| Noticias | 27 ABR 2009

RSA Conference deja al descubierto los agujeros de cloud computing

RSA Conference siempre ha sabido seguir el rastro de las principales tendencias de mercado para someterlas al implacable escrutinio de los expertos en seguridad. Por ello, no es de extrañar que este año la atención de la primera conferencia sobre seguridad del mundo, celebrada en San Francisco del 20 al 24 de abril, se centrara en cloud computing.
Network World

 Sea en busca del ahorro, de una mayor eficiencia o de ambas cosas a la vez, la recesión económica no está impidiendo -más bien todo lo contrario- que los ingresos generados por los servicios basados en cloud computing crezcan a un ritmo acelerado. Y así seguirán haciéndolo durante los próximos años hasta pasar de 56.3000 a 150.000 millones de dólares entre 2009 y 2013, según Gartner. Pero el éxito del modelo no significa que hoy ya tenga respuestas para todo. Como advirtieron todos los participantes en RSA Conference, cloud computing expone a las empresas a nuevos retos de seguridad a los que la industria pronto deberá dar respuesta.

Integridad y pérdida de datos, cumplimiento normativo, fiabilidad, autenticación y gestión del ciclo de vida son algunas de las cuestiones potencialmente peligrosas de los servicios cloud computing que se abordaron en el evento. Todos estos frentes suponen una “verdadera pesadilla de seguridad, que no puede ser tratada de una forma tradicional”, afirmó John Chambers, CEO de Cisco Systems en su intervención en la conferencia. El resto de expertos que acudieron al evento de San Francisco coincidieron en el diagnóstico, recomendando a las empresas que, hasta que se consigan mejores niveles de seguridad en la nube, se esfuercen por gestionar los riesgos, sopesando las ventajas corporativas que el nuevo modelo aporta con sus peligros potenciales. Tampoco faltaron consejos para la industria, animándola a poner el foco en el problema a fin de conseguir cuanto antes las soluciones que ya demanda el mercado. 

 

Llegan las primeras soluciones

Precisamente en RSA Conference se pudieron conocer algunas de esas soluciones y avances en seguridad para cloud computing. Cisco, por ejemplo, anunció un servicio basado en cloud que reúne datos sobre retos de seguridad en Internet y los envía automáticamente a los usuarios en modo push. Un enfoque similar al utilizado por Trend Micro en OfficeScan. En el preanuncio de la solución, la compañía describió como la nueva suite utiliza servidores de su propia red para chequear el estado de archivos, email y contenido web, en vez de confiar en los mecanismos de protección instalados en las sobremesas de los usuarios, que fácilmente pueden quedarse desactualizados. Siguiendo la misma tendencia, el modelo “predictivo” de McAfee se basa en la cloud para compartir “inteligencia” sobre retos entre diferentes tipos de dispositivos de seguridad para identificar y bloquear actividades maliciosas más rápidamente que con los métodos convencionales. Con un modelo distinto, Savvis lanzó un servicio de firewall de aplicaciones web (WAF) que se basa en dispositivos de Imperva o, utilizando la cloud y el modelo SaaS, en réplicas o instances del software que el proveedor tiene instalado entre Internet y su red.

En cualquier caso, aunque cada vez hay más soluciones disponibles, los usuarios presentes en RSA Conference manifestaron su preocupación por el hecho evidente de que las medidas defensivas actuales siguen quedándose por detrás de las vulnerabilidades conocidas de los servicios públicos de cloud computing. Un inconveniente que ha llevado a muchas empresas a organizarse. Durante la conferencia, los dos grupos de usuarios dedicados a la seguridad en cloud hoy existentes -uno europeo y otro estadounidense-, no sólo aprovecharon para airear sus reivindicaciones sino que incluso llegaron a comprometerse a unir fuerzas para presionar a los fabricantes y proveedores a fin de que aceleren sus desarrollos de protección. El grupo de Estados Unidos, Cloud Security Alliance (CSA), utilizó el evento para dar a conocer sus esfuerzos por conseguir la estandarización de la seguridad en cloud, recogidos en el documento "Security Guidance for Critical Areas of Focus in Cloud Computing", donde se detallan 15 áreas clave de desarrollo. CSA pidió además al grupo europeo Jerico Forum su apoyo al documento, ya que, según sus responsables, los objetivos de ambas organizaciones coinciden en lo fundamental. A favor de estos grupos juega la presencia en ellos de grandes corporaciones internacionales que, como eBay e ING, tienen el peso e influencia suficientes para forzar a la industria a colaborar en el desarrollo de nuevas soluciones y estándares de seguridad específicamente diseñadas para el modelo cloud computing.

 

Servicios de certificación, ¿nuevo negocio?

Cuando se trata de asegurarse de que el servicio cloud computing de un proveedor es lo suficientemente segura, la certificación por terceros mediante la aplicación de estándares podría ser una alternativa quizá más cerca de la realidad de lo que pudiera parecer. Así lo estimó Jim Alsop, vicepresidente de operaciones de suministro de servicios de EDS, ahora propiedad de HP, quien dio a conocer el interés de su compañía por ofrecer servicios que monitoricen y, en su caso, certifiquen como seguras las redes de los proveedores de cloud computing, una posibilidad que ya se está considerando internamente. Según Alsop, un medio para la certificación podría ser el marco estándar COBIT, ya utilizado por muchas empresas para garantizar el cumplimiento de los requerimientos de seguridad que marca Sarbanes-Oxley Act. También se podría aplicar una versión adaptada al modelo cloud del Statement on Auditing Standard 70 (SAS 70), un conjunto de reglas de auditoría sobre el procesamiento de transacciones de servicios.

/////Utilizar servicios de cloud computing cada vez resulta más atractivo para las organizaciones pero, como señalaron en RSA Conference varias empresas usuarias, hay que estar preparados para los nuevos retos potenciales que el modelo introduce y poder chequear cómo trabaja internamente la nube. Y eso podría llevar a dedicar a esas tareas a nuevo personal técnico o a externalizarlas, un nuevo coste en cualquier caso que habrá que sopesar con los ahorros y ventajas que conlleva el modelo.

 

Cloud y cumplimiento normativo

Junto a la potencial pérdida de datos, una de las cuestiones que más preocupan a los expertos reunidos en RSA Conference sobre la seguridad en cloud es el cumplimiento normativo. Cada vez son más las regulaciones sectoriales y generales que marcan la actividad de las empresas, cuyo cumplimiento se complica cuando se cuenta con presencia en varios países, cada uno con normas locales propias. Como

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información