Desafíos del Cloud Computing a la seguridad informática

Más allá de ser una forma distinta de proveer servicios informáticos, más allá de todos los cambios que propone con esquemas y costos distintos, Cloud Computing presenta un desafío a la seguridad informática que se puede plantear con el siguiente interrogante: ¿Dónde está el perímetro? invita a reflexionar Miguel Delle Donne (foto), director de risk consulting de KPMG en Argentina.

Desde los inicios de la computación el concepto de perímetro informático, como delimitante para establecer los controles de seguridad informática, ha ido evolucionando. En los albores el perímetro eran las paredes del centro de procesamiento de datos que delimitaban el lugar donde estaban la computadora, los discos, las impresoras, lectoras de tarjetas, las unidades de cinta y los operadores. De la fortaleza de esas paredes dependía la seguridad física.

Luego, esto fue progresando y se aplicó al espacio que ocupaban quienes utilizaban la red interna. Más adelante, se llegó al perímetro informático de la empresa, formado por una serie de dispositivos que permiten, desde el punto de vista lógico, delimitar una compañía y controlar su tráfico entrante y saliente. Es así que cada vez que hablamos de una compañía nos acostumbramos a graficarla, por ejemplo, indicando la nube de Internet, el router de borde, los firewalls, las zonas desmilitarizadas (DMZ), más firewalls, routers, switches, la red interna, etc.

En los tiempos actuales el perímetro siguió evolucionando, también con los dispositivos de computación móvil, arribando a la idea de que cada persona que los utiliza pasa a ser parte del perímetro de una empresa. Así, no se trata sólo del perímetro lógico sino también se adicionan las personas que utilizan los servicios de computación móvil.

Ahora, con Cloud Computing, tengo parte del procesamiento y/o de la información de la compañía en la nube de Internet, por ende, pasamos a tener partes del perímetro de la compañía en Internet. Entonces, ¿cómo se visualiza y se explica el perímetro de seguridad de una empresa que está en Cloud Computing?

Una posibilidad sería graficar la nube de Internet dentro de la red interna de la empresa, o bien también podría graficar la red interna de la empresa en la nube de Internet, lo cual, desde el punto de vista de la seguridad informática, plantea una serie de desafíos y amenazas.

Planteado en estos términos, no es erróneo pensar que vamos a tener tantos perímetros de seguridad adicionales en Internet como procesos o datos separados se veneren como producto de la actividad de la empresa.

Estos perímetros, en general, están fuera del alcance de la compañía y deberían ser asegurados por el proveedor del servicio. Es decir, una compañía debería tener la seguridad de que sólo acceden a los procesos o a los datos quienes están autorizados.

Dado que el tema de seguridad en Cloud Computing es una de las cuestiones importantes y es muy probable que paulatinamente se vayan superando los inconvenientes que hoy se plantean, sería primordial ir evaluando las siguientes consideraciones a los efectos de poder acceder a esta forma de comercialización de los servicios informáticos:

•          Dado que las organizaciones de servicios de Cloud Computing pueden almacenar los datos de la compañía en los centros de procesamiento de datos ubicados en diversas jurisdicciones de todo el mundo,  ¿ha considerado el cumplimiento de las leyes locales y reglamentos que restringen la transferencia de información a través de las fronteras? ¿Los datos pueden ser recuperados en forma oportuna?

•          ¿El personal de TI tiene el conjunto de habilidades necesarias para gestionar la aplicación utilizando Cloud Computing? ¿No sería bueno comenzar algún proyecto de Cloud Computing sobre un proceso no crítico, para ir ganado experiencia?

•          ¿Ha considerado la compañía los controles sobre la migración de datos a un entorno de Cloud Computing? ¿Y el camino inverso?

•          ¿Ha considerado las medidas de seguridad físicas existentes en los lugares donde se alojarán los datos?

•          ¿El acceso a la aplicación basada en Cloud Computing se integrará con los sistemas internos y, por lo tanto, también los controles de acceso lógico o serán parte de la lógica de acceso al proveedor de Cloud Computing?

•          ¿Qué cambios se harán con el acceso a los programas y los datos de los controles, tanto a nivel interno como en el proveedor de servicios? Por ejemplo, ¿se concederá acceso de superusuario?, ¿ se les proporcionará el acceso a terceros?, ¿cómo se administrará el acceso de los usuarios?, ¿cómo se realizará la el descubrimiento, evaluación y presentación de informes de violaciones de seguridad?

•          ¿Qué cambios realizarán los controles de cambios de programas? Por ejemplo, ¿un portal web será creado para permitir a los programadores de la compañía realizar cambios en los programas?

•          ¿Existe un informe ISAE 3402 (SOC1) con el alcance adecuado disponible? Si no es así, ¿se tomarán medidas para que el equipo de trabajo de auditoría pueda obtener de otro modo las evidencias suficientes?

La respuesta a temas como los indicados precedentemente ayudarán a que una empresa pueda ingresar al mundo de Cloud Computing minimizando sus riesgos.