Muchas empresas están comenzando a migrar algunas de sus necesidades de computación a la nube. Tímidamente, también se están produciendo movimientos hacia una seguridad en la nube. La idea sería contratar los servicios de seguridad con el proveedor de servicios de Internet, de manera que no sea necesario instalar costosas infraestructuras de seguridad en casa. Del mismo modo que cuando abrimos el grifo esperamos agua limpia de impurezas y bacterias, el objetivo es que cuando nos conectemos obtengamos tráfico libre de ataques.
Según la mitología griega, algunos héroes fueron elevados a los cielos en premio a sus hazañas y nos observan hoy desde sus constelaciones en el cielo nocturno. Igualmente, cada día son más las empresas que están migrando sus soluciones de computación desde sus equipos servidores y de sobremesa hasta una red de servicios distribuidos y accesibles a través de Internet, conocida como la nube. La filosofía detrás de esta migración consiste en comprar el software no como producto sino como servicio. Gracias a esta externalización, los clientes pueden acceder a los servicios de computación sin necesidad de instalar software en sus equipos, ni de configurarlo, ni de mantenerlo. Entre los ejemplos más llamativos destacan Google Docs, que ofrece una suite ofimática de limitadas prestaciones, pero accesible en cualquier momento desde cualquier equipo con conexión a Internet; Amazon Web Services, que ofrece almacenamiento de datos y capacidad de cálculo a sus clientes; la infraestructura de computación Blue Cloud en la que está trabajando IBM; o App Engine de Google. O incluso los nuevos sistemas operativos en la nube, como eyeOS, que funciona a través del navegador, o Adobe AIR, que simula un escritorio de un ordenador, ¡pero en la nube!
Seguridad en la nube
Esta tendencia creciente a mover las aplicaciones hacia la nube y fuera de la empresa encuentra, asimismo, su equivalente en el mundo de la seguridad, aunque todavía de un modo muy incipiente. En este caso, la seguridad en la nube consistiría en obtener de un proveedor servicios de seguridad sin necesidad de instalar infraestructuras dedicadas en los propios locales. Por ejemplo, podrían desplazarse los servicios de seguridad un escalón en la jerarquía hasta los proveedores de servicio de Internet (Internet Service Provider o ISP). De esta forma, el ISP podría proporcionar a sus clientes un servicio de antivirus, de forma que el tráfico que reciban, tanto de correo electrónico como de navegación web, haya sido filtrado previamente por el ISP. Asimismo, sería posible también un servicio de eliminación de spam, la gran plaga de nuestros días, que limpiase el correo recibido de indeseables referencias a métodos para hacerse rico y liberase, de paso, de esta carga a servidores y administradores. Incluso podría el ISP encargarse de filtrar los contenidos que reciben sus clientes, eliminando páginas de contenido inadecuado, como sexo o violencia.
Servicios como los mencionados son ya una realidad hoy en día, siendo quizás el exponente más claro los proporcionados por la empresa norteamericana Postini, recientemente adquirida por Google, los cuales pueden consultarse en www.google.com/a/security. El funcionamiento es, en teoría, sencillo: basta con cambiar los registros MX, correspondientes a los servidores de correo, para que apunten a sus centros de datos. Estos, a su vez, tratan y filtran el flujo de datos y, acto seguido, lo devuelven al cliente.
Sin embargo, hasta el momento, los servicios de seguridad en la nube existentes se detienen aquí. Es decir, quedan sin cubrir otros aspectos muy importantes de la seguridad, como la gestión de cortafuegos, de los sistemas de detección de intrusión o el tratamiento adecuado de los logs generados por aplicaciones y servidores.
Pero, por supuesto, este nicho de mercado no está desierto, sino cubierto por otro tipo de servicios, ofertados por los denominados Proveedores de Servicios de Seguridad Gestionados (Managed Security Service Provider o MSSP) que, aunque estrictamente hablando no ofrecen servicios de seguridad en la nube, desempeñan una labor equivalente a día de hoy.
Estos MSSP gestionan, en nombre del cliente, los servicios de seguridad tradicionales, como cortafuegos perimetrales, sistemas IDS e IPS, gestión y monitorización de vulnerabilidades o servicio de respuesta ante ataques de phishing. Existen, también, otros servicios más exóticos, como gestión de comunicaciones seguras, a través de protocolos de VoIP, copia y restauración de datos o protección frente a ataques de denegación de servicio.
Sin embargo, parece que, todavía, estos servicios no han calado hondo en la comunidad encargada de la gestión de la seguridad TI en nuestro país. Según un estudio realizado durante el 2007 por VeriSign e Infosecurity en Europa, el 86 por ciento de los directores de TI españoles consultados no externalizan su infraestructura global de seguridad TI, pese a que el 68 por ciento reconoce la importancia de contar con un plan de seguridad como parte de una estrategia de externalización.
En cuanto a qué servicios son más propensos a sufrir este proceso, los participantes españoles en el estudio consideraban que los cortafuegos gestionados son lo más importante en su organización (68 por ciento), seguido por la detección de intrusiones (66 por ciento), servicios gestionados de protección contra vulnerabilidades (57 por ciento), alerta ante vulnerabilidades (54 por ciento), conexiones VPN gestionadas (47 por ciento), servicios de análisis forense y de respuesta ante incidentes (45 por ciento) y, finalmente, los servicios de protección del negocio (33 por ciento).
Razones para la externalización
La gestión de la seguridad de la información se está volviendo más compleja día a día: las tecnologías de la información están experimentando un crecimiento espectacular en empresas de todos los tamaños, los activos de información a proteger son más numerosos, aumentan los requisitos de conectividad, movilidad y acceso remoto a la información, a la vez que paralelamente crece el número de amenazas, como consecuencia de una mayor disponibilidad de información sobre vulnerabilidades y de herramientas de ataque automatizadas, así como una democratización del acceso a Internet. En resumen, tanto las aplicaciones como los ataques se encuentran en constante evolución, exponiéndose continuamente nuevas brechas en los sistemas de seguridad.
Por todos estos motivos, cada día resulta más difícil para una organización gestionar la seguridad de su información, especialmente para las de reducida dimensión, que carecen de departamento de TI o está sobrecargado de trabajo. La mayoría de organizaciones no disponen de los recursos humanos y económicos necesarios para implantar, mantener y mejorar a lo largo del tiempo un sistema de seguridad de la información eficaz, que cumpla las expectativas de la organización. Esta tarea requiere personal cualificado, herramientas apropiadas y procesos eficaces, al alcance solamente de quienes se dedican en exclusiva a ello.
Por consiguiente, muchas organizaciones están delegando en un MSSP una variedad de servicios de seguridad para reducir costes y maximizar las inversiones en tecnologías y recursos internos. Al no dedicar recursos propios a la gestión de la seguridad, pueden concentrarse en su línea de negocio principal (core business). En realidad, las empresas vienen practicando este tipo de externalización durante años en el ámbito de la seguridad física. Por ejemplo, para el control de acceso y vigilancia de edificios siempre se ha contratado a empresas de seguridad, las cuales envían sus guardias jurados, instalan controles de seguridad físicos, como cámaras de circuito cerrado, alarmas, arcos de detección de metales, etc.
En el ámbito de la seguridad lógica gestionada, podemos encontrar también multitud de ejemplos, tanto fuera como dentro de nuestro país. A nivel mundial, como empresa de referencia puede considerarse a VeriSign, por volumen de clientes y por ser una de las primeras en detectar la necesidad del mercado y ofrecer este servicio. Dentro de nuestras fronteras, podemos citar a empresas como S21sec, Telefónica o SIA, las cuales ofrecen a sus clientes servicios de seguridad gestionada en mayor o menor medida.
Óscar Delgado Mohatar y Gonzalo Álvarez Marañón trabajan en el Grupo de Investigación en Criptología y Seguridad de la Información del CSIC.
Resumen del año 2009 en TI Con 2009 llegando a su fin, es hora de hacer balance de cuáles han sido las principales noticias de tecnología. Los anuncios de Windows 7 por parte de Microsoft en materia de software o la llegada del iPhone 3G S de Apple en el terreno del hardware son algunas de ellas. Pero hay muchas más. [22/12/2009 ] - 98 votos
Nokia N900 con Maemo: primeras impresiones Se trata del primer modelo que corre sobre sistema operativo Maemo 5, basado en Linux, frente a lo habitual de la serie N que hasta ahora estaban basados en Symbian. Dispone de pantalla táctil de 3,5 pulgadas y resolución de 800 x 480 píxeles, cámara de 5 megapíxeles y navegador con soporte de Flash para la visualización de contenidos Web. Destaca la gestión que realiza de las aplicaciones en modo multitarea. [18/12/2009 ] - 86 votos
Google presenta Nexus One, su móvil Android El esperado teléfono móvil Android de Google con marca propia (aunque fabricado por HTC) ya está oficialmente presentado y disponible en Estados Unidos. En Europa deberemos esperar algún tiempo (aún por determinar) y Vodafone será el operador de referencia. He aquí las primeras imágenes del esperado Nexus One. [07/01/2010 ] - 64 votos
Versión impresora 
Votar este artículo (163 votos)
Seguridad en la nube 
aumentan los requisitos de conectividad, movilidad y acceso remoto a la información, a la vez que paralelamente crece el número de amenazas, como consecuencia de una mayor disponibilidad de información sobre vulnerabilidades y de herramientas de ataque automatizadas, así como una democratización del acceso a Internet. En resumen, tanto las aplicaciones como los ataques se encuentran en constante evolución, exponiéndose continuamente nuevas brechas en los sistemas de seguridad. 
