27 diciembre 2012

Que espero del 2013

No creo que hacer predicciones para el próximo año sea algo al alcance de todo el mundo. Al fin y al cabo, creo que se requiere una visión mucho más global que la que puedo tener yo. Así que he decidido hacer un "pronóstico" mucho más cercano, y dejar las predicciones globales para gurús y grandes corporaciones.

Esto es lo que yo espero para el próximo año 2013:

  • Creo que la crisis va a continuar más o menos como en 2012. Me gustaría creer en esa idea que nos quieren vender de que a finales de 2013 empezará a remontar la economía, pero la verdad es que ya no sé qué pensar. Por cierto, ya sé que esta primera "predicción" no tiene que ver estrictamente con la temática del blog, pero me parece importante resaltarlo, porque creo que condiciona el resto. 
  • No creo que las empresas decidan gastar mucho dinero en mejoras en su gestión o su seguridad. Dicho de otro modo, no creo que vaya a ser un buen año para ver nuevas certificaciones en ISO 27001, ISO 20000 o ISO 22301. En línea con el año que dejamos atrás.
  • Espero ver un pequeño repunte en torno a la adopción del ENS y del ENI, sobre todo a finales de año. Pese a que las Administraciones Públicas van a seguir recortando presupuestos, la "presión" de ver de cerca la fecha límite del 30 de Enero de 2014 creo que va a provocar que algunas administraciones peguen un pequeño "empujón" al tema (aunque probablemente vaya más en la línea de ver aparecer nuevos planes de adecuación que en la de ver publicados los informes de cumplimiento). 
  • Me temo que uno de los temas estrella del año que viene, y en aumento, será el del malware para Android. Las aplicaciones gratuitas son un señuelo demasiado jugoso... 
  • Seguro que el Cloud Computing sigue pegando fuerte en 2013. El eslógan de reducción de costes es demasiado apetecible como para que las empresas se resistan a él. Aunque es probable, simplemente por madurez de la propuesta, que en 2013 surjan las primeras noticias negativas en forma de organizaciones que, tras probar el cloud, deciden volver al formato tradicional. Seguro que surgirán debates interesantes. 
  • A nivel tecnológico no espero ver grandes novedades en materia de seguridad, ni en el entorno clásico de Internet ni en el "nuevo" segmento de la ciberseguridad industrial. No obstante, seguro que los fabricantes nos obsequian con grandes lanzamientos e innovadoras formas de vender sus productos. El mercado es lo que pide...
  • Tengo la sensación de que el BYOD va a seguir siendo un tema de debate bastante importante, aunque más a causa de la realidad que se encuentran las empresas que en relación a las soluciones que plantea el mercado. Los usuarios somos cada vez más sibaritas... a pesar de los departamentos de TI.  
Y más o menos, creo que eso es todo. En definitiva, un año difícil, en el que habrá que echarle bastante imaginación... y un poco de inteligencia.

Feliz navidad, que paséis unas buenas vacaciones, y nos vemos en 2013.

Saludos,

Joseba

10 diciembre 2012

El problema del Cloud Computing

Que el cloud computing es algo más que una moda es evidente. Ha nacido para quedarse, y haríamos mal en intentar negarlo o no darle la importancia que se merece. Muchas organizaciones lo están adoptando o acabarán haciéndolo, nos guste o no a los que trabajamos en el ámbito de la seguridad. Quizás los profesionales del sector de la seguridad hayamos pecado a veces de idealistas, de precavidos, maximizando unos inconvenientes que desde el punto de vista del negocio van a ser en muchos casos asumibles. Pero lamentablemente también es cierto que el negocio se ha dejado impresionar más veces de las que debería por un planteamiento que en ningún caso es la panacea que nos quieren vender los proveedores de servicios cloud. Y es que, en el fondo, el problema del cloud computing no es un problema de seguridad, sino de negocio.

El planteamiento, como vais a ver, es muy simple. El negocio de un proveedor de servicios cloud son, obviamente, esos servicios: infraestructuras TIC, plataformas, aplicaciones... Su objetivo será maximizar el beneficio que le proporcionan esos servicios, tratando de ofrecérselos al mayor número de clientes posible. Por lo tanto, el objetivo será diseñar servicios lo más completos y universales que sea posible, manteniendo obviamente unos niveles de servicio aceptables.

Por el contrario, el negocio de un cliente de servicios cloud es... aquello a lo que se dedique cada cliente. Fabricación, transporte, energía, servicios públicos... Lo que sea. Para ello hará uso de los mejores medios tecnológicos que pueda conseguir. Y entre estos medios aparecerán, como no, diferentes servicios informáticos. Algunos los implementará el departamento TI de la propia organización, y otros tratará de conseguirlos en forma de servicios cloud. Y aquí es donde se produce el problema.

El cliente va a requerir que los servicios informáticos que utiliza estén lo más alineados posible con su negocio. Dicho de otro modo, que sean lo más a medida posible. Sin embargo, el proveedor cloud va a tratar de ofrecer los servicios cloud que más encajen con su propio modelo de negocio, es decir, lo más genéricos y estándares posible. Y obviamente esto va a producir un importante desencuentro entre ambos planteamientos.

En este punto, y no antes, es donde entra en juego la seguridad. Cada cliente, dentro de su modelo de negocio, va a tener unos requisitos de seguridad específicos. Si en su actividad trata datos de carácter personal de nivel alto, requiere que los servicios informáticos cumplan con las medidas de seguridad definidas por el RDLOPD. Si gestiona datos de tarjetas de crédito necesita que los servicios implementen las medidas de seguridad exigidas por PCI-DSS. Si es una administración pública, necesitará que los citados servicios cumplan con las medidas de seguridad exigidas por el ENS para el nivel que corresponda en cada caso. Sencillamente, porque su negocio se lo exige.

Lamentablemente, los actuales proveedores de servicios cloud no suelen ser capaces de responder adecuadamente a estas exigencias. Cada vez podemos encontrar más proveedores de servicios cloud que presumen de seguridad, se certifican en ISO 27001, cumplen con la directiva europea de protección de datos... y piensan que eso es suficiente. No se dan cuenta de que es suficiente para SU modelo de negocio, pero puede no serlo para el de sus clientes. Un cliente español que trate datos personales de nivel alto mediante una aplicación SaaS necesita que el log del registro de accesos a la base de datos de dicha aplicación esté bajo el control directo del responsable de seguridad, lo cual va más allá de cualquier directiva europea de protección de datos o certificación ISO 27001. Del mismo modo, un cliente que trate información confidencial o de carácter estratégico a nivel europeo debería pensárselo mucho antes de contratar un proveedor de servicios cloud estadounidense, sujeto a la Patriot Act por mucho que sus datos no vayan a salir de territorio europeo. ¿Cuántos proveedores de servicios cloud estadounidenses podrían garantizar el suficiente nivel de confidencialidad frente a este hecho?

En definitiva, no podemos olvidar que un proveedor de servicios cloud no es ni más ni menos que una empresa, con sus propios intereses, modelo de negocio y restricciones legales. Por lo tanto, en caso de querer hacer uso de los servicios informáticos que ofrece habrá que evaluar detenidamente si todas esas particularidades son compatibles con nuestro propio modelo de negocio y con los requisitos funcionales, legales y de seguridad que sean aplicables al uso que queremos hacer de esos servicios. Que no hay inconveniente? Adelante, seguro que el modelo cloud aporta grandes beneficios a nuestra organización. Que sí que los hay? Buenas noticias para el departamento de TI, que seguro que hace todo lo posible para demostrarnos que la decisión de no externalizar el servicio ha sido la adecuada.