La falsa sensación de seguridad del Cloud Computing

Antonio Marco. CISO Lanaccess

Existe un aumento significativo de empresas que están trasladando cada vez más recursos y cargas de trabajo a la nube.  Asumir que en el Cloud Computing la seguridad es intrínseca a este tipo de servicio es un error que puede complicar las cosas a muchas empresas en un futuro próximo. Porque si bien es cierto que hay que invertir en planes de ciberseguridad on-premise, también debemos hacerlo para nuestros despliegues en el Cloud.

Existen organizaciones como «Cloud Securitty Alliance» que se dedican a promover el uso de buenas prácticas para garantizar la seguridad en ‘Cloud’, porque La computación en la nube se está volviendo cada vez más popular, partiendo de sencillos repositorios de almacenamiento como OneDrive, Google Drive, Dropbox, etc. a los servicios ‘SaaS‘ de Google asociados a las cuentas de Gmail y terminando en el hosting tradicional o los más especializados servicios de ‘PaaS‘ e ‘IaaS’.

Es conveniente conocer a grandes rasgos los distintos tipos de arquitectura y servicios que ofrece el Cloud Computing para comprender mejor las medidas de seguridad que han de adoptarse en este tipo de entornos.

Existen cuatro implementaciones de servicios de Cloud Computing en función de su tipología.

Private Cloud: La nube Privada fue precursora de este tipo de soluciones, aquí los recursos suelen estar alojados en una red privada a nivel local, en la propia infraestructura  o a través de un proveedor de servicios externo especializado, que es generalmente exclusivo de la empresa u organización. Las características principales de este tipo de Cloud serian:

• Los servidores e infraestructura física son de nuestra propiedad.
• Existe un alto grado de seguridad, ya que nuestros datos no son gestionados por terceros.
• El Hardware es dedicado y adaptado a nuestras necesidades.
• La inversión inicial, los costes de mantenimiento y actualización son superiores

Este tipo de soluciones privadas son utilizadas mayoritariamente por entidades gubernamentales, organismos oficiales y entidades bancarias.

Virtual Private Cloud VPC: Esta variante del Private Cloud no es realmente un subtipo especifico, pero debido a su creciente implantación podríamos empezar considerarlo como tal. Se basa en la disposición de una serie de recursos computacionales configurables bajo demanda dentro de un ambiente de cloud público, el cual provee de un cierto grado de aislamiento entre diferentes organizaciones.

Public Cloud: La nube publica es el tipo más extendido, aquí los recursos inherentes a este tipo de servicio se encuentran alojados externamente en el proveedor de servicios. Este tipo de servicio Cloud tiene algunas implicaciones como, por ejemplo:

• Los recursos computacionales y de almacenamiento se comparten entre todos los clientes del proveedor, es decir, nuestros datos y los de otras empresas podrían estar alojados en el mismo equipo.
• Nuestra información se almacena en servidores de terceros, de los que no somos propietarios.
• No requiere de una inversión inicial en infraestructura, ni posteriormente en mantenimiento o actualización ya que esta corre a cargo al proveedor.

Este tipo de servicios son los ofrecidas por empresas como Amazon, Google, Microsoft etc. que se encargan a nivel global de su gestión y mantenimiento.

Hybrid Cloud: El Cloud hibrido supone Una combinación de los casos anteriores, donde coexisten recursos locales y externos que configuran la arquitectura final del entorno. Podemos disponer de una arquitectura de sistemas on-premise y paralelamente utilizar la nube pública para funcionalidades específicas o conexiones con herramientas externas.

Modalidades del tipo de servicio: A la hora de contratar los servicios en ‘Cloud’, también hay que tener en cuenta otras consideraciones en relación a las modalidades del tipo de servicio. Éstas se clasifican en tres:

• Software como Servicio (‘SaaS’): De las siglas en inglés Software as a Service, suele ser el más utilizado y consiste en que el ‘software’ permanece alojado en el servidor del proveedor y el cliente accede al mismo a través de un navegador web. El mantenimiento, soporte y disponibilidad es gestionada por el proveedor. Un ejemplo de este tipo de servicio podría ser las herramientas de correo electrónico tipo Gmail. En este caso no controlaremos aspectos propios del servidor de Cloud Computing como el sistema operativo o la infraestructura.
• Plataforma como servicio(‘PaaS’): En este tipo de servicio, Platform as a Service, el proveedor ofrece acceso a un entorno basado en la nube en el cual los usuarios pueden crear y distribuir sus propias aplicaciones. El proveedor proporciona la infraestructura subyacente que nos permitirá interactuar con algunos servicios básicos ya preinstalados, como bases de datos, teniendo cierto grado de libertad a la hora de instalar software.
• Infraestructura como Servicio (‘IaaS’): Con la Infraestructure as a Service tendremos control prácticamente total del servidor, aunque existen algunas variantes, podremos administrar recursos asignados al mismo, así como aspectos fundamentales como la instalación del sistema operativo.

Amenazas relativas a servicios Cloud

El factor humano ocupa la parte más amplia en la pirámide de riesgo, es la más importante en cuanto a volumen, pues la amenaza que suponen los usuarios es con diferencia el factor de riesgo más importante. Definir los mecanismos de seguridad correctos asociados a la gestión de usuarios es de vital importancia.

Otra de las grandes amenazas actuales son los secuestros de sesión. Este tipo de ataques permiten que se puedan obtener las credenciales de acceso en los trascursos de inicio de sesión, con lo que se aconseja aplicar técnicas de autenticación de doble factor siempre que sea posible y monitorizar las sesiones en búsqueda de actividades maliciosas o inusuales.

Respecto al ‘hardware’ compartido empleado por los proveedores de servicios de Cloud, es también un vector a tener en cuenta pues se emplean los mismos servidores físicos para prestar servicio a múltiples clientes a través de la virtualización. El hecho de compartir la misma máquina implica que el acceso a la misma o a uno de los servidores virtuales podría facilitar la entrada a todos los recursos presentes. Es por este motivo que debemos tener garantías suficientes que las plataformas de virtualización están debidamente protegidas en este respecto.

En cuanto a los repositorios de información y sistemas de copias de seguridad, aparte de una especifica gestión de amenazas y la auditoria de acceso a los recursos a de establecerse con el proveedor una correcta estrategia de salvaguarda de la información, porque los problemas físicos también suponen amenazas. En este caso, es importante que el proveedor ofrezca las garantías suficientes frente ante cualquier tipo de contingencia como incendio, robo, e inundación, ya que al fin y al cabo se trata de una infraestructura física la que está soportando la plataforma virtual y por tanto el servicio ofrecido.

Sobre los problemas de cumplimiento y de cara a poder estar alineados con el Reglamento General de Protección de Datos (RGPD) europeo, al tratarse de un servicio en el cual puede estar alojada todo tipo de información sensible, información de carácter personal, etc, debemos asegurarnos de que el proveedor cumple con todos los requisitos exigidos por la normativa solicitándole un certificado de cumplimiento, que garantice que el lugar donde se alojan los datos se encuentren en país con que forme parte de un marco seguro como la Unión Europea o Estados Unidos.

Sistemas de videograbación Local VS Cloud

Actualmente y aunque puede variar en función de la tipología de cliente y del uso especifico que se requiera, la grabación local sigue siendo imbatible sobre todo en tres aspectos fundamentales:

• Permite almacenamiento a la máxima calidad, independiente de la calidad y garantía de servicio de la conexión a Internet.
• El número de cámaras que se pueden gestionar es ilimitado.
• Una vez adquirido el videograbador no hay coste de servicio.

Pero como hemos visto, también existen fórmulas de mantener información segura, en el Cloud, cuando no se dispone por ejemplo de mecanismos de seguridad ante eventos delictivos que puedan inutilizar el sistema de grabación.

La grabación de backup en Cloud de cámaras críticas, es una opción acertada en este aspecto siempre y cuando se disponga de una conexión a internet con garantías ante contingencias y estemos completamente seguros que nuestro proveedor de servicios cumple con todos los estándares en materia de seguridad que nos permita ofrecer a nuestros clientes las máximas garantías de integridad ,disponibilidad, confidencialidad de la información que gestionamos.

Lanaccess está especializada en grandes corporaciones e infraestructuras críticas, estos sectores están asesorados y dirigidos por reconocidas empresas especializadas e importantes equipos de IT que actualmente confían en los sistemas de videograbación local mapeados a la propia nube (private cloud) y su elección a favor de estas opciones se cimenta fundamentalmente en:

• Disponer de mayor control sobre todo el proceso.
• No es una solución rígida, es muy flexible y se adapta a las necesidades de cada cliente.
• Poder unificar todos los procesos empresariales en una misma nube, homogeneiza su gestión.
• Se acotan riesgos al no compartir la nube con terceros, no se pierde el control, no se cede “soberanía” como ocurre en la nube púbica, disponer de una nube en exclusividad otorga mayor seguridad.
• En el balance entre seguridad y precio, optan por la seguridad.
• Ante una caída o ataque al servicio de private cloud siempre estarán disponibles las grabaciones locales, aportando una doble seguridad.
• Hay sectores donde la normativa impide no disponer de grabaciones en on-premise.

La apuesta por la nube PÚBLICA está muy enfocada al ámbito doméstico y a la Pequeña Empresa por dos razones: Económica y De gestión

La apuesta por la nube pública en este sector es una tendencia, pero está muy enfocada al ámbito doméstico y a la muy pequeña empresa especialmente, las razones son principalmente dos:

• Económica: gracias a las economías de escala son más baratas.
• De gestión: no disponer de un equipo IT dedicado y formado que pueda asumir este rol hace que empresas, especialmente las pequeñas recurran a este tipo de soluciones.

A la hora de escoger hay que balancear y optar por la solución que mejor se adapte a cada compañía o institución.

Los retos del Cloud Computing en materia de seguridad

Como hemos visto en los puntos anteriores existen varios aspectos que definirán la solución de Cloud Computing se mejor se adapta a nuestras necesidades, ya sea al contar con un equipo de IT en plantilla, de nuestro presupuesto o del grado de seguridad y control sobre nuestros datos.

El Cloud Computing ha resuelto muchos de los problemas de las empresas, debido sobre todo a la facilidad de uso y al bajo coste de las soluciones, por este motivo el uso de la computación en la nube aumenta día a día. Pero este hecho puede ser un arma de doble filo si no se establecen los procedimientos de ciberseguridad adecuados, se invierte en formación y se realizan acciones pedagógicas para que los usuarios dejen de ser la brecha de seguridad más importante.

Y es por este motivo fundamentalmente por el cual todavía existen multitud de empresas que se resisten a los considerables atractivos de la nube debido sobre todo a las persistentes preocupaciones en materia de seguridad de la información, porque una implementación insegura, puede poner en grave riesgo los activos e incluso la viabilidad de la empresa.

¿En qué situación se encuentra tu empresa? ¿Dónde quieres ir?

Es importante que analices bien tu empresa, veas en qué situación se encuentra, cuál es su tamaño y observes que están haciendo las empresas similares a las tuya y las empresas TOP en seguridad (banca, infraestructuras críticas, transportes, etc.) porque no hay soluciones buenas y soluciones malas, hay que buscar la que mejor se adapte a nuestras necesidades.

Desde mi posición de CISO en Lanaccess puedo asegurar que la toma de decisiones que afectan a la seguridad es y será cada vez más estratégica, y es por ello de vital importancia que esta apuesta por la seguridad sea secundada por la alta dirección y llegue a todos los estratos de la organización, nunca será una mala inversión apostar por la solución más segura.

En el campo de la videograbación donde somos especialistas desde hace más de 20 años, vemos que las soluciones on-premise continúan siendo opciones vigentes y seguras siempre que contemos con el respaldo de las compañías especializadas del sector, hay que romper el paradigma de “por estar en la nube las soluciones son más seguras”, esto no es cierto y ha ocasionado que empresas que creyeron en esta premisa acabaran comprometidas por importantes brechas de seguridad.

Dentro de la tipología de clientes con los que trabajamos en Lanaccess vemos que el mayor crecimiento se está dando en la posibilidad de usar entornos virtualizados y nubes privadas, siendo la apuesta principal de las grandes empresas e instituciones que priman la seguridad y el control de todos sus activos, combinando soluciones específicas de nube privada y equipamiento local o  on-premise.

Mi visión, tras ayudar a nuestros clientes y liderar el proceso de mejora continua en el ámbito de la ciberseguridad dentro de nuestra empresa, es que hay que priorizar lo importante a lo urgente, hay que planificar que se quiere hacer, no con una visión cortoplacista, si no a medio y largo plazo, apoyarse en proveedores especializados que puedan aportar su experiencia y know-how, ver que hacen empresas similares a la nuestra y observar que apuestas en materia de seguridad realizan las empresas TOP de nuestro sector.