Auditorías para reducir riesgos de seguridad: Cloud Computing

Hasta que el 13 de octubre de 2016 se promulgó por la Secretaría de Estado de Administraciones Públicas la Resolución que obliga a la ITS de Certificación de la Conformidad, los proveedores que querían trabajar con una Administración Pública debían adoptar una serie de medidas de seguridad que, en el mejor de los casos, establecía la administración contratante en el pliego de condiciones de contratación.

Ahora, según dispone la citada Resolución, es obligación de la Administración que contrata exigir en el pliego al futuro adjudicatario que esté en posesión del correspondiente certificado de conformidad con las disposiciones del Esquema Nacional de Seguridad (ENS).

Ya no basta con que el proveedor afirme en la oferta que está en disposición de cumplir determinadas medidas de seguridad en los servicios que se le contratan, sino que debe acreditarlo mediante el correspondiente Certificado de Conformidad con el ENS.

Las auditorías de conformidad son el proceso para garantizar una evaluación precisa del entorno de seguridad del proveedor, de sus controles, de sus procesos y de su efectividad actual para proporcionar productos o prestar servicios al Sector Público.

A través de esta auditoría se pueden identificar vulnerabilidades, y carencias en los controles necesarios para mitigarlas, evidenciando que no han sido tratadas adecuadamente para reducir el riesgo respecto a la seguridad.

Tanto los elementos de tratamiento, como las redes a través de las que circula la información, deberán estar adecuadamente protegidos, asegurándose de que no existen accesos no controlados ni conexiones cuyos riesgos no estén apropiadamente gestionados y supervisados por el proveedor de los servicios.

La protección del cloud computing 

Las empresas prestadoras de servicios de Cloud Computing que trabajen para la Administración han de cuidar especialmente la seguridad. Pero, ¿qué es el Cloud Computing o, como popularmente se le conoce, la Nube? Dicho de una manera sencilla, son los servicios informáticos que se prestan cumpliendo cinco características esenciales simultáneamente: Acceso desde Internet, permitir una rápida elasticidad en la capacidad contratada, servicio medible que permita el “pago por uso”, autoservicio bajo demanda desde un portal y que el proveedor disponga de un amplio “pool de recursos” para satisfacer la demanda de todos sus clientes dando la sensación de capacidad infinita.

Entre los servicios más habituales tenemos: servidores virtuales, bases de datos, almacenamiento, correo electrónico y otras aplicaciones especializadas bajo el modelo de SaaS, etc.

Este tipo de empresas están obligadas a mantener la seguridad de la información en todas sus dimensiones, incidiendo en la integridad, la confidencialidad y la disponibilidad de la misma. Esto es así  debido a que el Cloud Computing es un modelo de entrega de servicios basado en un entorno virtual al que se accede a través de Internet y eso implica que las amenazas sean constantes.

Un mal uso del Cloud Computing, sin las debidas garantías de seguridad por parte del proveedor, y del cliente en su acceso, puede dar lugar a ciberataques por parte de cibercriminales que  tienen en Internet su campo de operaciones. Los interfaces deben diseñarse de forma segura, evitando así los problemas de seguridad, tanto los que son intencionados como los que se producen de forma accidental. Incibe nos da una serie de recomendaciones en este sentido.

Cloud pública, privada e híbrida

Existen tres posibles modelos de despliegue de Cloud,  que en su caso hay que proteger: la pública, la privada y la híbrida.

La Cloud pública se refiere a que el “pool de recursos” del prestador del servicio, es compartido por todos los clientes. En la Cloud privada, ese “pool de recursos” es específico para determinado cliente y no es compartido con nadie más. Una Cloud hibrida es un entorno mixto entre los dos anteriores.

Además existen tres modelos de entrega de servicios por parte del prestador de servicios de Cloud: La Infraestructura como Servicio (IaaS) que consiste, simplificándolo mucho, aprovisionar máquinas virtuales vacías (únicamente con el sistema operativo); La Plataforma como Servicio (PaaS) que consiste en proporcionar adicionalmente a la IaaS herramientas de desarrollo, bases de datos, etc. en un entorno especializado; Y el Software como Servicio (SaaS) que es el acceso a determinadas aplicaciones que corren en la Nube, como es el caso de Gmail.

La infraestructura contratada para trabajar en la nube debe ser segura, ya sea una nube privada o pública, o un servicio SaaS, PaaS o IaaS. Es importante conseguir:

  • Seguridad de los componentes: la nube debe estar diseñada por parte del proveedor para ser segura, creada con componentes seguros y certificados, con interfaces sólidas y con procesos de evaluación que creen confianza.
  • Debe disponer de un estudiado diseño en las interfaces específicas para los accesos de los clientes, minimizando los riesgos mediante las correspondientes capas de seguridad.
  • A medida que las necesidades de un cliente se modifican, el proveedor de servicios debe ofrecer la posibilidad de aumentar o desactivar esos recursos (ancho de banda, procesadores, almacenamiento y memoria en cada máquina virtual, o reducir el número de éstas) según corresponda a los requisitos del cliente.
  • Esta gestión del ciclo de vida del servicio debe administrarse con la responsabilidad por parte del proveedor para crear confianza. Por ejemplo, borrando completamente el área de datos ya no requerida por un cliente, de modo que no pueda ser accedida por el nuevo cliente al que se le reasigne ese recurso de almacenamiento del “pool general”.
  • El prestador de servicios de Cloud debe garantizar también la portabilidad de los datos, de modo que al finalizar el servicio le sean retornados al cliente en un formato estándar o convenido.

Las soluciones de seguridad pasan por medidas técnicas como la protección de la red virtual, el control de los accesos a los recursos, el aislamiento del software, la protección de datos de forma segura, etc., y otras organizativas y jurídicas como el establecimiento de específicas cláusulas contractuales.

La contratación de servicios de Cloud Computing exige la realización de auditorías de seguridad ordinarias y extraordinarias, tal y como contempla el artículo 34 del ENS. Este artículo exige requisitos específicos sobre los criterios y métodos de trabajo empleados. En este proceso AUDERTIS es la entidad 100% especializada en el Esquema de Seguridad que ofrece un  proceso independiente y riguroso que transmite la máxima confianza.