08 marzo 2012

Ceder la seguridad a la nube

Todo el mundo coincide en que la nube es una tendencia imparable. Yo no voy a ser quien niegue las ventajas de la nube, ni creo que sea necesario enfrentarse con ella, pero sí que me gustaría que todo el mundo fuera un poco más consciente de qué significa la nube.

La nube no es humo ni gas, no es "algo que está pero no se ve". La nube tiene técnicos, tiene infraestructuras TIC, tiene proveedores de energía y tiene software que utilizan para darte un servicio. La nube son empresas normales y corrientes, que pueden tener incidentes de seguridad, igual que tu empresa, igual que te puede pasar a ti en tu casa. ¿Debemos ceder nuestra seguridad a esas empresas?

Hace un par de semanas, Google publicó una iniciativa de incluir en Chrome un generador de comtraseñas de calidad. Iniciativa muy interesante, salvo por una pequeña pega: parece ser que se trata de un generador de contraseñas on-line, una especie de sistema Single-Sign-On que almacena todas las contraseñas en la nube... de Google. Yo no digo que no haya que hacerlo, pero... ¿Somos conscientes de que le estamos dando a una empresa todas las llaves de los servicios web que usamos?

Esto, en el mundo real, se hace. Todos hemos visto películas en las que el protagonista le entrega las llaves a un aparca-coches, que se las guarda a cambio de un resguardo. ¿Queremos que sea Google nuestro "aparca-coches integral on-line? ¿Cuánto nos fiamos de Google como empresa? ¿Cuánto nos fiamos de lo que vaya a hacer Google con nuestras llaves? ¿Y cuánto nos fiamos de la seguridad con la que Google va a conservar todas nuestras llaves? Esas son las preguntas que debemos responder.

Esta misma semana un compañero del Blog de Seguridad de INTECO publicaba en él un artículo sobre la seguridad de los servicios de Cloud Storage. En él se hacen algunos comentarios sobre la responsabilidad de dichos proveedores frente al servicio de almacenamiento provisto. ¿Somos conscientes de la responsabilidad real que asumen estas empresas en torno a los servicios que proveen? ¿Estamos dispuestos a asumir que esas responsabilidades son suficientes? ¿Somos capaces de estimar los riesgos que estamos asumiendo por confiar en la nube una parte de nuestra seguridad? ¿Y si no es así, estamos adoptando nosotros medidas para complementar la responsabilidad del proveedor?

La verdad es que, personalmente, desconfío bastante de la seguridad que ofrecen los proveedores de servicios en la nube. A mí me gustaría que me garantizasen que todos mis datos, en todo el servicio, se cifran con algoritmos robustos. Y que la clave de cifrado es única y soy yo quien la gestiona, de modo que el propio prestador del servicio no pueda acceder a mi información. Me gustaría que el prestador del servicio me reportase periódicamente informes en los que yo pudiera evaluar la calidad y seguridad del servicio que me prestan, y que se hiciera contractualmente responsable de los incidentes de seguridad achacables a la infraestructura que soporta el servicio. ¿Alguien conoce un proveedor así?

6 comentarios:

Miguel Ángel Hernández Ruiz dijo...

Hola Joseba,

Hace ya muchos meses que hablé sobre este tema en mi blog: http://www.miguelangelhernandez.es/?p=845
y mi opinión no ha cambiado en absoluto. ¿Qué va a a ocurrir cuando mi proveedor de cloud tenga una fuga de datos?. Porque imagino que nadie se cuestiona lo suculento de que un proveedor almacene información de empresas de la más diversa índole, para más inri, información que si no se ha analizado adecuadamente puede ser de vital importancia. La seguridad es cuestión de motivación y número, para que tus sistenas sean asaltados lo único que se requiere es alguien con habilidad y motivación suficiente para hacerlo. Si no, que se lo pregunten al FBI, a SONY, a Amazon, y una lista que se haría inmensa. Tengo pendiente analizar la migración del BBVA a los serivicios de Google pero tampoco me pinta bien de inicio, ¿has podido ver algo al respecto?.

Un saludo.

Joseba Enjuto dijo...

La verdad es que no tengo información sobre cómo han gestionado BBVA y Google este tema, pero reconozco que no soy demasiado optimista al respecto. Sabiendo cómo lo han hecho otras compañías... el día que pase algo les tocará pegarse con la justicia estadounidense.

Aunque los servicios externalizados en Google sean de tipo commodity... cuántos usuarios utilizarán las mismas claves para acceder a los servicios de negocio del banco?

Miguel Ángel Hernández Ruiz dijo...

Eso es mejor ni preguntarlo...

Leet_security dijo...

Hola, Joseba.

Tu entrada me ha parecido muy interesante... te dejo aquí mi respuesta: http://www.leetsecurity.com/2012/03/14/no-se-trata-de-ceder-el-control/

Joseba Enjuto dijo...

Aunque la calificación no pasa por sus mejores momentos, he de reconocer que su filosofía me parece válida. Y coincido contigo en que el ejercicio de transparencia que supone puede ser un empujón para incrementar la confianza en los servicios cloud. Os queda la parte difícil, y es conseguir que las empresas usen el servicio...

Joseba Enjuto dijo...

Por lo que parece, no hay proveedores de servicio en la nube que no accedan a tu información. Por si alguien tenía dudas...

Dicho esto... Ofrecer esa funcionalidad podría ser un modelo de negocio viable?