Esmeralda Saracíbar     Miembro del Comité Operativo del Data Privacy Institute de ISMS Forum y Socia de Ecix Group.

Antecedentes El concepto de Computación en la Nube, o Cloud Computing, está incorporándose de forma cada vez más frecuente en el lenguaje coloquial, tanto por parte de usuarios particulares como por parte de empresas y organizaciones. Sin embargo, y como ya apuntábamos en el pasado número de Marzo de 2016 de esta revista “Cuadernos de Seguridad, en nuestro artículo “Luces y Sombras del Estado del Arte de Seguridad en Seguridad Cloud”, la adopción (creciente) de estas tecnologías por parte de sus usuarios no estaba realizando con garantías de seguridad suficientes. Más bien, se dibujaba un panorama en el que la adopción de tecnologías de la Nube y servicios basados en ellas (SaaS, PaaS, IaaS, XaaS, etc) se estaba realizando sin tener en cuenta las modificaciones en las condiciones de seguridad de los servicios que suponía la migración hacia la Nube de los servicios TI actuales. Lo que suponía que los usuarios de servicios en Nube estaban adquiriendo riesgos para su información sin conocerlos y/o sin valorarlos suficientemente, durante sus procesos de adopción de las tecnologías en la Nube.

El estudio también dibujaba un escenario en el que los proveedores de servicios en la Nube (CSP, Cloud Service Providers) no estaban tampoco respondiendo satisfactoriamente a las demandas y expectativas de seguridad por parte de sus usuarios. Los usuarios de servicios en la Nube tienen expectativas de servicios en la Nube de muy alta seguridad, y aunque rebajan estas expectativas para solicitar requisitos de alta seguridad, su satisfacción final con la seguridad de los servicios recibidos no llega ni siquiera a alta.

Estos datos resumen a grosso modo las conclusiones del 3er Estudio del Estado del Arte en Seguridad Cloud[1], publicado en 2015 por los capítulos español[2] y peruano de Cloud Security Alliance. Estudio que se ha continuado en el año 2016, como se presentará a continuación.

Situación en el año 2016

Los hallazgos realizados en el año 2015 animaron al grupo de trabajo conjunto de España y de Perú para continuar los trabajos realizados en los estudios anteriores, y producir el Cuarto Estudio del Estado del Arte en Seguridad Cloud[3], con un triple objetivo:

1. Verificar la evolución en el tiempo de los hallazgos más relevantes localizados en los estudios anteriores.
2. Ampliar el ámbito geográfico del estudio, incorporando equipos de analistas e información local de otros mercados hispanohablantes, como por ejemplo Argentina.
3. Ampliar los campos de interés del estudio con aspectos adicionales no contemplados, o contemplados de forma insuficiente en los estudios anteriores. En particular, se querían analizar ámbitos relacionados con Shadow IT, Concienciación de Seguridad por los usuarios de la Nube, y seguridad de la cadena de suministros en la Nube.

Todos estos objetivos se han cumplido en esta nueva edición del Estudio del Estado del Arte, que está disponible y publicada en https://www.ismsforum.es/ficheros/descargas/iv-cloudsecurity-sota-2016-csa-es-pe-ar-isaca-mad.pdf. Este estudio ha sido desarrollado conjuntamente por los capítulos Español, Peruano y Argentino de Cloud Security Alliance, y por los capítulos de Madrid y de Lima de ISACA, durante los meses de julio a octubre del pasado año 2016.

Comentaremos a continuación algunos de los principales hallazgos efectuados por el estudio, invitando a los lectores a que descarguen y consulten el estudio directamente para ampliar el detalle de los hallazgos realizados y acceder a otros hallazgos, también de interés, pero que no pueden ser analizados en esta contribución.

Principales conclusiones del 4º Estudio

1.- La satisfacción de los usuarios de Nube sigue estando por debajo de sus expectativas y de sus requisitos

Los resultados del año 2017 confirman que se mantiene la situación detectada en años anteriores, con expectativas más altas que los requisitos de seguridad exigidos y satisfacción inferiores a cualquieras de las dos anteriores. Como única novedad, las expectativas en seguridad de los clientes están en los valores menos elevados de todos los estudios, lo que pudiera apuntar a una nueva tendencia en el mercado de los servicios en la Nube.

 

2.- Shadow IT. Está ocurriendo en las organizaciones. Porque es más ágil.

El estudio también ha abordado la viabilidad del Shadow IT, es decir, la capacidad de los departamentos No-IT de una organización de contratar y utilizar servicios en la Nube sin la colaboración del departamento IT, e incluso ocultando deliberadamente. En este sentido, se analizaba el fenómeno desde una doble perspectiva:

·         En primer lugar se analizaba si el fenómeno de Shadow IT estaba efectivamente ocurriendo en las organizaciones. Así, el 40% de los participantes opinan que ShadowIT no ocurre en las organizaciones (por prohibición o por ser una tarea asignada al departamento de TI). Por el contrario, un 33% cree que el fenómeno existe, bien puntualmente, bien de forma generalizada; y un 20% no tiene una posición clara, bien porque simplemente sospecha que esté ocurriendo pero no lo ha verificado, bien porque no cree que se pudiera detectar.

·         En segundo lugar, e independientemente de si el fenómeno está ocurriendo o no, se ha investigado en las causas que podrían justificar este fenómeno. Practicamente todos los participantes identificaban dos razones para hacer uso de Shadow IT. Y de entre todas ellas, hay una razón principal que predomina claramente sobre todas las demás: La agilidad de contratación de servicios en ShadowIT. El resto de razones son seleccionadas por uno de cada cuatro participantes, por lo que no pueden desdeñarse como posible justificación para el uso de ShadowIT.

Por ello, el estudio concluye que ShadowIT está ocurriendo, fundamentalmente por presiones de TimeToMarket en las organizaciones y la mayor agilidad que tienen los servicios en la Nube. Y mientras los niveles de Dirección confían en las políticas corporativas, los procedimientos internos y por ello, no detecta el fenómeno, ShadowIT se ve con más normalidad en otros niveles.

 

3.- Insuficiente concienciación en seguridad en la Nube por parte de las empresas usuarias

La migración de servicios a entornos de Nube supone cambios en las organizaciones y en sus operativas, sistemas de información, sistemas de control, etc. Y también en el entorno de riesgos y problemas de seguridad a los que debe enfrentarse las organizaciones. La organización y su personal deben ser conscientes de estos cambios, y estar preparados para los mismos, de forma que la migración a la Nube no conduzca a situaciones no deseables e incidentes de seguridad.

Para ello, el estudio ha analizado el grado de concienciación en Seguridad que aplican en sus decisiones a distintos niveles de la organización: Dirección y empleados. Los resultados señalan que  se tiene la percepción de que los órganos de dirección de las compañías realizan con más frecuencia análisis de riesgos formales previos a la adopción de servicios en la Nube (uno de cada cuatro), frente a una menor consciencia espontánea o inducida del personal no directivo sobre estos riesgos, que sólo se percibe en uno de cada seis empleados.

En todo caso, la concienciación por parte de ambos niveles se juzga como baja para uno de cada dos directivos y para dos de cada tres no directivos. Estos resultados permiten concluir sin lugar a duda que el grado de concienciación en las organizaciones ante los servicios en la Nube es aún bajo e insuficiente.

 

4.- La Nube y el tamaño de las empresas usuarias.

Durante el análisis de los datos de base del estudio, se valoraba constantemente la variación de los parámetros analizados en función del sector al que pertenecían las organizaciones, de su ubicación geográfica, de cifra de negocio, etc. Este análisis buscaba identificar las situaciones y circunstancias que podrían caracterizar perfiles de usuarios de servicios en la Nube que no respondieran al escenario general común identificado, o que pudieran ser definitorios de grados de adopción de los servicios en la Nube particulares.

Las actividades de análisis segmentado que se acaban de detallar han ofrecido en realidad escasas conclusiones. Salvo en UN caso concreto:

El tamaño de las organizaciones condiciona su satisfacción con los servicios en la Nube. Y condiciona también la respuesta a incidentes que puedan ocurrir en la organización. En general, la satisfacción de las empresas con los servicios en la Nube es inversamente proporcional a su tamaño. Así, las empresas menos satisfechas son las empresas de mayor tamaño, puesto que requieren más información, disponen de más medios para gestionar los servicios recibidos y verificar en primera persona de sus servicios en la Nube. Esta situación se detecta de nuevo, y de forma más evidente aún en la gestión y tratamiento de incidentes de seguridad en entorno de Nube. Las organizaciones de menor tamaño tienen menos incidentes de seguridad y de menor impacto que las organizaciones grandes, y además, menos incidentes y de menor impacto que cuando no trabajan en entorno de Nube. Sin embargo, las organizaciones de mayor tamaño sufren más incidentes y de mayor impacto cuando están trabajando en entorno de nube que cuando están utilizando otro tipo de esquemas de prestación de servicios de TI. Más incidentes y de mayor impacto. Por ello, los beneficios para las empresas grandes de moverse a la Nube existen, pero no están en la gestión de incidentes.  

                        
 

 

Conclusiones

En conclusión, el Estudio del Estado del Arte confirma que la adecuada seguridad sigue siendo una materia insuficientemente tratada tanto por proveedores como por usuarios, que requiere y va a requerir acciones específicas a presente y a futuro. Algunas de estas acciones serán de concienciación por parte de los usuarios, otras deberán ser abordadas por los proveedores para proporcionar un servicio más satisfactorio y reduciendo número e impacto de los incidentes en sus clientes de mayor tamaño.

El éxito de esta serie de estudios asegura la repetición del mismo en 2017. Les invitamos a que se unan al equipo de analistas para el estudio 2017, contactando con los autores de este artículo.