La cloud computing es el tema de moda de este año y empiezan ya a publicarse estudios y documentos interesantes que tratan de enfocar el tema en materia de seguridad. Desde luego que la Cloud no sería posible sin una tecnología previa de gran importancia como es la virtualización pero además y como se comenta en casi todos los foros, no es algo nuevo. La "cloud computing" es un nuevo apellido a una serie de servicios tecnológicos que en los primeros tiempos del despliegue de Internet en España, cuando el principal negocio era el acceso y los proveedores de servicios ISP (Internet Service Provider), algunos ya planteaban nuevos modelos de uso de software basado en el alquiler ASP (Aplication Service Provider). En aquel primitivo escenario, el cliente se planteaba poder disfrutar del uso de una aplicación muy cara bajo regimen de alquiler y teniendo a su disposición un servidor (propio o compartido) alojado en un proveedor de acceso a Internet. Es evidencia de aquel momento y aquellos planteamientos un artículo que publicó mi jefe en Innosec, Gustavo San Felipe (Actual CISO en Acens) donde hablaba de la problemática de la seguridad en entornos donde los clientes compartían recursos y de las necesidades de garantizar servicios por parte del proveedor. Aquello era el año 2000 y se publicó en la
Revista Nº40 de SIC.
Aunque el escenario ha cambiado, sobre todo incrementándose en complejidad, en el fondo se plantean las mismas inquietudes de aquel momento, la responsabilidad y confianza que se puede depositar en un servicio tecnológico remoto relevante.
A estas alturas ya han ido apareciendo diferentes documentos que merece la pena recopilar en este artículo y que sirven para tener una visión completa de cómo se plantea la problemática de la seguridad en la cloud computing.
1.-
Estudio de riesgos en la Cloud de Enisa (En castellano). Son 140 folios con un estudio pormenorizado de los diferentes tipos de riesgos que la nube plantea en sus diferentes modalidades (IaaS, PaaS y SaaS). Es uno de los estudios más completos para tener una visión clara de los problemas que la nube plantea y cómo gestionar en ese contexto la seguridad.
2.-
Estudio de la seguridad en la Cloud del BSI alemán (En ingles). Son 70 folios del organismo aleman que establece los requisitos mínimos de seguridad que todo prestador debe satisfacer. Además, en este estudio, el análisis contempla criterios según las necesidades de disponibilidad o confidencialidad y las versiones de cloud públicas o privadas. Este documento es recomendado para los que se inician en el tema dado que en la introducción tiene una explicación detallada de los principales conceptos manejados bajo el término cloud así como las diferentes modalidades de servicios.
3.-
Documento Enisa sobre como monitorizar los acuerdos de nivel de servicios en la nube prestados por terceros (En Ingles). Son 64 folios con una definición marco de qué debe contemplar un SLA para servicios en la nube y cómo valorar por parte de un cliente la calidad del servicio prestado atendiendo a diferentes criterios (porque no solo la disponibilidad es suficiente en muchos casos). Esta
guía de ENISA incluye una descripción detallada de cada parámetro de seguridad a medir y cómo hacerlo. Los parámetros de seguridad a cubrir son: la disponibilidad del servicio; la respuesta a incidentes; la flexibilidad del servicio y la tolerancia de la carga; la gestión del ciclo de vida de los datos; el cumplimiento técnico y la gestión de la seguridad; la gestión de los cambios; el aislamiento de datos y la administración de los registros así como el análisis forense de seguridad de la información.
4.- Documento de la AEPD y el Consejo General de la Abogacía donde habla del uso de la Cloud en despachos de abogados. (En castellano). Son 20 folios centrados en la problemática del uso de la cloud en el sector de la abogacía pero que es interesante e ilustrativo porque ha sido elaborando en colaboración con la Agencia Española de Protección de Datos (AEPD) y aporta su visión respecto a los requisitos legales de cumplimiento de la Cloud en el marco de la LOPD. Por tanto, de este informe se pueden deducir con carácter general qué cosas hay que exigir dentro del marco de cumplimiento en materia de protección de datos.
Del informe del BSI alemán me gusta este esquema gráfico de las cosas que están bajo el término "Cloud" y establece por un lado la arquitectura física y lógica de los sistemas de información y por otro las capas de gestión que el proveedor de servicio debe implementar. Bajo este contexto es obvio que los diferentes prestadores de servicio van a competir por el mercado intentando diferenciarse del resto y acreditando confianza. Para ello se están apoyando en la certificación de sus sistemas de información o servicios bajo las normas ISO 27001 (Seguridad de la información) e ISO 20000 (Gestión de servicios TI). Obviamente estas certificaciones sólo acreditan el cumplimiento de unos requisitos y la implantación de unas buenas prácticas de gestión TI aunque ello no tiene por qué suponer el logro de unos óptimos resultados (de la aplicación de esos marcos de gestión). En este contexto, la aparición de la reciente ISO 22300 también va a ser muy relevante dado que una de las cosas que más preocupan a los clientes en la cloud es que pasaría con sus datos en caso de una contingencia grave. Certificar un servicio en Cloud bajo la norma ISO 22300 al menos es un indicativo de que existen planes de continuidad de negocio y que se han probado.
Mi reflexión/resumen de todo lo que voy leyendo al respecto es que las decisiones de saltar a la nube deben contemplar los siguientes factores:
- Modalidad de cloud a emplear. Decidir el salto a la nube que se quiere dar. Los saltos a las modalidades IaaS y PaaS son más reversibles que los saltos a la modalidad SaaS. Por tanto, garantizan más autonomía en caso de problemas con el prestador o permiten montar rápidamente un servicio alternativo si ocurriese algo. Para ello es importante también decidir cual es la política de backup y qué parte se debe sincronizar desde la Nube con la organización que contrata. Tener al menos los datos te salva en caso de problemas gordos para poder garantizar "continuidad de servicio".
- Definición de los términos y condiciones del servicio. El aspecto crucial de todo este asunto es también el proceso de contratación porque es cuando el prestador de servicios TI es flexible y se intenta amoldar al cliente. En este sentido, los contratos deben ser muy claros, concisos y concretos. El problema es cuando el proveedor TI es tan grande que es inflexible a las necesidades de clientes individuales. Además, es necesario hablar de penalizaciones porque un corte de X días tiene impactos no solo cuantificables por el coste del servicio sino también por las consecuencias de la ausencia del mismo aunque en la luz y el agua no se ven de esa forma.
- Legislación y cumplimiento: Esto debe ser contemplado desde dos perspectivas. Por un lado, el marco jurídico donde se resuelven los conflictos porque si los problemas se resuelven en EE.UU. y sus tribunales las cosas tienen un coste en caso de conflicto y legislación aplicable. La temida Patriot Act permite a los americanos meterle mano a todo tipo de cosas. Por otro, garantizando el cumplimiento del marco legal de aplicación al que externaliza el servicio. La LOPD habla de diligencia del responsable del fichero frente a la externalización y que impera por tanto tener garantías de cumplimiento con carácter previo a la contratación. Además, no solo habría que mirar el presente de la materia (Actual ENS en Administraciones Públicas y LOPD) sino también el futuro (Nueva directiva de privacidad de la Unión Europea).
De todo ello se evidencia en el contrato de servicios de cloud deberá tener varios ejes y que obviamente debe ser redactado por perfiles jurídicos muy bien asesorados por los perfiles técnicos que tienen claro lo que quieren regular. Un buen acuerdo de nivel de servicio debe concretar y determinar los siguientes puntos:
- Introducción
- Descripción técnica del servicio.
- Alcance
- Roles y responsabilidades
- Por parte del suministrador.
- Por parte del cliente.
- Operación del servicio
- Solicitud.
- Horas de operación
- Tiempos de respuesta.
- Mantenimiento y cambios
- Contingencias e incidencias cubiertas por el acuerdo.
- Procedimiento de escalado.
- Medición del servicio y su calidad.
- Notificación de incidentes en el prestador.
- Políticas o Normas complementarias a garantizar (Donde encaja este anexo técnico).
- Entrada en vigor y revisión del SLA.
- Aprobador del SLA.
- Revisor del SLA.
- Penalizaciones por incumplimiento.
De cualquier forma es justo y necesario pensar que todas estas cuestiones surgen ahora por la novedad de este tipo de servicios y la ausencia de experiencias de uso por parte de los clientes. En estos momentos aparecerán cientos de servicios y proveedores bajo las siglas cloud y será el tiempo quien realice una selección natural y vaya manteniendo y haciendo sobrevivir a aquellos que gocen del prestigio y la confianza de sus clientes en base a su fiabilidad, robustez y seguridad. Cuando todo el mundo piensa que el salto a la nube es peligroso en base a los riesgos ya identificados y por la alta dependencia de este nuevo tipo de terceros, debería al mismo tiempo plantearse que la misma dependencia existe de los proveedores de suministros básicos como la luz o el agua y sin embargo a ellos no se le plantean tantas exigencias respecto a garantizar continuidad de servicio y justificar el cumplimiento de SLA. Un corte de suministro tiene un impacto similar en una empresa que la caída de los servicios de cloud o del proveedor de telecomunicaciones que nos permite alcanzar la cloud. Por tanto, por coherencia, a todos los eslabones de la cadena hay que pedirles idénticas garantías y robustez. En el tema de suministros básicos, la Ley de Protección de Infraestructuras Críticas ya está forzando a que la continuidad sea un tema resuelto.