Que las preocupaciones de los usuarios respecto de la seguridad y temas relacionados forman parte integral del cómo y el cuándo adoptar la computación en nube – sea en el lugar, en nubes públicas o en una nube híbrida – no es noticia.
Aun cuando los riesgos tengan que ver más con la percepción que con la realidad, el hecho es que tras varios estudios, la conclusión es que la “seguridad” ocupa un lugar preponderante, sino el primero, entre los factores que inhiben la adopción de la nube. Esto lleva a que la industria toda tenga como prioridad comprender cómo mitigar estos riesgos en vista de los beneficios que la computación en nube puede brindar en cuanto a flexibilidad, agilidad y costos.
Existen muchas empresas y grupos que ya se encuentran trabajando para enfrentar los desafíos de seguridad de diversas formas. La Cloud Security Alliance (CSA), fundada en el año 2009, es una de las iniciativas más importantes porque podría decirse que es quien tiene la visión más amplia del problema. Se trata de una organización sin fines de lucro cuya misión es la de promover el uso de mejores prácticas para garantizar la seguridad dentro de la computación en nube, y educar sobre los usos de la computación en nube para ayudar a proteger otras formas de computación.
Red Hat ha estado participando de la comunidad de CSA durante casi dos años y ha estado trabajando para lograr la concientización y la utilización de las herramientas diseñadas por la CSA para garantizar los entornos de nube física, virtual e híbrida. Hoy, como miembro corporativo oficial de la CSA, Red Hat continuará enfocándose en los estándares abiertos y en la seguridad para proteger las cargas de trabajo empresarial en la nube.
La CSA cuenta con una amplia membresía con más de 130 miembros corporativos. Estos miembros incluyen a proveedores de Tecnología Informática como Red Hat que venden sus productos a una amplia variedad de industrias, pero también incluyen a compañías tales como McKesson, proveedor de tecnología para el cuidado de la salud, que trabajan específicamente en industrias altamente reguladas y que se ven considerablemente afectados por los requerimientos sobre la privacidad de los datos. También incluyen a empresas que prestan servicios profesionales con interés en cuestiones de seguridad y cumplimiento, tales como Ernst & Young y PwC. Comprenden a dependencias gubernamentales, como el Ministerio de Defensa, y a los proveedores de tales dependencias, como es el caso de Raytheon. Incluyen también a grandes usuarios finales de tecnología como eBay. La CSA tiene la grata satisfacción de contar con casi 40.000 socios particulares en su grupo de LinkedIin.
El rol de CCM
Una iniciativa específica de la CSA es la denominada Cloud Security Alliance Cloud Controls Matrix (CCM o Matriz de Controles de la Nube de Cloud Security Alliance). La CCM fue diseñada para proporcionar principios esenciales de seguridad “para orientar a los proveedores de nubes y asistir a los clientes potenciales de nubes en la evaluación del riesgo para la seguridad global de un proveedor de nubes.” El objetivo es básicamente brindar una estructura para poder evaluar la seguridad de manera sistemática. En particular, y según las palabras de la CSA, sirve para ofrecer:
“… a las organizaciones la estructura, el detalle y la claridad necesarias en relación con la seguridad de la información adaptadas a la industria de la nube. La CCM de CSA fortalece los actuales entornos de control de la seguridad de la información acentuando los requerimientos de control de la seguridad de la información comercial, reduce e identifica las amenazas y vulnerabilidades constantes de seguridad en la nube, proporciona una gestión de la seguridad y de los riesgos operativos estandarizada, y procura uniformizar las expectativas de seguridad, la taxonomía y la terminología de la nube, y las medidas de seguridad implementadas en la nube”
Es importante ser sistemático de esta forma porque la seguridad no se trata de una sola cosa. En realidad, la CCM toma en consideración 98 áreas distintas de control en 13 dominios diferentes, tales como compatibilidad, elasticidad y seguridad de la información. Cada una de estas áreas de control se asocia luego al área de la arquitectura de TI en la que opera (por ej., sistema de redes, datos o computación), su importancia para diferentes modelos de provisión de servicios de nube (Infraestructura como Servicio o IaaS, Plataforma como Servicio o PaaS y Software como Servicio o SaaS), y su relación con un amplio abanico de reglamentaciones. Incluso un rápido análisis de la matriz descripta brinda una idea del extremo al cual la CCM proporciona un marco práctico muy específico que pueden utilizar las empresas. (Un Estudio de la Agencia Europea de Seguridad de las Redes y de la Información de 2009 (ENISA) proporciona un marco que sigue una línea un tanto similar.)
Los usuarios de la nube pueden utilizar la CCM (o un documento alternativo llamado Consensus Assessments Initiative Questionnaire) para estructurar sus propias evaluaciones de los proveedores de nubes. Sin embargo, estos documentos también constituyen aportes para otra iniciativa de la CSA llamada CSA Security, Trust & Assurance Registry (STAR), un registro libre accesible al público que “documenta los controles de seguridad que brindan diversos productos de computación en nube”. Los proveedores de nubes pueden presentar informes de autoevaluación que documenten su acatamiento de las mejores prácticas publicadas por la CSA. El objetivo de la CSA es facilitar y acelerar la auditoría que realicen los usuarios de nubes y la migración en general hacia un entorno donde las prácticas de seguridad sean más transparentes y sean utilizadas incluso como factor diferenciador entre los distintos proveedores de nubes.
La CSA también lleva a cabo investigaciones de la computación en nube. Recientemente, el 27 de septiembre, publicó los resultados de un estudio de Madurez del Mercado de la Nube; se trata de un proyecto de colaboración con ISACA que pretende proporcionar a las empresas y a los líderes de TI información acerca de la madurez de la computación en nube. Si bien el informe encontró muchos indicadores positivos, también identificó varias áreas en las que los participantes de las encuestas tenían menor confianza en la computación en nube. En particular, nos interesó mucho observar que algunas de ellas – tales como las estrategias de salida, la longevidad y la credibilidad de los proveedores, la integración con sistemas internos y la cautividad de los contratos – hablan mucho de la necesidad de un enfoque abierto e híbrido hacia la computación en nube. Es por eso que en Red Hat creemos firmemente que la apertura y la hibridez son elementos esenciales de una estrategia de nube, como se analiza en este documento.
Tal vez no siempre se sepa a partir de los titulares predecibles y sin tregua que uno ve cuando aparecen informes acerca de la interrupción de servicios o una violación de seguridad de un proveedor, pero los debates acerca de la seguridad de la nube están superando la etapa inocente de “¿es esto seguro?”. Estos debates siempre se han desarrollado, en verdad, entre profesionales de la seguridad. Ellos entienden que la seguridad en la nube es parte de una discusión aún mayor sobre el control de la tecnología informática, y que la seguridad existe en el contexto de los diversos compromisos que siempre se están haciendo con los sistemas informáticos. Pero esos análisis llenos de matices se están convirtiendo en la corriente predominante. Uno de los principales motivos por lo que esto sucede es que las organizaciones como la CSA están ayudando a codificar las mejores prácticas, haciéndolas más fáciles de implementar.
Por El Equipo de Computación en Nube RedHat