Dentro del modelo de entrega de servicios del cómputo en la nube tenemos diferentes ofertas hasta ahora: software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS). Todo esto nos lleva a la pregunta: ¿Es posible que los servicios de seguridad administrada se entreguen en esta modalidad? En este mismo número de Magazcitum, Marcos Polanco hace una muy completa recopilación de servicios de seguridad que se pueden entregar en el modelo de cómputo en la nube, con todas las ventajas de elasticidad y aprovisionamiento inherentes a éste. Sin duda, y sobre todo desde el punto de vista económico, estos servicios representan una oferta irresistible; sin embargo bajo la lupa de seguridad, todavía hay algunos detalles que revisar.
En general, los servicios de seguridad en la nube dependen de información que va a fluir desde Internet hacia la red del proveedor, para luego hacerlo desde la red del proveedor hacia la red del cliente, o bien el mismo proceso pero en sentido inverso, cruzando a su paso redes públicas y sistemas del proveedor.
Un punto a cuidar al adoptar este tipo de servicios para nuestras organizaciones es el de la confidencialidad con la que se maneja la información, ya sea cuando se encuentra en tránsito o bien como cuando es procesada y almacenada por el proveedor de servicios de seguridad en la nube. Deben existir algunos controles básicos dentro del contrato con el proveedor de servicios de seguridad en la nube para atender esta situación.
Como mínimo, el proveedor de servicios debe firmar un acuerdo de confidencialidad y no divulgación que lo obligue a no revelar datos a los que pudiera tener acceso durante la provisión del servicio, además de que el proveedor deberá contar con políticas muy estrictas para la destrucción de información que pudiera encontrarse en hardware que se retira de servicio activo.
La tolerancia al riesgo que tengamos en la organización dictará que tan estrictas serán las medidas de control que deberemos tomar al adoptar un servicio de seguridad administrada en la nube. Si la información que será procesada a través del servicio es altamente sensible, probablemente requeriremos reservarnos el derecho de auditar al proveedor de servicio para garantizar que la confidencialidad, integridad y disponibilidad de la misma estén correctamente gestionadas, pudiendo inclusive pedir documentación con los detalles sobre la manera en que el proveedor atenderá nuestras necesidades de seguridad en la transmisión, procesamiento y almacenamiento de nuestra información.
La arquitectura del servicio nos puede decir mucho acerca de los riesgos a los que estaremos expuestos al usarlo. El uso de virtualización probablemente sea el esquema que mejor maneja la necesidad de compartimentar la información para evitar que se mezcle con la de otros clientes del servicio, reduciendo así el riesgo de divulgación no intencional, pero también probablemente sea el esquema más costoso. Nuevamente el compromiso e interdependencia entre el grado de seguridad y el costo se hace presente, y es un factor más que habrá que tomar en cuenta para la toma de decisión al seleccionar este tipo de servicio.
Una manera sencilla, y al mismo tiempo efectiva, de evaluar el desempeño de seguridad de un proveedor de “Security as a Service” es solicitando que éste cuente con un sistema de gestión de seguridad de la información como se define en el estándar internacional ISO 27001:2005, por lo que un certificado en el estándar habla muy bien del compromiso que el proveedor tiene con la seguridad. Sólo hay que observar una cuestión fundamental: aunque la existencia del certificado es importante, lo es más aún el alcance del sistema de gestión certificado, por lo cual será necesario cerciorarnos de que los servicios o procesos mediante los cuales el proveedor nos entregará el servicio, estén claramente dentro del alcance del certificado en ISO 27001:2005.
Deja tu comentario