Scott Chasin, Director de Tecnología de McAfee para Contenido e Informática en la Nube, aporta en este artículo su visión personal sobre el CES (Consumer Electronic Show) celebrado recientemente en Las Vegas y da su óptica sobre los elementos que observó en general, la predominancia del cloud computing y sobre su especialidad en particular: la seguridad.
Aunque la asistencia ha disminuido este año si se compara con los anteriores, la feria sigue atrayendo a más de 125.000 visitantes y ha cumplido con las expectativas. He visto a robots montando en bici. He podido ver la televisión en 3D sin tener que ponerme las fastidiosas gafas. Quedé impresionado por un lavavajillas “inteligente” que avisa por correo electrónico cuando los platos están limpios. Aparentemente, hay quienes se interesan por este tipo de información.
Entre la expectación y el entusiasmo que despiertan estos dispositivos futuristas, surgieron dos asuntos de amplia trascendencia. En primer lugar, la explosión de los dispositivos móviles. Al menos 80 nuevas tabletas se presentaron en la feria, cada una de las cuales prometía ser superior a la célebre iPad de Apple a un precio más asequible. El segundo gran tema de conversación fue la red 4G de próxima generación de Verizon y la posibilidad de conectarse a la nube de Internet. No se hablaba de otra cosa.
Más tarde, reflexionaba sobre todo lo que había visto en CES mientras intentaba iniciar una sesión en la red de McAfee a través de una conexión VPN segura. Tras intentarlo varias veces, me di por vencido. Eso me llevó a hacerme la siguiente pregunta: ¿Cómo es posible que, cuando se trata de tecnología, seamos consumidores tan activos y, al mismo tiempo, empleados tan ineficaces?.
La realidad es que la informática en la nube (o computación en la nube) y la consumerización de las TI están revolucionando nuestro mundo. Como profesionales de TI o como propietarios de una empresa, no podemos sino aceptar este hecho. El perímetro de la red tal y como lo conocemos ha desaparecido. No es que esté en proceso de desaparición, sencillamente ya no existe. De manera que necesitamos adaptar y adoptar estas nuevas tecnologías, o bien aceptar el hecho de que nuestros competidores lo harán y nos quedaremos atrasados. Algunos ya lo han hecho.
Naturalmente, la informática en la nube conlleva sus riesgos. Los hackers ya han tomado nota del interés y la demanda por la informática en la nube. Y no debería sorprender a nadie que ese sea su objetivo principal en el futuro. Después de todo, los ciberdelincuentes van donde va la información. Si hay información que robar, hay dinero que ganar. Por lo tanto, las amenazas seguirán inevitablemente la migración de la información y de las aplicaciones a la nube.
Crear o destruir
Como todas las nuevas tecnologías, la nube comporta riesgos y ventajas. Como dijo el Presidente de Estados Unidos, Barack Obama, en un discurso reciente, “Las mismas tecnologías que nos permiten crear y construir puede servir también a los que buscan dañar y destruir”. Esto no puede ser más cierto en el caso de la informática en la nube. De hecho, y aunque resulta difícil de demostrar, muchos de mis colegas de seguridad especulan con la idea de que el mayor usuario de la informática en la nube del mundo no es Google, Microsoft, ni siquiera Amazon, sino la red de bots Conficker.
A pesar de ello, los que calibran los riesgos potenciales de la nube olvidan que no solo es útil para incrementar la capacidad informática de una empresa, sino también para aumentar su seguridad y protección. Si se utiliza correctamente, la nube puede contribuir a reducir los costos de seguridad y a reforzar el nivel de protección global de la empresa.
El problema con la nube es que es un concepto abstracto con distintas definiciones. Para simplificar el tema y ayudar a los usuarios a entender cómo pueden aprovechar la nube para la seguridad, desglosaré las ventajas en tres categorías básicas:
• Reducción de costos de TI mediante el uso de soluciones de seguridad a través de la nube, utilizando el modelo de software como servicio (SaaS, software-as-a-service)
• Mejora de la protección contra amenazas gracias al uso de soluciones de seguridad que aprovechan las redes y tecnologías de información global sobre amenazas para recopilar y correlacionar datos sobre amenazas en tiempo real en la nube
• Aumento de la protección de datos y aplicaciones almacenadas en nubes públicas o privadas con soluciones de seguridad diseñadas específicamente para la nube.
Aunque estos tres puntos no cubren todos los aspectos de la seguridad en la nube, este sencillo marco ofrece un buen punto de partida para determinar cómo aprovechar el potencial de la informática en la nube para reforzar la seguridad. Además, con frecuencia ofrecen una vía sistemática para integrar la seguridad de la nube en su infraestructura de seguridad actual.
Seguridad desde la nube
Las soluciones de seguridad SaaS son probablemente las más habituales y las más fáciles de implementar, ya que ya llevan años en el mercado. En lugar de comprar y gestionar hardware o software de seguridad, las empresas se pueden suscribir a servicios de seguridad SaaS facturados por uso para proteger todos los componentes de la infraestructura: correo electrónico, el entorno web y los endpoints. La ventaja más evidente de la seguridad SaaS es la eliminación de la alta inversión de capital y de los costos corrientes de administración. El ahorro puede ser importante. Según un reciente estudio de Tolly Group, las empresas que empleaban una solución de seguridad SaaS, en lugar de una basada en hardware o software tradicional, ahorraban hasta un 50%. Además, las soluciones SaaS se suelen considerar como un gasto de explotación, y no como una inversión en capital, lo que facilita la elaboración de presupuestos con partidas más simples y previsibles.
Además de las ventajas asociadas al ahorro de costos, las soluciones de seguridad SaaS también pueden ser más eficaces. En un estudio realizado por el Aberdeen Group en 2010 se mostraba cómo las empresas que utilizaban una solución SaaS para la protección del correo electrónico sufrían un 47% menos de incidentes de spam en un período de 12 meses. Asimismo, las empresas que implementaban una solución SaaS para la protección web también comunicaron un 58% menos de incidentes de malware en el mismo período. Las soluciones basadas en hardware y SaaS utilizan generalmente las mismas tecnologías básicas, por lo que la diferencia en la protección se atribuye a la naturaleza gestionada de las soluciones SaaS. El proveedor es el responsable de administrar las actualizaciones y garantizar el funcionamiento de la solución SaaS con el máximo rendimiento y de manera ininterrumpida.
La principal dificultad de la seguridad SaaS es la elección del proveedor adecuado. Muchos proveedores ofrecen una sola solución de seguridad SaaS autónoma. Otros ofrecen uno o dos servicios combinados. La solución ideal para los clientes es una amplia gama de soluciones de seguridad SaaS integradas, que aseguren una protección completa: correo electrónico, entorno web, dispositivos móviles y endpoints. La experiencia también es fundamental. Los acuerdos de nivel de servicio (SLA ) son estupendos, pero al final, son solo promesas, no garantías. No deben nunca utilizarse para sustituir la verificación de los antecedentes, la reputación y el historial de un proveedor
Protección mejor y más rápida
Otra forma de incrementar fácilmente su protección consiste en utilizar las soluciones que aprovechan la nube para recopilar y correlacionar datos de amenazas. Al final, las soluciones de seguridad solo pueden interceptar lo que intentan detener. En otras palabras, cuantas más amenazas de seguridad detecte e identifique un proveedor, más probabilidades tendrá de evitar infecciones en su red.
La velocidad también cuenta. En el pasado, los proveedores de seguridad tardaban normalmente entre 48 y 72 horas en identificar una nueva amenaza, escribir el archivo de firmas para neutralizarla y distribuir dicho archivo a los clientes. Es más efectivo aprovechar la nube para reducir este tiempo transformando los endpoints de los clientes (firewalls, ordenadores portátiles, dispositivos móviles, etc.) en puestos de escucha. Cada uno de estos dispositivos puede informar al proveedor sobre actividades inusuales asociadas a amenazas para que éste analice los ataques en tiempo real. Lo que llevaba de 48 a 72 horas, se puede realizar ahora en menos de 15 minutos.
En algunos casos, gracias a la visibilidad que proporciona la nube, un proveedor puede predecir amenazas a gran escala antes de que se produzcan. El ataque Operación Aurora, dirigido el año pasado contra empresas internacionales y gobiernos importantes, fue frustrado por un proveedor antes de que se lanzara. Como resultado, ninguno de sus clientes resultó afectado por la operación.
Aumento de la protección de datos y aplicaciones
A pesar del enorme interés en la informática en la nube, la seguridad sigue siendo una de las grandes preocupaciones de los clientes. Según IDC, casi 9 de cada 10 empresas consideran los "problemas de seguridad" como el principal obstáculo para la adopción de servicios a través de Internet. No es de extrañar; almacenar información o ejecutar aplicaciones en la nube es como caminar a tientas por una habitación. La visibilidad de lo que ocurre con sus datos o sus aplicaciones (o sobre quién accede a ellos) se reduce enormemente, cuando no desaparece por completo.
La clave reside en la transparencia y la validación. Pero el reto es cómo conseguirlas. La mayoría de los proveedores de servicios en la nube aseguran a sus clientes que hacen todo lo necesario para proteger sus datos. Afirman que su reputación está en juego si se pierden o ponen en peligro sus datos. Aunque esta afirmación parece lógica, no tranquilizaría ni al cliente más confiado.
Los proveedores de servicios en la nube se afanan por demostrar las certificaciones y auditorías de seguridad que deben superar cada año. Aunque van en la buena dirección, muy rara vez son lo suficientemente exhaustivas. Como todos sabemos, una auditoría o una certificación ilustra la situación en un momento puntual. Simplemente porque un proveedor pasara una auditoría hace dos o tres meses, no significa que no sea vulnerable a las amenazas en la actualidad. Los proveedores de seguridad deben ayudar a cubrir el vacío entre los proveedores de servicios en la nube y las empresas para que haya más transparencia. Las organizaciones internacionales, como Cloud Security Alliance, están trabajando para definir los estándares del sector y las mejores prácticas para disfrutar de la seguridad de la informática en la nube.
Primeros pasos
En ocasiones, la principal dificultad para utilizar la nube por motivos de seguridad es ponerse a ello. Afortunadamente, la adopción de la seguridad a través de la nube puede ser progresiva. Muchas empresas empiezan por las soluciones más sencillas, como un servicio SaaS de protección del correo electrónico o del entorno web. De esta forma, pueden familiarizase con este tipo de soluciones y superar cualquier reticencia, lógica y natural, que puedan tener respecto al uso de las nuevas tecnologías.
Si bien es cierto que consideramos que la informática en la nube es ideal para el progreso de una empresa, yo insisto en que se debe considerar también como una forma excelente de mejorar la seguridad. Desde luego, eso es lo que harán sus competidores.
