Gestionando el Riesgo de la Nube

La adopción de la nube continúa creciendo a un paso rápido, transformando los negocios a lo largo del globo. De hecho, la nube es la forma usual de operar el negocio para la mayoría de las organizaciones, con algunas de ellas utilizándola para ejecutar procesos críticos. En Julio de 2015, el reporte Mirada Profunda a la Innovación de ISACA¹ menciona la computación en la nube como una de las tendencias líderes en los negocios guiando las estrategias de negocios. Apareció en tercer lugar de las diez tecnologías emergentes más destacadas, que más probablemente entreguen un valor significativo al negocio muy por sobre los costos. El análisis de gran cantidad de datos (big data) y las tecnologías móviles, aparecieron en primer y segundo lugar, respectivamente. Una publicación diferente, realizada por la Corporación Internacional de Datos (IDC) pronostica el crecimiento del uso mundial de la nube pública a 19.4 por ciento, en los próximos cinco años, casi doblando los US $70 billones de dólares del 2015 en más de US $141 billones en el 2019. Esto es casi seis veces el crecimiento del gasto empresarial en TI como un todo².

Mientras la nube promete beneficios significativos, incluyendo flexibilidad financiera mejorada, agilidad mejorada y acceso a tecnologías líderes, algunas organizaciones están aún resistiéndose, mayormente cautelosas de perder el control sobre información de alto valor. Estas preocupaciones sobre los riesgos son válidas y, si no son consideradas y gestionadas adecuadamente, pueden resultar en impactos dañinos para el negocio, incluyendo el daño a la experiencia del cliente, fuga de información sensible o daño a la marca.

Este artículo provee algunas recomendaciones prácticas para abordar tres áreas clave de riesgo asociadas con la adopción de la nube:

1. Iniciativas en la nube no alineadas con las estrategias del negocio
2. Pérdida de control sobre información de alto valor
3. Excesiva dependencia de los proveedores de servicios en la nube

Este no es un set completo ni definitivo de áreas de riesgo que los negocios pueden enfrentar cuando adoptan la computación en la nube. Muchos marcos de trabajo, muchos notablemente procedentes de la Alianza de Seguridad en la Nube (CSA), ISACA, y el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST), proveen más guías comprensibles sobre la gestión del riesgo en la nube.

Alineando los Proyectos en la Nube con la Estrategia de Negocios

Las empresas entregan valor a los accionistas asumiendo riesgos, pero fallan cuando el riesgo no es claramente entendido y efectivamente gestionado. A menudo, los proyectos en la nube son guiados por TI y centrados en la tecnología. Para entregar valor al negocio y minimizar la exposición al riesgo, estas iniciativas deben estar completamente alineadas a las estrategias de negocios. Acuerdos activos y supervisión por parte de la junta o comités relevantes en la gestión de riesgos son prerequisitos esenciales para el éxito de programas en la nube.

En su publicación de Junio de 2012, Gestión de Riesgo Empresarial para la Computación en la Nube³, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) enfatizó que la gestión del riesgo en la nube comienza en el más alto nivel de la organización. El documento declaraba “La computación en la nube debería ser considerada en las actividades superiores de gobierno y visto como un tema que permite la discusión y requerimientos por parte de la junta de una organización”. La junta debe determinar qué servicios de la nube son apropiados para el negocio, basado en las metas de la empresa, su apetito y tolerancia al riesgo. Pero este no es siempre el caso.

La Autoridad Prudencial y Regulatoria Australiana (APRA), en un documento sobre información en la nube publicado en Julio de 2015⁴, elevó una preocupación de que la emisión de reportes a través de la nube por parte de entidades reguladas a las juntas de directores (BoDs) se enfocaban principalmente en los beneficios, mientras fallaban en proveer una visibilidad adecuada de riesgo asociado. Una gestión efectiva de riesgos en la nube requiere que la junta desafíe qué tan adecuadas son las medidas ante el riesgo frente al apetito y la estrategia de negocios. Para lograr esto, se debe proveer la información pertinente, incluyendo:

• Propuesta de valor en la nube, trazabilidad hacia la estrategia de negocios y como serán medidos los beneficios
• Riesgo en los negocios a un alto nivel y estrategias de tratamiento, por ejemplo: seguridad de los datos, leyes de privacidad, ubicación de los datos, resiliencia del negocio, cumplimiento regulatorio
• Modelo de despliegue de la nube propuesto: público, privado o híbrido e implicaciones de riesgo asociado
• Modelo de entrega de servicios en la nube planeado: Software como Servicio (SaaS), Plataforma como Servicio (PaaS) o Infraestructura como Servicio (IaaS), e implicaciones de riesgo asociado
• Criterio de selección del proveedor de servicios, incluyendo viabilidad financiera, estabilidad operacional y capacidades de ciberseguridad
• Escenarios realistas de disrupción de negocios y planes de recuperación
• Acuerdos de nivel de servicios (SLAs), respuesta a incidentes y gobierno operacional
• Aseguramiento de terceros, pruebas de penetración, evaluación de vulnerabilidades y cláusulas de auditabilidad

Las iniciativas en torno a la nube deben comenzar identificando problemas de negocios y objetivos estratégicos y luego construir soluciones para atender necesidades específicas del negocio. Comunicación continua clara del valor de la nube y el enfoque de la gestión de riesgos es crítica para la aceptación por el negocio a los programas basados en la nube y logrando su éxito máximo.

Protegiendo Información de Alto Valor

Gestionar el riesgo cibernético sin restringir la innovación y agilidad en el negocio es una imperativa crítica del negocio. Aunque los proveedores de la nube continúan haciendo grandes inversiones en sus capacidades de seguridad, la preocupación por la seguridad de los datos y el cumplimiento regulatorio permanece como una de las barreras de la adopción de la nube. En el 2015, la Unidad de Inteligencia Economista, en colaboración con IBM, condujo un estudio global de madurez en la nube. El resultado de esta investigación multi-fase, que reflejo las perspectivas de 784 interesados (incluyendo miembros de juntas, Directores Ejecutivos (CEOs), Directores Financieros (CFO), Directores de la Información (CIOs), y otros ejecutivos de nivel C) globalmente, reveló que la seguridad de los datos como la influencia negativa de más alto nivel ante la adopción de la nube en los últimos tres años, demostrando que algunos ejecutivos de negocios aún no están convencidos acerca de la seguridad en la nube. Estas preocupaciones aumentan más adelante por nuevos riesgos presentados por la nube pública, en particular⁵:

• Multitenencia—La capacidad computacional, almacenamiento y redes se comparten entre muchos clientes de la nube. Mientras que este modelo permite a los proveedores de la nube alcanzar economías de escala y costos de servicio más bajos, hay un riesgo creciente de que una vulnerabilidad o error en la configuración pueda generar un compromiso de seguridad que afecte a muchos clientes.
• Responsabilidades compartidas—La migración de aplicaciones de negocio a la nube crea un modelo de responsabilidades compartidas entre los clientes de la nube y los proveedores de servicios. Los clientes le transfieren algunas responsabilidades clave al proveedor de servicios, por ejemplo, acceso físico y gestión de infraestructura.

La Agencia de la Unión Europea para Redes y Seguridad de la Información (ENISA) establece que las concentraciones masivas de recursos y datos en la nube presentan un objetivo más atractivo para los criminales cibernéticos⁶. Más aún, violaciones a la seguridad de la nube implican una cobertura mediática más amplia, lo que amplifica el impacto de estos incidentes. La cobertura mediática extensiva de la violación de la Nube de Apple en el 2014, que expuso fotografías de celebridades, enfatiza este punto.

Hay tres controles críticos de seguridad para proteger la información de alto valor en la nube: clasificación de la información, encriptación y gestión de accesos privilegiados.

Identificar Activos de Información de Alto Valor
La clasificación de datos es un paso vital hacia la construcción de un ambiente de control efectivo para la seguridad en la nube. Los dueños de la información deben ser convocados para evaluar y clasificar los activos de información basado en los riesgos del negocio. Esto elimina el gasto innecesario en seguridad, en la medida en que más recursos son invertidos en proteger las “joyas de la corona”.

La criticidad de datos difiere de una organización a otra, dependiendo del sector de la industria a la que pertenecen o los objetos corporativos. Las compañías aseguradoras, por ejemplo, pueden estar preocupadas por la privacidad de la información de salud de sus clientes, mientras las firmas enfocadas a la alta tecnología pueden estar preocupadas por la seguridad de sus planes de desarrollo de productos.

La información que puede ser de alto valor para criminales cibernéticos también debe ser considerada. En Septiembre de 2014, un artículo de Reuters declaró que la información médica hoy es 10 veces más valiosa que los números de tarjetas de crédito a la venta en el mercado negro, y está siendo atacada cada vez más por criminales cibernéticos⁷. Otra información de alto valor que está siendo atacada por los criminales cibernéticos incluye planes de negocios, modelos de asignación de precios, acuerdos de cooperación, correos electrónicos a ejecutivos de negocios y registros financieros personales.

Como se ilustra en la figura 1, clasificar la información permite a los líderes del negocio tomar decisiones informadas en relación con cuánto riesgo quieren asumir al momento de buscar la innovación. Por ejemplo, una organización puede no tener apetito para mantener información altamente confidencial en sistemas de nube pública, pero si puede tener el apetito de utilizar sistemas de nube pública para mantener información pública.

Información de Alto Valor Aislada
Una vez que los datos han sido clasificados, las empresas reguladas pueden considerar utilizar una nube privada para aislar las aplicaciones de alto valor. Las nubes privadas, donde un negocio es dueño y administra su propio entorno virtual, ofrece una oportunidad para darse cuenta de los beneficios de la nube junto con eliminar la multitenencia y las preocupaciones de responsabilidad compartida. Previamente, algunas organizaciones evitaban las nubes privadas debido a los altos costos de montaje. El Estado del Mercado 2016—Reporte de Nube Empresarial de Verizon, reveló que el costo de la nube privada está disminuyendo, proveyendo a las organizaciones ambientes más seguros, costo-efectivos para mantener sistemas de alto valor.⁸

Encriptar Datos Sensibles
De acuerdo con la publicación sobre encriptación en la nube de Septiembre de 2012, de la CSA, Guía de Implementación de SecaaS, Categoría 8⁹, la encriptación y la protección de las llaves de encriptación se encuentran entre los controles más efectivos de protección de datos. La información de alto valor debe ser encriptada al ser mantenida en la nube para minimizar el riesgo de divulgación no autorizada. Una gestión robusta de las llaves es esencial porque la pérdida de las llaves de encriptación puede resultar en pérdida de datos. Las siguientes recomendaciones deben ser consideradas al implementar el cifrado en la nube:

• Implementar controles ajustados para proteger las llaves criptográficas, incluyendo una política de gestión del ciclo de vida de las llaves. NIST Publicación Especial 800-57¹⁰ partes 1, 2 y 3 proveen guías más detalladas para la gestión de las llaves de cifrado.
• Asegurar que el servicio de encriptación de la nube incluye la recuperación de desastres y capacidades de recuperación para minimizar el impacto al negocio si las llaves se pierden.
• Definir responsabilidades para gestionar las llaves de encriptación. Mantener la gestión de llaves internamente, para mitigar fugas externas del proveedor de servicios o compromiso malicioso por los usuarios privilegiados del proveedor de servicios.
• Probar para confirmar que la encriptación de bases de datos no tendrá un impacto adverso en el rendimiento de las aplicaciones.
• Implementar controles para purgar los datos una vez eliminados del almacenamiento en la nube.
• Complementar el cifrado de datos con protecciones de integridad como las firmas digitales para mantener la autenticidad de los datos.

Desplegar Controles Fuertes Sobre el Acceso de Altos Privilegios
Gestionar los accesos privilegiados es crítico para asegurar datos en la nube. Las cuentas privilegiadas permanecen como un vector ideal de ataque para los criminales cibernéticos porque ellos proveen acceso ilimitado a aplicaciones y datos de alto valor. Una publicación de CSA, de Febrero de 2016, Los Doce Traicioneros: Principales Amenazas de la Computación en la Nube en 2016¹¹, identificó el secuestro de cuentas, usualmente con credenciales robadas, como una de las amenazas principales de la computación en la nube. La naturaleza dinámica de la computación en la nube amplifica el riesgo existente de usuarios privilegiados de variadas maneras, incluyendo:

• Algunos roles de acceso a la nube son de riesgo extremadamente alto y tienen el potencial para detener ambientes completos en la nube.
• El modelo de responsabilidades compartidas implica que los administradores de servicios en la nube pueden tener acceso privilegiado a la infraestructura, aplicaciones o bases de datos de una organización, dependiendo del modelo de entrega de servicios. Esto aumenta la superficie de ataque.
• La provisión rápida y sin ataduras de nuevos servidores virtuales rápidamente introduce nuevas cuentas privilegiadas a un ambiente. Estas cuentas a menudo son creadas con contraseñas por omisión, que son un objetivo fácil para que los criminales cibernéticos exploten.
• Los administradores de la nube pueden proveer nuevas instancias de servidores virtuales con el clic de un botón. SI la autorización relevante es eludida, eso puede resultar en gastos no planificados, debilitando el caso de negocios de la nube de una organización

Los siguientes controles en personas, procesos y tecnología pueden ayudar a disminuir esta exposición:

• Confirmar la efectividad de los controles de accesos privilegiados de un proveedor de servicios en la nube específicamente contratando un supervisor de los administradores de sistemas.
• Implementar contraseñas fuertes y automatizar la provisión de políticas de seguridad.
• Forzar la autenticación de dos factores y la regla de dos personas sobre actividades de alto impacto.
• Generar registros de auditoría y monitorear el acceso a las cuentas privilegiadas, incluyendo la ejecución de comandos de alto impacto.
• Retener credenciales de cuentas de superusuario para cuentas que otorguen acceso total a todos los recursos de la nube.
• Regularmente rotar las contraseñas para las cuentas de servicio, utilizando una solución automatizada de gestión de contraseñas.

Un gran número de proveedores de servicio tienen guías específicas sobre cómo pueden implementarse estos controles al interior de sus ambientes. Por ejemplo, el Blog de Seguridad de los Servicios Web de Amazon (AWS)¹² provee una guía detallada para gestionar las cuentas privilegiadas al interior de AWS.

Minimizando la Dependencia de los Proveedores de Servicio en la Nubes

Mejorar la disponibilidad de servicios sigue siendo el principal catalizador para la adopción de la nube. Las soluciones en la nube bien diseñadas pueden aumentar significativamente la resiliencia del negocio en la misma medida en que los proveedores de servicios continúan mejorando la resiliencia de las plataformas a través de la clusterización, replicación y la oferta de alta disponibilidad.

A pesar de estas mejoras, aún ocurren apagones que impactan a variadas ubicaciones de servicios en la nube. Si no se planifica adecuadamente, estos eventos pueden resultar en disrupciones mayores en la operación y en la cadena de suministros.

La buena noticia es que ahora están disponibles estadísticas confiables para evaluar la confiabilidad de los servicios en la nube en distintos proveedores. Por ejemplo, Cloud Harmony, una firma de terceros que monitorean a los proveedores de servicios en la nube, provee una comparación independiente de los servicios en la nube basado en su disponibilidad de servicios.

Las siguientes recomendaciones ayudarán a los negocios a mitigar estos eventos poco probables pero de alto impacto:

• Revisar el plan de continuidad del negocio del proveedor de servicios en la nube, para determinar si cumplen con los objetivos de recuperación de la organización.
• Utilizar múltiples proveedores de servicios en la nube para reducir el riesgo de encadenamiento al proveedor.
• Implementar alta disponibilidad en la arquitectura de la nube para minimizar la interrupción de servicios.
• Complementar la arquitectura resiliente con respaldos regulares y procedimientos de restauración, y almacenar los datos de respaldo fuera de las dependencias del proveedor de la nube.
• Actualizar y probar el plan de gestión de crisis de la organización.
• Simular la recuperación de diferentes escenarios de desastre, incluyendo la recuperación de aplicaciones individuales, ambientes virtuales y el proveedor de servicios en la nube completo.

De vez en cuando, las organizaciones dan por terminado acuerdos de externalización de funciones—los acuerdos en la nube no son una excepción. Factores como fallar en cumplir los requerimientos de desempeño, fallas de seguridad, o quiebra pueden llevar a la terminación de contratos. Para mantener la continuidad del negocio y facilitar transiciones más suaves, las organizaciones deben formular estrategias de salida o planes de contingencia para migrar registros críticos a una solución alternativa, en la nube o fuera de ella.

Conclusión

Cuando se planifica, implementa y gobierna correctamente, la nube puede ser un gran catalizador para la mejora de los procesos y un gran conductor de la transformación de los negocios. Los proveedores de servicios en la nube trabajan incansablemente para mejorar sus capacidades de seguridad y resiliencia. En realidad, los sistemas in situ pueden no ser más seguros que la nube. El riesgo de seguridad y confiabilidad puede no superar la pérdida de la oportunidad de transformar una organización con el uso estratégico de la nube. Las iniciativas en la nube se construyen sobre la estrategia empresarial, acoplado con procesos robustos de gestión de riesgos, tienen el potencial de acelerar la innovación en los negocios, transformar la experiencia del cliente y mejorar la ventaja competitiva.

Agradecimientos

El autor quisiera agradecer a Gina Francis, Innocent Ndoda, Kathleen Lo, Andrew Strong y Joe Chidwala por los valiosos comentarios que ayudaron a mejorar este artículo.

Notas Finales

¹ ISACA, Innovation Insights: Top Digital Trends That Affect Strategy, USA, 2015
² IDC, “Worldwide Public Cloud Services Spending Forecast to Double by 2019, According to IDC,” USA, 21 January 2016, www.idc.com/getdoc.jsp?containerId=prUS40960516
³ Chan, W.; E. Leung; H. Pili; Enterprise Risk Management for Cloud Computing, Committee of Sponsoring Organizations of the Treadway Commission, June 2012, www.coso.org/documents/Cloud%20Computing%20Thought%20Paper.pdf
⁴ Australian Prudential Regulation Authority, Outsourcing Involving Shared Computing Services (Including Cloud), 6 July 2015, www.apra.gov.au/AboutAPRA/Documents/Information-Paper-Outsourcing-Involving-Shared-Computing-Services.pdf
⁵ The Economist Intelligence Unit, Mapping the Cloud Maturity Curve, IBM, 2015
⁶ ENISA, Cloud Computing—Benefits, Risks and Recommendations for Information Security, Greece, December 2012
⁷ Humer, C.; J. Finkel; ‘Your Medical Record Is Worth More to Hackers Than Your Credit Card’, Reuters, 24 September 2014, www.reuters.com/article/us-cybersecurity-hospitals-idUSKCN0HJ21I20140924
⁸ Verizon, State of the Market: Enterprise Cloud 2016, 2016, www.verizonenterprise.com/enterprise-cloud-report/
⁹ Cloud Security Alliance, SecaaS Implementation Guidance, Category 8: Encryption, September 2012, https://downloads.cloudsecurityalliance.org/initiatives/secaas/SecaaS_Cat_8_Encryption_Implementation_Guidance.pdf
¹⁰ National Institute of Standards and Technology, Special Publication 800-57, USA, http://csrc.nist.gov/publications/PubsSPs.html#SP800
¹¹ Cloud Security Alliance, The Treacherous Twelve—Cloud Computing Top Threats in 2016, USA, 2016, https://downloads.cloudsecurityalliance.org/assets/research/top-threats/Treacherous-12_Cloud-Computing_Top-Threats.pdf
¹² Amazon Web Services, AWS Official Blog, http://aws.amazon.com/blogs/aws/