Cloud computing, el análisis de riesgos y los “servicios dinámicos” de seguridad

A estas alturas todos estaremos de acuerdo en que nos enfrentamos a cambios singulares en la forma de entender la gestión de las infraestructuras TIC. La irrupción de los servicios de cloud computing, y con ellos la IAAS “Infraestructure as a service”, va a provocar en los próximos años una reestructuración de gran calibre en este tipo de servicios, en buena parte consecuencia del desarrollo masivo de los servicios de virtualización que nos permite cambiar nuestras máquinas virtuales de CPD o datacenter en un abrir y cerrar de ojos, al menos teóricamente.

Todo esto tiene unas implicaciones en materia de seguridad de proporciones colosales. Los modelos de seguridad actuales, fundamentalmente “estáticos”, tienen que evolucionar a modelos de seguridad “dinámicos” adaptados a las necesidades de los servicios en la nube, porque esta tendencia no tiene vuelta atrás. No se trata de que opinemos si es mejor o peor la seguridad de los servicios “cloud”, se trata de que diseñemos servicios de seguridad adecuados a esta realidad, que como todo tiene aspectos positivos y aspectos negativos.

Ganamos en algunas cosas. Uno de nuestros puntos débiles en la seguridad ha sido siempre la disponibilidad y la continuidad de negocio. En este caso, en la nube, con escenarios de siniestro complicados como la caída de un datacenter por un desastre natural, la solución parece al alcance de cualquiera y los RTO parecen asumibles por cualquier tipo de negocio. Es evidente que hay muchas cosas que rediseñar en los servicios de seguridad en la nube.

Tomemos el caso de Google que tenía, en 2008, 36 localizaciones para sus centros de procesos de datos con entornos virtualizados que les permite cambiar estas ubicaciones de forma, digamos, “ágil”. Uno de sus objetivos es, lógicamente, minimizar el coste de hospedaje de su infraestructura y dado que podemos asumir que en un datacenter el 50% del coste es el coste energético de la refrigeración, entenderemos que los gestores de la infraestructura de Google busquen términos de eficiencia energética cada vez mejores. Por lo que hemos leído el factor PUE (Power use efficency) alcanzado por Google es impresionante: 1,21 de media. Esto supone que cada watio útil que llega a una máquina que da servicio a sus clientes necesita 1,2 watios de consumo real. Evidentemente esto se puede conseguir haciendo uso de datacenters que requieren poco uso energético para refrigerar las maquinas y por tanto llevándose, por ejemplo, los sistemas a localizaciones frías que utilicen aire del ambiente para refrigerar las salas técnicas. Todo esto se puede además complicar utilizando estrategias tipo “follow the moon” mediante las que buscamos tarifas nocturnas de consumo energético y por tanto tarifas económicas que, en definitiva, permiten reducir el coste de suministro eléctrico de la máquina y directamente el coste del servicio.

Si en este entorno empezamos a pensar en seguridad la primera reacción es la de estupefacción. Si ya es complicado conseguir un nivel de seguridad adecuado en entornos estáticos desde el punto de vista físico, si el entorno lógico, con la virtualización, es un entorno altamente cambiante y además el físico también, el resultado es directamente un manicomio especializado en la práctica de torturas, como medida terapéutica, para los profesionales de la seguridad.

Evidentemente este escenario que se nos viene encima no es compatible con las prácticas de seguridad actuales de la mayor parte de las empresas especializadas en este tipo de servicio. Este escenario nos está pidiendo a gritos que adaptemos las políticas, los procedimientos, los controles, los sistemas de monitorización y gestión de la seguridad a estos entornos que cambian a una velocidad endiablada.

Pensemos, por ejemplo, en un análisis de riesgos tradicional. En nuestra opinión, los análisis de riesgos tradicionales son ya de por si poco útiles, sobre todo si hacen uso de metodologías pesadas y complejas como puede ser el caso de algunas metodologías que todos conocemos ;-). Vaya por delante que son metodologías muy valiosas y que conforman un buen punto de partida teórico, pero que en mi opinión no pueden ser utilizadas de forma práctica sin los matices pertinentes. ¿Por qué? Básicamente porque nos enfrentamos a entornos en continuo cambio. Cuando se diseñaron este tipo de metodologías se hicieron pensando en infraestructuras manejables, con evoluciones tranquilas, y en las que revisar el análisis de riesgos periódicamente una vez al año podía ser suficiente. Estas no son las hipótesis de partida a las que nos enfrentamos hoy y por tanto estas metodologías no sirven cuando las aplicamos tal cual fueron diseñadas.

Nos enfrentamos a entornos cambiantes desde el punto de vista lógico, con continuas variaciones que tienen impactos en la estrategia de seguridad clarísimos y por si fuera poco, en virtud de lo comentado en la introducción de esta entrada, nos enfrentamos también a entornos físicos cambiantes. En estas circunstancias las amenazas son variables, sus probabilidades también y por tanto los riesgos también. En definitiva, dentro del marco de servicios dinámicos de seguridad al que nos hemos referido, tendremos que diseñar metodologías ágiles de análisis de riesgos en tiempo real.

Mucho vamos a tener que trabajar para poder definir un marco global de productos y servicios de seguridad dinámica en este nuevo entorno, y mucho tienen que opinar lectores asiduos de este blog en esta materia… pasen en cualquier caso, ya sea pasados por agua o no, un buen fin de semana.

Comments

  1. Excelente articulo que comparto contigo en su contenido. Sobre todo en el tema de los análisis de riesgos tradicionales. Con la aparición del cloud, parece mas evidente convertir ese proceso en algo más relacionado sobre la gestión de servicios de terceros proveedores, analizar los riesgos de éstos, analizar los SLAs, monitorizar el servicio, gestionar sus incidencias. Hablando de normativas parece que la seguridad en el cloud evolucionará de ISO 27001 a ISO 20000 e ITIL.

    Gracias por compartir tu conocimiento.

  2. El articulo da vértigo cuando empiezas a imaginar los nuevos escenarios que habrá que gestionar pero suponen un reto muy atractivo. Creo que respecto al análisis y gestión del riesgo juzgamos el que ( metodología) por el cómo (herramientas) pero comparto plenamente la opinión de que deberán ser casi en tiempo real y seguramente debamos tener dos modelos de riesgos (el real y el simulado o de preproducción donde hacer las pruebas).

    Y como dice Toni deberán evolucionar de forma similar a ITIL pero creo que la clave deberán ser las métricas de seguridad y los SLA de cumplimiento donde el proveedor demuestre su fiabilidad y robustez en base a datos contrastables y apostando por la transparencia del servicio.

    En cualquier caso, los servicios en la “could” en otros términos de seguridad como la continuidad de negocio resuelven de forma completa muchas de las necesidades de empresas grandes y pequeñas. Sera un modelo de valor donde se pague por uso y no por tener y gestionar los recursos TI.

  3. Atractivo es desde luego el reto, siempre y cuando seamos capaces de diseñar una solución que merezca la pena sin perdernos en siglas y estándares.
    No creo sinceramente que veamos una evolución de la ISO 27001 hacia la ISO 20000. Son cosas distintas con objetivos distintos. Lo que si creo es que veremos una integración real de los sistemas de gestión basados en estos estándares y hablaremos, como ya hacemos nosotros internamente (me refiero a S2 Grupo), de nuestro Sistema de Gestión con procesos certificados en base a distintos referenciales con esquemas de certificación similares y orientados al riesgo. Procesos como la gestión de la seguridad según la 27001, la gestión del servicio de TI según la 20000 o la gestión del proceso de prevención de riesgos laborales en base a OHSAS 18001 o la gestión de la seguridad medioambiental en base a la ISO 14001.
    Este es el escenario que creo que vamos a ver en los próximos años, aunque desde luego en un entorno en continuo cambio como el descrito en la entrada.
    En fin, creo que no nos vamos a aburrir…..

  4. Excelente artículo. Lo he compartido con el grupo de profesores de Gestión del Servicio de Tecnofor y de hecho vamos a usarlo como base para una de nuestras reuniones de conocimiento.

    Este dinamismo necesitamos entenderlo y contemplarlo en el Diseño de la Gestión de los Servicios (ITIL) y en la Gestión de los Proyectos de TI, con un nuevo marco de infraestructura dinámica. Me muero de ganas de adicionar un capítulo en el Plan de Capacidad con este enfoque.

Trackbacks

  1. […] This post was mentioned on Twitter by Inforc Ecuador, Security Art Work, Antonio Ramos, mmorenog, Miguel Juan and others. Miguel Juan said: RT @Securityartwork José Rosell acaba la semana con un post sobre la necesaria evolución de los servicios de seguridad: http://bit.ly/9ORHxn […]