para que inviertan en un servicio o producto. Aquí es donde la tecnología entra en escena. Dada la naturaleza dinámica del mercado de negocios y la naturaleza disruptiva de la tecnología, las empresas y los consumidores deben ser capaces de recuperar rápidamente, aún con precisión, transmitir y almacenar los datos tanto en la nube como en las instalaciones.

Las empresas y sus clientes son a menudo afectados de manera similar, cuando los activos de información son vulnerados, expuestas o no están disponibles. Muchas organizaciones, por ejemplo, han tercerizado la nómina o contratación a la nube. Una interrupción de los servicios de nómina en la nube podría causar un problema para los empleados que esperan sus cheques de pago.Las empresas que sufren una brecha típicamente sufren de reputación empañada. Las personas también experimentarán daños a la reputación su información sea accedida y utilizada por otra persona, lo que resulta en una mala calificación crediticia o pérdida financiera personal.

El último activo de información es el conjunto de relaciones comerciales que permiten una mayor ventaja competitiva. La mayoría de las relaciones comerciales implican el intercambio y o el uso compartido de información. Por lo general, ambas partes extienden un nivel de confianza entre los segmentos y los hosts en sus respectivas infraestructuras. Este nivel de confianza se logra idealmente a través de acuerdos contractuales que documenten la certificación no solo de la postura financiera saludable, sino también de las operaciones internas saludables. En el centro, se espera la garantía de las mejores prácticas en la gestión de la seguridad y el riesgo.

Las relaciones se vuelven tensas cuando un incumplimiento resultante de la incapacidad de un socio para cumplir con las obligaciones contractuales afecta la seguridad de los activos de información. Si un socio sale de la relación, ese activo se pierde y debe ser recuperado en otro lugar. El modelo de negocio de muchas entidades de atención de la salud se basa en las afiliaciones (como lo define HIPAA). La entidad cubierta buscará un socio de negocios para proporcionar una especialidad, mejorando así su ventaja competitiva o reduciendo los costos operativos. Se espera que los socios de negocios cumplan con los mismos requisitos de seguridad que la entidad cubierta. Cuando un socio de negocios experimenta una brecha exponiendo la información de salud protegida (PHI), la entidad cubierta también se ve afectada y los pacientes esperan que gestione todos los aspectos de mantener esa PHI privada y segura.

Conclusión

A pesar de los desafíos de seguridad que plantea la rápida evolución de la tecnología de la computación en la nube y las relaciones de negocios, la cuantificación de las amenazas y de los activos es necesaria para comprender el riesgo de la computación en la nube. Proporciona un modelo de seguridad del entorno. Los mismos activos de información, y muchas de las mismas amenazas, existen en infraestructuras no alojadas en la nube. El diferencial es por lo general la escala de los datos y el paisaje extenso para los atacantes.

Sobre la autora: Ravila Helen White es la directora de arquitectura de TI para una entidad de atención médica. Ella es una CISSP, CISM, CISA, CIPP y GCIH, y una nativa del noroeste del Pacífico.

Este artículo se actualizó por última vez en diciembre 2014

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close