Disponibilidad, confidencialidad e integridad en la nube híbrida
Robert Assink, director general de Interxion España, reflexiona sobre la nube híbrida, sus requerimientos de seguridad y capacidad de reacción ante posibles ataques.
¿Qué peligros entraña el cloud? ¿Qué tenemos que tener en cuenta para asegurar que nuestra información no sufre ningún daño en la nube? En estos momentos, el modelo de nube híbrido (parte de las aplicaciones en cloud, otras en el CPD corporativo) es una realidad y hay que mantener en todo momento la capacidad para reaccionar ante incidentes y para asegurar nuestra información.
No nos engañemos, todos los días hay ataques distribuidos, organizados y profesionales que pueden poner en jaque la seguridad de la información en la nube. Por ello, hay que seguir las normas que los expertos en este sector aconsejan y contar con las medidas que ayuden a detectar esos ataques rápidamente y mitigar el daño.
Partamos de que la seguridad informática tiene varias dimensiones: disponibilidad, confidencialidad e integridad. Y en la nube deben resolverse igual que se hace en otro tipo de entornos más físicos.
El grado de cada una de estas tres dimensiones dependerá de cada empresa y de la necesidad de disponibilidad, confidencialidad e integridad que cada negocio requiera. Hay compañías que no se pueden permitir una indisponibilidad del sistema ni de 2 minutos, así que en esos casos habrá que buscar soluciones de seguridad de alta disponibilidad.
Lo mismo ocurre con la confidencialidad donde los grados de encriptación de la información estarán determinados por su criticidad y el acceso a los datos nos ayudará a gestionar la integridad de los mismos.
Disponibilidad de los datos: un mundo físico detrás del virtual
Dicen los expertos que de las tres dimensiones mencionadas, la más inherente al cloud es la disponibilidad, puesto que se asienta sobre la virtualización de la capa física. Es precisamente esa infraestructura física de la que va a depender la alta disponibilidad que determinadas compañías van a necesitar.
Recordemos que la disponibilidad de los sistemas es una probabilidad de que se entregue el servicio en el momento solicitado. Se considera que cuando el sistema falla, este debe ser reparado y restaurado para seguir ofreciendo el servicio y se expresa en términos de “nueves”. Y no hay que confundirla con la fiabilidad, que es la probabilidad de que el sistema realizará su función durante un período determinado de tiempo bajo ciertas condiciones y no incluye el tiempo de mantenimiento o reparación.
% Disponibilidad | Cantidad de tiempo de caída anual |
99% | 88 horas |
99,9% | 8,8 horas |
99,99% | 53 minutos |
99,999% | 5,3 minutos |
99,9999% | 32 segundos |
Dicho esto, hay que considerar que los distintos grados requerirán distintas inversiones, distinta infraestructura y distintos niveles de servicio (SLA). En cualquier caso, será fundamental realizar un análisis de negocio previamente para asegurarnos de cuál es realmente el grado de disponibilidad necesario.
Confidencialidad, a veces hay más en la nube
Pero si la disponibilidad es importante, la confidencialidad es otro de los pilares. De nada sirve estar siempre con los sistemas activos si estamos enviando información a quien no debe verla o utilizando passwords que en una hora se han visto comprometidos. Por favor, abandonemos el 1234.
Siempre hay que ser extremadamente cuidadosos con los sistemas, ya estén en la nube o en el mundo físico. Un error en la confidencialidad es un error de negocio. Imaginemos enviar un email con información crítica a quien no se debe. Así que en la transferencia de información será fundamental utilizar herramientas de encriptación de datos.
Mucho se habla de la seguridad en la nube, de dónde se alojan los servidores, de quién tiene acceso a ellos. Sin embargo, si nos paramos a pensar, estas mismas preguntas nos las tenemos que hacer en la parte física. Quién accede a los servidores, quién conoce nuestras contraseñas, quién realiza el mantenimiento de los equipos.
En muchas ocasiones, utilizar servicios en la nube va a ser incluso más seguro que dejarlo en los propios sistemas in house donde el acceso a los servidores donde reside la información queda en manos de más personas.
Integridad o que el dato sea el que es
Y precisamente ese acceso a la información o más bien la restricción al dato ayudará a mantener su integridad. De qué vale que la información sea confidencial y esté disponible en todo momento si la información no es la que debería ser.
Es fundamental saber, estén donde estén los datos, quién tiene acceso a ellos. No se deben duplicar, ni modificar, ni eliminar si no lo hace la persona autorizada para ello. Hay muchos casos en los que la integridad de la información es fundamental para el negocio: industria farmacéutica, aeronáutica, sector sanitario, financiero…por poner unos ejemplos. ¿Imaginamos ceros de más o de menos?
Como vemos, al final la seguridad en la nube híbrida tendrá que ser considerada de la misma forma que lo hacemos con la seguridad en un mundo físico. Y es clave identificar en qué casos del negocio incluso lo más crítico no es que puede, sino que debe estar en la nube.