Noticias
<< Volver al listado de noticias
Luces y Sombras del Estado del Arte en Seguridad Cloud
Publicado el 29-03-2016 Notícia sobre: Cloud Security Alliance
.png) 
|
||||||||||
|
Si ha habido en los últimos años un concepto de moda en el mercado de las Tecnologías de la Información, ese es sin duda la Nube. También llamado Cloud Computing. Sin entrar en demasiado detalle técnico, la Nube permite disponer de recursos de procesado de datos (servicios, programas, plataformas tecnológicas, espacio de almacenamiento, entre otras) de forma que puedan ser usados y facturados bajo demanda del cliente. Esta posibilidad puede estar disponible dentro de una organización, como una Nube Privada, pero más habitualmente está disponible “desde Internet” mediante servicios proporcionados desde una Nube Pública por otras organizaciones. |
||||||||||
Ya desde la irrupción en el mercado del concepto, existió por parte de los profesionales de la seguridad de la Información interés por la Nube. Tanto como potencial tecnología para mejorar la seguridad y protección de las organizaciones y sus activos, como potencial fuente de riesgos, problemas e incidentes de Seguridad. Por ello, en el año 2009 un grupo de profesionales funda la Cloud Security Alliance (o CSA, www.cloudsecurityalliance.org) para coordinar los diversos esfuerzos e iniciativas emanadas por los profesionales. Desde entonces, CSA es la organización de referencia a nivel mundial en la Seguridad del Cloud Computing, y a través de sus 84 capítulos regionales y sus iniciativas, proporciona al mercado guías de trabajo, metodologías, documentación y marcos de referencia para mejorar las condiciones de seguridad del Cloud.
La Computación en la Nube empieza a ser ya toda una veterana en el mundo de las tecnologías de la información, estando presente y disponible desde hace casi ya 10 años. Tiempo que fue en su día más que suficiente para la adopción generalizada por el mercado de casi todas las tecnologías de éxito. Pero que, aparentemente, no lo está siendo para el Cloud Computing. Los fabricantes de soluciones y los proveedores de servicios se lanzaron decididamente a ofrecer sus servicios desde la Nube, o a migrar sus productos a la Nube para poder estar disponibles para sus clientes desde allí, y no solo desde sus Centros de Datos.
En ocasiones, este recorrido ha sido una estrategia de rebranding de productos y servicios más que una genuina migración a la Nube. Pero como resultado, el mercado ya conoce términos como Saas, PaaS, IaaS, SecaaS. Y sin embargo, la respuesta desde los usuarios de estos servicios no ha sido tan decidida.
Cloud Security Alliance viene observando este fenómeno desde hace tiempo. Y, en particular, el capítulo español (CSA-ES, www.cloudsecurityalliance.es) ha tratado de averiguar la relación que existía entre este grado de adopción de los servicios Cloud y la Seguridad con que dichos servicios se proporcionan.
Por ello, inició en el año 2013[1] y 2014[2] sendos Estudios sobre el Estado del Arte en Seguridad Cloud, con los que ha tratado de desvelar esta relación y determinar si los clientes de Cloud ven en la Seguridad de los servicios un acicate o una barrera para su adopción, y si su satisfacción con estos servicio estaba en línea con sus exigencias y expectativas. En el año 2015[3], esta línea de trabajo progresó gracias al ofrecimiento y colaboración del Capítulo Peruano de CSA (CSA-PE).
De esta forma, el esfuerzo conjunto de los profesionales y expertos de CSA de ambos lados del Atlántico cristalizó en el 3er estudio del Estado del Arte en Seguridad Cloud, que fue presentado en Noviembre de 2015, y que contó con las aportaciones de 200 organizaciones de España, Perú, Estados Unidos y otros países latinoamericanos y europeos, realizado por un conjunto de 9 analistas españoles y peruanos.
El estudio obtiene una visión profunda y detallada de la situación de la Seguridad en el Cloud Computing, incluyendo una perspectiva de evolución temporal de sus conclusiones.
De acuerdo a la información analizada, la tendencia de adopción de servicios en Cloud está en progresión, pasando de un 60% de organizaciones que se declaran usuarias de la Nube en 2013, a casi un 80% en el año 2015. Este porcentaje de usuarios podría ser aún mayor, puesto que en 2015 aparecen por primera vez organizaciones que declaran que fueron usuarias de la Nube en el pasado, pero ya no lo son.
Es en todo caso de un porcentaje testimonial de organizaciones, pero que existe. A juicio de los analistas, es un síntoma de que el mercado Cloud está madurando: los servicios en Nube ya han podido utilizarse en tiempo y variedad suficiente, son evaluados en base a datos más que en expectativas y en algunos casos no son satisfactorios.
El estudio también apunta a que los proveedores de servicios Cloud, en su entusiasmo por ofrecer servicios, están contribuyendo a crear expectativas de seguridad en sus clientes que luego no se ven suficientemente satisfechas. En un escenario que permanece en esta situación de forma sostenida en las diversas ediciones del Estudio.
Así, todos los clientes declaran expectativas muy altas en la seguridad de los servicios en cloud (por encima de 4.5 puntos sobre 5), destacándose en particular las garantías esperadas sobre privacidad, confidencialidad, disponibilidad de los servicios.
A pesar de estas altas expectativas, los clientes de servicios cloud relajan sus exigencias a los proveedores (4.2 puntos sobre 5, como promedio) cuando las expectativas se traducen en requisitos del servicios, tales como ubicación geográfica del mismo, medidas de seguridad implantadas, capacidad de cambio de proveedores, certificaciones, posibilidad de realizar auditorías, etc. Por último, los clientes se declaran satisfechos con los servicios que reciben, aunque lo estén en menor proporción a sus expectativas y sus exigencias (4 puntos sobre 5).
El estudio también analiza las condiciones de seguridad en Cloud desde el punto de vista de los Servicios que los clientes reciben. En este capítulo, el correo electrónico y los servicios de almacenamiento de datos son los servicios más demandados (al menos la mitad de los usuarios), seguidos ya a cierta distancia de los servicios basados en Web.
Este dato resulta muy revelador cuando se analiza más en profundidad para descubrir que los usuarios de servicios de almacenamiento utilizan en un 70% de los casos Nubes Privadas frente al 30% de usuarios de Nubes Públicas, mientras que en el resto de los servicios el uso de una u otro tipo de Nube es más equilibrado.
Ello apunta a que los usuarios no confían plenamente en los servidores de Nube Pública cuando quieren almacenar grandes cantidades de información y que, ante los posibles riesgos de accesos no deseados a esa información, no permiten la salida de esta información de sus organizaciones y se decantan por ello por el uso de Nubes Privadas sobre las Nubes Públicas para este servicio.
Resulta también interesante analizar los aspectos que los usuarios declaran como más necesarios en la prestación de los servicios Cloud. Entre todos ellos, las garantías de Continuidad de Negocio por parte del proveedor sigue siendo el criterio más valorado por sus clientes. A continuación, los clientes valoran las medidas de seguridad implantadas por el proveedor; su capacidad para el complimiento de las regulaciones legales vigentes; la existencia de acuerdos de nivel de servicio en cloud y la capacidad de cumplimiento de los mismos; Y la preocupación de los clientes por no tener posibilidad de cambiar de proveedor cloud (también llamado “efecto locked-in”).
Destacaba entre todos los aspectos, destaca que la ubicación geográfica del servicio en la Nube se muestre en el estudio como el criterio menos valorado. Desde una perspectiva histórica, la ubicación geográfica en la que estaba el proveedor de Cloud era considerada como un factor determinante de cara a su selección. En particular, en países europeos y debido a la existencia de regulaciones en materia de privacidad que requería, la ubicación del proveedor Cloud resultaba determinante en su selección.
Aparentemente, este factor ya no es tan determinante como lo fue en el pasado. A criterio del equipo de analistas, la respuesta está en la madurez del mercado Cloud, que ha permitido plantear respuestas eficaces a esta dificultad, disminuyendo la importancia pasada de este criterio.
El estudio aborda también el valor que aportan las certificaciones de seguridad a la hora de incrementar las garantías que los proveedores de servicios en Cloud proporcionan a sus clientes. Entre ellas, destacan las certificaciones de proveedores CSA-STAR, y las certificaciones de profesionales CCSK y CCSP, certificaciones que, en todos los casos, gozan de amplio reconocimiento y prestigio entre los participantes en el estudio, siendo valoradas por más del 50% como de valiosas o muy valiosas.
El estudio analizaba también el impacto del escenario conocido como Shadow IT. Es decir, la Nube puede facilitar la adquisición de recursos TIC por áreas de las Organizaciones sin control o conocimiento de los Departamentos de Sistemas de la Información. El estudio apunta de forma mayoritaria hacia la no existencia o incluso la imposibilidad de que ocurra Shadow IT.
Por último, los proveedores de servicios en Cloud afirman recurrentemente que disponen de capacidades avanzadas de detección y respuesta a posibles incidentes de Seguridad en la Nube, mejores de las que disponibles por sus clientes. En este sentido, los clientes de servicios Cloud declaran que, efectivamente, el uso de servicios Cloudmejora la situación sobre los incidentes de seguridad, tanto en volumen (se tienen menos incidentes o los mismos), como en criticidad (los incidentes que ocurren son de menor importancia).
El éxito de esta serie de estudios asegura la repetición del mismo en 2016.
[1]https://www.ismsforum.es/ficheros/descargas/estudio-del-estado-de-la-seguridad-en-cloud.pdf
[2]https://www.ismsforum.es/ficheros/descargas/csa-es-2014-cloudsecuritystateoftheart20141119.pdf
[3]http://www.ismsforum.es/ficheros/descargas/csa-es-pe-2015-estudio-estadodelarte-nube-es.pdf
