Esta semana se ha celebrado en Madrid la 7ª edición de “DCD Converged Madrid”, organizado por DatacenterDynamics, donde intervine como ponente en el panel dedicado a la protección de datos en infraestructuras críticas. Uno de los temas recurrentes en las diferentes exposiciones fue el de la seguridad en Cloud computing (es decir, en la Nube), de gran interés e importancia en la actualidad dada la creciente disposición a la utilización de soluciones virtuales.
Como es lógico cada uno de los ponentes focalizaba su visión de la seguridad en la Nube desde una perspectiva particular, orientada hacia su ámbito profesional y experiencia, con la consecuencia de que aparentemente se daba importancia y diferenciaba lo específico sin tener en cuenta lo general o conjunto.
En mi intervención repetí una vez más mi opinión de que la estrategia y práctica de la seguridad, en cualquier organización, dominio o entorno, real o virtual, debe formularse e implementarse mediante un enfoque holístico que integre todas sus particularidades, físicas, lógicas y de las personas, sin olvidar a los procesos, normas, procedimientos, etc, abarcando tanto la protección como la seguridad de datos, información, inteligencia, conocimiento, etc., es decir de todo el patrimonio intangible de la organización, se encuentre en la nube o en espacios reales.
Particularizando a los términos propuestos en dicho panel considero que cuando se aborda la temática de la seguridad de datos e información en Cloud Computing deben distinguirse dos aspectos bien diferenciados pero, sin embargo, íntimamente relacionados. Por una parte se encuentra la protección de datos, fundamentalmente en lo que concierne a la privacidad, mientras que por la otra se halla la seguridad de la información en sus diferentes formas frente a pérdidas, robos y manipulaciones.
En el primer caso, respecto a la protección de datos en un entorno Cloud es necesario tener presente que, con independencia del tipo elegido (privado o comunitario, público o híbrido) el usuario o cliente normalmente no conoce cuál es el emplazamiento físico donde se conservan por lo cual tampoco está en disposición de saber el tipo de reglamentación aplicable en esta materia, ni su compatibilidad con la de su país de sede o residencia.
A este respecto conviene recordar que la legislación comunitaria europea es muy estricta en estos casos. Por ejemplo, en cuanto mantener la propiedad de los datos confiados a un tercero quien no puede divulgarlos sin autorización expresa del cliente, mientras que en determinados países la protección de tales datos pasa a ser de responsabilidad del proveedor del servicio aplicándose las leyes locales.
En este contexto vemos como a raíz de la aparición del famoso asunto Snowden, revelando las investigaciones de la NSA estadounidense, adquiere amplia notoriedad la Patriot Act de los Estados Unidos que permite a las agencias de seguridad de este país el acceso sin límites a los datos depositados o gestionados en su territorio sin necesidad de informar de ello a sus propietarios. Y si ampliamos el campo podremos comprobar que otros países donde se encuentran localizados muchos de los centros de datos virtuales que existen actualmente (Rusia, India, China, etc.) tampoco ofrecen garantías de protección de datos adecuadas.
Si por su parte consideramos el segundo caso, que hace referencia a la seguridad de la información, su objetivo en la Nube debe ser el mismo que en otros entornos, es decir el respeto a los conocidos principios que garanticen sus confidencialidad, integridad y disponibilidad. En este sentido los actores, agentes y medidas son los mismos que en los entornos distribuidos tradicionales o clásicos pero incrementados por causa de las características especificas de la virtualidad y de la Nube.
Considerando en primer lugar las amenazas, es lógico deducir que a medida que se vaya incrementando el uso de la Nube, no solamente como almacén de datos sino también, y de forma especial, como proveedora de aplicaciones, servicios, infraestructuras y plataformas, irá progresivamente convirtiéndose en un mayor objeto de deseo para los diferentes agentes que actúan de forma ilícita en la red.
Respecto a las vulnerabilidades en Cloud se presentan tanto en los proveedores como en los usuarios. En los primeros por sus arquitecturas de red, hardware y software, así como por sus políticas de servicio y seguridad, mientras que en los segundos principalmente por que al ser atraídos por las indudables ventajas que ofrece la Nube, sin un adecuado conocimiento de sus riesgos inherentes, olvidan, desconocen o no ponen en práctica los principios elementales de seguridad y protección llegando incluso a considerar, en múltiples ocasiones, que no solo la seguridad sino también la confianza reside en el proveedor y no en el usuario.
¿Soluciones? Múltiples y diferentes; abarcando desde las propuestas extremas de no recurrir a soluciones en la Nube en caso de datos sensibles, pasando por las mas tradicionales de cifrado o conocimiento cero, hasta la más demandada en los últimos tiempos que consiste en ampliar la “seguridad de la Nube” con la “seguridad en la Nube” es decir utilizar a Cloud computing para obtener servicios de seguridad de datos e información.
Dada tal amplitud dejaré el análisis de algunas de ellas para posteriores artículos finalizando este con una primera reflexión sobre la seguridad en Cloud computing. No hay que dejarse llevar por modas o corrientes que conducen a depositar nuestra confianza en la Nube (en cualquier Nube) pensando que por este hecho está simplemente garantizada la seguridad de datos e información. Pero tampoco se debe demonizar a Cloud calificándola de insegura.
En la Nube, al igual que se está planteando en otros casos en las modernas organizaciones, la seguridad no solamente es cuestión de aspectos técnicos y legales sino que demanda un compromiso entre clientes y proveedores, propietarios de los datos e información y prestatarios de infraestructuras y servicios virtuales. Y para ello es necesario llevar a cabo esfuerzos por ambas partes pues la solución, cualquiera que sea, pasa por encontrar el equilibrio entre las ventajas de la virtualización y la garantías de la seguridad.