¿Qué aspectos de seguridad del cloud debemos considerar antes de contratar?
Desde «la nube» nos «llueven» atractivos servicios: almacenamiento, backup, aplicaciones de oficina, servidores de correo, alojamiento web, gestión de contactos, etc. Con esta oferta irresistible de servicios de «pago por uso», las pymes valoran las ventajas que supone para sus economías el poder evitar importantes inversiones en hardware, software y personal técnico propio.
Por si fuera poco, estos servicios en la nube aportan interesantes oportunidades para el trabajo colaborativo y ubicuo. Los servicios en la nube, cloud, también ofrecen muchas mejoras en la seguridad si los comparamos con la opción tradicional aunque no están exentos de riesgos.
Pero: ¿cómo podemos distinguir entre las distintas opciones del mercado las más seguras?
La reciente Guía de Seguridad en Cloud para pymes de la Agencia Europea de Seguridad (ENISA) propone estas doce preguntas que debemos plantear al proveedor:
- Para el servicio que quiero contratar: ¿cómo gestiona el proveedor los riesgos de seguridad de la información?
Como clientes tendremos que tener una idea de la eficacia de la gestión de la seguridad del proveedor. Una buena respuesta tendría:
– un punto de contacto para incidentes de seguridad;
– la política de seguridad del proveedor y sus dependencias con terceros (si a su vez externalizan);
– los informes de auditoría o sus certificaciones (como ISO27001) que incluyan el servicio en el alcance;
– los informes de cumplimiento o adherencia a estándares de buenas prácticas.
- ¿Qué tareas de seguridad hace el proveedor?, ¿qué tipo de incidentes de seguridad son mitigados por él? (y qué tareas e incidentes permanecen bajo nuestra responsabilidad)
Cada servicio cloud es diferente y también lo será el reparto de responsabilidades y obligaciones en cuanto a la seguridad. Pero en el contrato o en los acuerdos de nivel de servicio (SLA) se debe especificar:
– los activos cuya seguridad vigilará el proveedor y los que vigilaremos nosotros;
– las tareas de seguridad (parcheado, actualización,…) que realizará el proveedor y las que realizaremos nosotros;
– una clasificación de incidentes con sus objetivos de tiempos de respuesta o recuperación;
– las obligaciones contractuales, por ejemplo compensaciones financieras por pérdidas, etc.
- ¿Cómo maneja el proveedor los desastres que afecten a los centros de datos o a las conexiones? y ¿de qué datos se hace backup y dónde?
En el caso que un terremoto, una tormenta eléctrica o una inundación afecten al proveedor tendremos que saber en qué medida el servicio cloud que contratamos permanecerá activo, y cómo y dónde se hacen las copias de seguridad. Para ello tendremos que poder revisar:
– los planes de recuperación ante desastres y continuidad de negocio del proveedor.
– los mecanismos de backup, tolerancia a fallos y tiempos de recuperación;
– si tienen redundancia de sus centros de datos.
- ¿Cómo se garantiza la seguridad del servicio cloud en lo que concierne a disputas administrativas y aspectos legales?
Si el proveedor tuviera algún problema administrativo o legal (bancarrota, embargo, denuncias…) interno o con terceros, como clientes querremos saber qué ocurrirá con nuestros datos y con la continuidad del servicio. Debemos comprobar que aún en estos casos el servicio está garantizado. En los SLA o las cláusulas del contrato se incluirán las que nos garanticen el acceso a los datos y a las copias de seguridad en estos casos.
- ¿Cómo asegura que su personal trabaja con medidas de seguridad?
Si vamos a depositar nuestros datos en sus manos tendremos que comprobar que son responsables. Algunas de las formas que tiene el proveedor de demostrar esto es:
– con certificados profesionales;
– con sus políticas de incorporación y formación de empleados;
– mediante ataques simulados a sus empleados con mecanismos de ingeniería social.
- ¿Cómo se protegen nuestros procesos y datos de los accesos lógicos y físicos no autorizados?
Nuestros datos y procesos estarán en sus instalaciones. El proveedor debería mostrarnos:
– las medidas de control de acceso físico y lógico (roles, privilegios,…) que tiene implantados;
– los mecanismos de autenticación en uso;
– su cumplimiento con criterios de buenas prácticas.
- ¿Cómo asegura la seguridad del software? y ¿qué software permanece bajo nuestra responsabilidad?
Como clientes tendremos que conocer cómo el proveedor garantiza la seguridad del software, en particular solicitaremos:
– informes de escaneos de vulnerabilidades;
– procedimientos de parcheado y actualización;
– auditorías externas del software.
- ¿Cómo se protege el acceso a los interfaces de usuario y de programación de aplicaciones?, y ¿existen medidas adicionales para los perfiles con privilegios y administradores?
Para acceder a los servicios cloud el cliente -y los administradores- utilizan interfaces web. La protección de estos interfaces es clave pues a través de ellos se puede llegar a nuestros datos y procesos. En este caso el proveedor debe proporcionarnos los detalles técnicos de los interfaces y sus protecciones (métodos de autenticación, restricciones de acceso, privilegios,…)
- ¿Cómo podemos monitorizar el servicio, qué registros de actividad (logs) se toman y cómo podemos obtenerlos cuando necesitemos analizar un incidente?
Desde nuestras instalaciones tendremos que poder acceder a cuadros de mandos en los que monitorizar el rendimiento, las alertas y todo lo relativo a la seguridad del servicio. Igualmente en los SLA se podrá incluir una cláusula para poder recuperar los logs en caso de incidente, de manera que podamos saber qué ocurrió y depurar responsabilidades.
- ¿Es el servicio cloud portable e interoperable?
Como nada es para siempre y ante la posibilidad de tener que migrar, en el futuro, a otro proveedor o si quisiéramos integrar el servicio con otras aplicaciones, el proveedor del servicio cloud debería proporcionarnos los detalles técnicos del software instalado los interfaces, formatos de datos, máquinas virtuales y formatos de exportación de datos.
- ¿Cómo gestionan picos de uso y cuáles son los costes asociados?
La elasticidad del uso de los recursos es la base de los servicios cloud en los que se paga por uso. Como clientes querremos saber cómo se va a gestionar los aumentos de demanda (disponibilidad) y cuánto van a costarnos. Los SLA deben incluir cláusulas que lo definan, escenarios y forma de calcular los costes. Podremos solicitar datos del rendimiento de estos mecanismos.
- ¿Qué legislación nacional aplica?
Los proveedores cloud trabajan desde centros de datos fuera de nuestras fronteras lo que pueden ocasionar fricciones entre legislaciones nacionales. Un ejemplo reciente es lo ocurrido con el puerto seguro en materia de protección de datos personales. Como clientes debemos asegurarnos de qué legislación aplica en cada caso. Para ello solicitaremos esta información al proveedor, en particular si recabamos datos personales de nuestros usuarios, tratamos con productos con propiedad intelectual y si realizamos actividades de comercio electrónico.
A pesar de que los proveedores cloud cada vez ofrecen más información sobre la seguridad de sus servicios, es necesario como clientes entender también cuáles son nuestras oportunidades y riesgos cuando contratamos servicios en la nube.
Por su parte la Comisión Europea intenta eliminar las barreras existentes en el marco de la Estrategia europea de cloud computing con el objetivo de que las pymes adopten el cloud aprovechando las ventajas que le ofrece pero con seguridad.
¿Ha pasado tu proveedor cloud este examen? Si no, no te preocupes puesto que desde Grupo Adaptalia le asesoramos en todo lo que a protección de datos se refiere.
Fuente: Incibe