Mariano Benito.
Mariano J. Benito CISO de GMW y coordinador del Comité Técnico Operativo del Capítulo Español Cloud Security Alliance

‘Cloud computing’: algo más que una tendencia

Servicios en la nube.

Cloud computing concept with copy space on a blue technology background

Seguro que usted ya sabe qué es la nube. Probablemente, la nube (o cloud computing) haya sido un asunto recurrente en casi todas las conversaciones que haya mantenido en los últimos años, en particular cuando se hablaba de servicios TI. En este sentido, el prefijo ‘aaS’ (de as a service) ha ganado progresivamente ubicuidad, y muy probablemente ha oído hablar de SaaS, PaaS o IaaS en referencia a diversos modelos de prestar servicios desde la nube. Y posiblemente también haya oído hablar de otros servicios de nube, tales como IDaaS, ERPaaS, DRaaS o CraaS.

Esta recurrente aparición del término ni es casual ni ha pasado desapercibida. El uso de servicios en la nube dota a sus usuarios con ventajas claras y perfectamente conocidas: flexibilidad, rapidez de provisión, condiciones financieras y de costes. En consecuencia, tanto los usuarios como el uso que hacen de estos servicios en la nube están evolucionando en España. Desde los iniciales usos residuales, como pruebas de concepto y/o experimentales que iniciaban algunas organizaciones con mayor curiosidad o interés, en la actualidad no deja de crecer el número de organizaciones que están ya apoyándose en la nube de una u otra forma para recibir o prestar servicios.

La nube es pues una realidad cada vez más consolidada. Obviamente, las organizaciones que proveen servicios desde la nube centran su discurso en señalar las ventajas anteriormente citadas, enriqueciéndolo con aquellas otras que les puedan ser particulares de sus servicios o de su modelo de prestación; de la misma forma que no señalan aquellos aspectos que les puedan resultar menos favorables. Sería ingenuo pensar de otra forma.

No obstante, apoyarse en servicios en la nube conlleva también cambios en la forma en la que se estaba prestando el servicio anteriormente que pueden no ser baladíes. Algunos de ellos son esencialmente operativos: desde la necesidad de disponer siempre de conexión para llegar a la nube o la dispersión geográfica del servicio hasta la aparición de un nuevo proveedor de servicios (especializado en la nube) o las modificaciones para la organización y para sus personas, que son parte inevitable de la migración entre dos servicios. Sin embargo, otros cambios son más sutiles, menos conocidos, menos evidentes y tienen que ver con los nuevos riesgos que deben afrontar las organizaciones cuando empiezan a utilizar servicios en la nube. Riesgos que no siempre son adecuadamente conocidos ni valorados antes de utilizar los servicios, lo que puede originar problemas de seguridad, de cumplimiento legal y operativos.

Análisis de riesgos

El uso de servicios en la nube debe estar acompañado de un análisis de riesgos que ayude a identificar y gestionar los problemas de seguridad asociados a dichos servicios.

El uso de servicios en la nube debe estar acompañado de un análisis de riesgos que ayude a identificar y gestionar los problemas de seguridad asociados a dichos servicios

Pero, ¿qué medidas de seguridad deberían ser entonces aplicadas tanto por usuarios como proveedores de servicios en la nube? Cloud Security Alliance (CSA), como asociación de profesionales independientes especialistas en seguridad en la nube, y su Capítulo Español constituido en ISMS Forum, conocen perfectamente estos riesgos y problemas de seguridad derivados del uso de los servicios en la nube. Además, está trabajando en la definición de las medidas de seguridad que deberían ser contempladas y aplicadas tanto por los proveedores como por los usuarios de los servicios en la nube. Estas recomendaciones se recogen en el documento Guías de seguridad de áreas críticas en Cloud Computing, que está disponible para su descarga en la web de CSA, y cuya lectura y aplicación recomendamos. La correcta utilización de estas medidas de seguridad, adaptadas a las circunstancias, necesidades y riesgos de cada organización, deberían facilitar que el uso de servicios en la nube no signifique la asunción de riesgos excesivos o desconocidos.

Seguridad de los servicios

En este escenario parece razonable plantearse algunas preguntas: ¿se están proporcionando y/o consumiendo servicios en la nube suficientemente seguros?, ¿qué problemas de seguridad están frenando o han retrasado la adopción de servicios en la nube? CSA-ES e ISMS Forum, en colaboración con los capítulos latinoamericanos de CSA y con ISACA Madrid, ha completado en 2018 su Sexto Estudio del Estado del Arte de Seguridad en la Nube para conocer de primera mano estos factores. Este estudio se viene realizando de forma anual desde 2013, construyendo una valiosa visión histórica sobre la materia y su evolución a lo largo de este periodo.

Este documento identifica varios factores que se mantienen constantes en el tiempo. Por ejemplo, los clientes de servicios en la nube tienen muy altas expectativas sobre la seguridad que les va a ofrecer la nube. Por ello, plantean a sus proveedores un muy alto cumplimiento de requisitos de seguridad técnicos, de cumplimiento legal y de privacidad (particularmente en cumplimiento del Reglamento General de Protección de Datos, RGPD).

Sin embargo, y aun estando cada vez más satisfechos con los servicios recibidos, este regocijo aún se queda ciertamente corto frente a las expectativas iniciales que tenían los clientes. Por ello, los proveedores de servicios en la nube aún tienen que mejorar para que sus servicios sean tan satisfactorios como se esperan.

El estudio también identifica a las empresas que más satisfechas se declaran con los servicios en la nube, las pymes, que aprecian en particular la detección, la gestión y la respuesta a incidentes de seguridad en la nube y su capacidad frente a ShadowIT. Las compañías de gran tamaño también valoran estas características, pero más como complemento y mejora de las capacidades internas propias de las que ya disponen.

ShadowIT, definida como la capacidad de los departamentos No-IT de una organización de contratar y utilizar servicios en la nube sin la colaboración del departamento TI, e incluso ocultándolo deliberadamente, sigue siendo motivo de preocupación para las organizaciones. El estudio ha detectado que las entidades se han polarizado sobre este escenario: tienen una visión neutra o positiva que tolera ShadowIT o una visión negativa de este paradigma y hacen un esfuerzo para limitar o prohibir que ocurra.

Adaptación

Como se ha señalado anteriormente, el uso de servicios en la nube requiere de un esfuerzo de adaptación por parte de las personas a estos servicios. Y por ello es necesario que la concienciación en seguridad de las organizaciones y su personal sea elevada. Afortunadamente, el estudio detecta cómo el nivel de concienciación de personal sigue creciendo de forma continua, estando en niveles elevados.

Los servicios en la nube están también afectados por el cumplimiento de las distintas regulaciones, en particular, por el cumplimiento del RGPD. Este aspecto fue también analizado por el estudio, descubriendo un elevado interés tanto en usuarios europeos como en usuarios de fuera de Europa. El Reglamento, al menos en lo que a la nube se refiere, ya es un fenómeno global, y se exigen garantías de su cumplimiento por los proveedores.

Como balance general del estudio, las expectativas de los clientes de servicios en la nube en materia de seguridad siguen sin estar completamente satisfechas, aunque los proveedores están acercándose a estos niveles progresivamente.

Por último, cabe destacar que el Estudio del Estado del Arte de Seguridad en la Nube tendrá una nueva edición en 2019, en el cual les invitamos desde este momento a participar.

En resumen, la nube forma cada vez parte más integral e inseparable de nuestros servicios TI. Pero no deben ser adoptados sin más, sin analizar los riesgos que de ellos se derivan y sin adoptar medidas de seguridad eficaces, en la línea de las buenas prácticas de seguridad ya identificadas.