lunes, 16 de noviembre de 2009

La nube, "Ojos que no ven, corazón que no siente".

Me quiero sumar a los post de algunos compañeros blogeros que están planteando el tema de moda, la seguridad en la nube.

Son lecturas recomendadas los textos de Joseba Enjuto, Sergio Hernando, Jaime Robles y el artículo de Cnet.

También me gusto mucho el artículo de la Revisa SIC titulado Cloud Computing ¿Nubarrones en La Nube? de Mariano J. Benito Gómez donde se hacia una aproximación a la seguridad en la nube basado en un análisis de riesgos, contemplando los pros y contras desde esta perspectiva. Es la manera más correcta y completa de enfocar la seguridad, identificando de forma holística qué supone el nuevo escenario y qué riesgos tenemos que contemplar.

Sin embargo, todos parecemos compartir esta sensación que se detecta de que "la nube mola" o "la nube es la panacea" a todo lo referido a la seguridad.

No se trata de poner pegas o problemas. Simplemente toda decisión o apuesta por la nube debe contemplar lo que se ve y lo que no se ve. En relación a la contratación de este tipo de servicios, es básico e imprescindible que se tenga claro lo que se contrata y lo que ocurrirá si nuestro prestador en la nube tiene problemas. Delegar riesgo no significa eliminarlo sino transferirlo. Seguimos siendo responsable de todo aquello que está en la nube pero toda la gestión está subcontratada. Por tanto y de cara a garantizar la continuidad de negocio, es básico saber en qué situación se encuentra nuestro prestador en la nube. Porque la psicología nos juega una mala pasada y como se suele decir "ojos que no ven, corazón que no siente". Sin embargo, cuando vienen los problemas, habrá que dar respuestas y estas no van a poder ser "la nube tiene la culpa" o "no somos los únicos afectados" o "es que Moooglex ha fallado" como si cualquiera de estas razones justificara que no podamos hacer nada.





Voy a poner un ejemplo para ilustrar esta situación. Todos tenemos contratados seguros para muchas cosas (casa, coche, nuestra propia persona,etc.). Sin embargo, hasta que no se plantea una situación que nos obliga a recurrir a ellos no nos damos cuenta de cual es la cobertura real de que disponemos y cómo es realmente nuestra compañía. En este tipo de contratos existen diferentes cláusulas que eximen al asegurador de proteger al asegurado en determinadas circunstancias. Incluso en los casos donde el seguro es "Todo riesgo" existen cláusulas que realmente establecen que no es exactamente cierta esa frase. Por deformación profesional suelo leer este tipo de cosas y uno es consciente de que en determinadas circunstancias vas a tener que hacer frente al incidente sin ningún tipo de protección.

En muchas ocasiones, cuando estás reclamando al seguro que asuma un incidente es cuando empieza una trifulca entre asegurador y asegurado para establecer si realmente las cláusulas te dan la cobertura que demandas. Es cuando surgen esas desagradables circunstancias en donde las cláusulas se interpretan de forma retorcida para hacer que el asegurador no asuma la responsabilidad y costes del incidente. En esos momentos es cuando la letra pequeña se hace gigante y uno se arrepiente de no haber meditado bien qué hacía cuando contrató. El problema es que el incidente ya se ha producido y no es momento de arrepentimiento sino de soluciones y de salir del problema como sea.

En la nube ocurre igual. Son servicios que no vemos y aunque van a ofrecer garantías suficientes de su buen funcionamiento, realmente la fiabilidad de los servicios se obtiene cuando compruebas que también están bien preparados para las circunstancias difíciles. Como ya comenté cuando hablaba de dónde colocar un CPD, los niveles TIER III y TIER IV contemplan cortes de servicio muy pequeños que permiten a cualquier empresa estar tranquila respecto a la disponibilidad de los servicios. Quiero recordar que:
  • Tier III.Porcentaje de Disponibildad:99.982%, Porcentaje de indisponibilidad:0.018%, Tiempo de parada al año: 1.57 horas.

  • Tier IV.Porcentaje de Disponibildad:99.995%, Porcentaje de indisponibilidad:0.005%, Tiempo de parada al año: 52.56 minutos.


Pero además de la disponibilidad de los servicios, según la naturaleza de las actividades de la Organización, también puede ser necesario considerar otros aspectos de la seguridad como qué ocurre si hay un incidente que afecta a la confidencialidad de los datos o a la alteración intencionada de nuestra información por parte de un tercero. En fin, como siempre, la única protección preventiva que se puede establecer es la seguridad jurídica que proporciona un buen contrato y estas cosas deben hacerse siempre teniendo claro que se necesita primero y qué nos suministra el proveedor después. El que compra sin saber qué adquire, es candidato luego a tener problemas. Como ejemplo real de este tipo de situaciones, podemos analizar los servicios ofrecidos por Google Postini services. El funcionamiento de este servicio sólo requiere cambiar los registros MX correspondientes a los servidores de correo para que apunten a sus centros de datos. Estos, a su vez, tratan y filtran el flujo de datos y, acto seguido, lo devuelven al cliente. Es un ejemplo claro de servicio especializado y externalizado completamente. Sin embargo, las cláusulas contractuales de este tipo de servicios, como suelen ser generales y pueden no cubrir las necesidades particulares de muchas organizaciones. Podéis leerlas aquí. En estas situaciones es donde las empresas pequeñas pueden tener dificultades. Su poder negociador es mínimo contra entes tan grandes como Google hacen que ni se planteen contratos a medida. Por tanto, son lentejas o las tomas o las dejas (pese al incremento de riesgos que ello pueda suponer).

Para solventar todas estas cuestiones, podemos como siempre recurrir a la norma ISO 27002, que establece en relación a los servicios externos dos tipos de estrategias: definir bien el servicio a contratar y hacer un seguimiento de la prestación que el proveedor realiza. En el post La subcontratación del riesgo ya comenté de forma más detallada todos estos aspectos.

1 comentarios:

Sergio Hernando dijo...

Hola Javier,

Interesante contribucion, como siempre. Disculpame por las tildes, con este sistema y teclado no tengo manera de ponerlas :)

Los que nos dedicamos a la seguridad tenemos con el outsourcing un problema fundamental, ya el negocio va con borriqueras puestas con el objetivo de llevar al mercado una solucion que permita incrementar resultados. Es nuestra mision saber frenarlos, y hacerles ver que la seguridad y el cumplimiento son aspectos que no pueden quedar relegados por la velocidad del time to market y por la presion de las areas de negocio de sacar tajada de una solucion que podria a la larga ser extremadamente perjudicial, en caso de que seguridad y cumplimiento fallen.

Poco a poco creo que lo estamos consiguiendo, pero queda muchisimo camino por recorrer en este sentido.

Un abrazo, nos seguimos leyendo :)

 
;