| Artículos | 01 FEB 2009

Seguridad en la nube

Tags: Histórico
Migración hacia servicios de seguridad gestionados
Gonzalo Álvarez y Oscar Delgado.
"Muchas empresas están comenzando a migrar algunas de sus necesidades de computación a la nube. Tímidamente, también se están produciendo movimientos hacia una seguridad en la nube. La idea sería contratar los servicios de seguridad con el proveedor de servicios de Internet, de manera que no sea necesario instalar costosas infraestructuras de seguridad en casa. Del mismo modo que cuando abrimos el grifo esperamos agua limpia de impurezas y bacterias, el objetivo es que cuando nos conectemos obtengamos tráfico libre de ataques.

Según la mitología griega, algunos héroes fueron elevados a los cielos en premio a sus hazañas y nos observan hoy desde sus constelaciones en el cielo nocturno. Igualmente, cada día son más las empresas que están migrando sus soluciones de computación desde sus equipos servidores y de sobremesa hasta una red de servicios distribuidos y accesibles a través de Internet, conocida como la nube. La filosofía detrás de esta migración consiste en comprar el software no como producto sino como servicio. Gracias a esta externalización, los clientes pueden acceder a los servicios de computación sin necesidad de instalar software en sus equipos, ni de configurarlo, ni de mantenerlo. Entre los ejemplos más llamativos destacan Google Docs, que ofrece una suite ofimática de limitadas prestaciones, pero accesible en cualquier momento desde cualquier equipo con conexión a Internet; Amazon Web Services, que ofrece almacenamiento de datos y capacidad de cálculo a sus clientes; la infraestructura de computación Blue Cloud en la que está trabajando IBM; o App Engine de Google. O incluso los nuevos sistemas operativos en la nube, como eyeOS, que funciona a través del navegador, o Adobe AIR, que simula un escritorio de un ordenador, ¡pero en la nube!

Seguridad en la nube
Esta tendencia creciente a mover las aplicaciones hacia la nube y fuera de la empresa encuentra, asimismo, su equivalente en el mundo de la seguridad, aunque todavía de un modo muy incipiente. En este caso, la seguridad en la nube consistiría en obtener de un proveedor servicios de seguridad sin necesidad de instalar infraestructuras dedicadas en los propios locales. Por ejemplo, podrían desplazarse los servicios de seguridad un escalón en la jerarquía hasta los proveedores de servicio de Internet (Internet Service Provider o ISP). De esta forma, el ISP podría proporcionar a sus clientes un servicio de antivirus, de forma que el tráfico que reciban, tanto de correo electrónico como de navegación web, haya sido filtrado previamente por el ISP. Asimismo, sería posible también un servicio de eliminación de spam, la gran plaga de nuestros días, que limpiase el correo recibido de indeseables referencias a métodos para hacerse rico y liberase, de paso, de esta carga a servidores y administradores. Incluso podría el ISP encargarse de filtrar los contenidos que reciben sus clientes, eliminando páginas de contenido inadecuado, como sexo o violencia.
Servicios como los mencionados son ya una realidad hoy en día, siendo quizás el exponente más claro los proporcionados por la empresa norteamericana Postini, recientemente adquirida por Google, los cuales pueden consultarse en www.google.com/a/security. El funcionamiento es, en teoría, sencillo: basta con cambiar los registros MX, correspondientes a los servidores de correo, para que apunten a sus centros de datos. Estos, a su vez, tratan y filtran el flujo de datos y, acto seguido, lo devuelven al cliente.
Sin embargo, hasta el momento, los servicios de seguridad en la nube existentes se detienen aquí. Es decir, quedan sin cubrir otros aspectos muy importantes de la seguridad, como la gestión de cortafuegos, de los sistemas de detección de intrusión o el tratamiento adecuado de los logs generados por aplicaciones y servidores.
Pero, por supuesto, este nicho de mercado no está desierto, sino cubierto por otro tipo de servicios, ofertados por los denominados Proveedores de Servicios de Seguridad Gestionados (Managed Security Service Provider o MSSP) que, aunque estrictamente hablando no ofrecen servicios de seguridad en la nube, desempeñan una labor equivalente a día de hoy.
Estos MSSP gestionan, en nombre del cliente, los servicios de seguridad tradicionales, como cortafuegos perimetrales, sistemas IDS e IPS, gestión y monitorización de vulnerabilidades o servicio de respuesta ante ataques de phishing. Existen, también, otros servicios más exóticos, como gestión de comunicaciones seguras, a través de protocolos de VoIP, copia y restauración de datos o protección frente a ataques de denegación de servicio.
Sin embargo, parece que, todavía, estos servicios no han calado hondo en la comunidad encargada de la gestión de la seguridad TI en nuestro país. Según un estudio realizado durante el 2007 por VeriSign e Infosecurity en Europa, el 86 por ciento de los directores de TI españoles consultados no externalizan su infraestructura global de seguridad TI, pese a que el 68 por ciento reconoce la importancia de contar con un plan de seguridad como parte de una estrategia de externalización.
En cuanto a qué servicios son más propensos a sufrir este proceso, los participantes españoles en el estudio consideraban que los cortafuegos gestionados son lo más importante en su organización (68 por ciento), seguido por la detección de intrusiones (66 por ciento), servicios gestionados de protección contra vulnerabilidades (57 por ciento), alerta ante vulnerabilidades (54 por ciento), conexiones VPN gestionadas (47 por ciento), servicios de análisis forense y de respuesta ante incidentes (45 por ciento) y, finalmente, los servicios de protección del negocio (33 por ciento).

Razones para la externalización
La gestión de la seguridad de la información se está volviendo más compleja día a día: las tecnologías de la información están experimentando un crecimiento espectacular en empresas de todos los tamaños, los activos de información a proteger son más numerosos, aumentan los requisitos de conectividad, movilidad y acceso remoto a la información, a la vez que paralelamente crece el número de amenazas, como consecuencia de una mayor disponibilidad de información sobre vulnerabilidades y de herramientas de ataque automatizadas, así como una democratización del acceso a Internet. En resumen, tanto las aplicaciones como los ataques se encuentran en constante evolución, exponiéndose continuamente nuevas brechas en los sistemas de seguridad.
Por todos estos motivos, cada día resulta más difícil para una organización gestionar la seguridad de su información, especialmente para las de reducida dimensión, que carecen de departamento de TI o está sobrecargado de trabajo. La mayoría de organizaciones no disponen de los recursos humanos y económicos necesarios para implantar, mantener y mejorar a lo largo del tiempo un sistema de seguridad de la información eficaz, que cumpla las expectativas de la organización. Esta tarea requiere personal cualificado, herramientas apropiadas y procesos eficaces, al alcance solamente de quienes se dedican en exclusiva a ello.
Por consiguiente, muchas organizaciones están delegando en un MSSP una variedad de servicios de seguridad para reducir costes y maximizar las inversiones en tecnologías y recursos internos. Al no dedicar recursos propios a la gestión de la segu

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información