28/01/2015

Los pícaros no acabarán con la nube

Hay mucha gente a la que no le gusta la metáfora de ´la nube`, pero reconoce que tiene como virtud la simplicidad. Como si se tratara de un supermercado de TI adaptado como un guante al cerebro consumista del ser humano de este tiempo. Sin duda, las soluciones de cloud computing aportan beneficios, aunque los riesgos de seguridad provoquen algún estremecimiento. Las empresas no pueden ignorar la existencia de amenazas como la llamada shadow IT, el acceso compartido y la jurisdicción de los datos. Una parte del futuro tecnológico se juega en una partida de poker: supuestamente, la seguridad obligará a los CIOs a actuar como el sheriff de las películas para que prevalezca el imperio de la ley.

A pocos meses (?) de su entrada en vigor, la directiva europea sobre protección de datos estipula multas de hasta el 5% de la facturación total de la empresa que pierda los datos de un cliente. Esto exige dar la máxima prioridad a la gobernanza de los datos alojados en la nube. Un informe de la empresa Skyhigh Networks aporta algunas claves.

Según se lee en Cloud Adoption & Risk Report (y en su apéndice sobre Europa), el auge del cloud computing ha hecho que existan muchos puntos ciegos provocados tanto por ´diablillos`(los departamentos de marketing, comercial y otros) que, con buena voluntad, intentan atajos y adquieren servicios cloud sin consultar con la dirección de TI, o también por usuarios ´pícaros’- estos con intenciones más o menos aviesas – que sin permiso de la organización usan apps y comprometen la integridad de la nube corporativa.

Por el lado entusiasta hacia el fenómeno [Skyhigh no es aséptica: se especializa en ayudar a empresas a evaluar proyectos de cloud] el estudio descubre que la penetración de la nube es imparable: en sus entrevistas a 350 compañías de todos los mercados verticales, el 33% (32% en Europa) se decanta proactivamente hacia ella, mientras el 41% (50% en Europa) se mueve todavía con precaución, pero se mueve: «el rapidísimo crecimiento de los servicios cloud triplica el número de usuarios cada trimestre».

Otro dato esperanzador es que la media global de servicios cloud por empresa es de 831, casi un centenar más que los detectados en el anterior informe trimestral. Las compañías europeas siguen la misma trayectoria con tasas incluso más altas de crecimiento: el promedio de servicios pasó de 588 en el primer trimestre de 2014 a 724 en el tercero.

En la misma línea – aunque «estamos en una etapa temprena de la adopción cloud» – se moviliza la convergencia de fuerzas innovadoras (v.g. plataformas de bajo coste, componentes de software) y el hecho de que buena parte del capital riesgo se está enfocando en el negocio cloud: 6.100 millones de dólares a mediados de 2014. Consecuencia: florecen nuevos entrantes y brotan startups, para resolver problemas en distintas áreas, como la de seguridad.

Este boom, sin embargo, puede dificultar la toma de decisiones empíricas acerca de la gestión de dos tipologías de penetración en las empresas, que el estudio llama respectivamente «sanctioned IT«, fiel observante de los rituales corporativos, y «shadow IT, que campa sin control ni supervisión. Las empresas autorizan el uso de algunos servicios cloud, pero algunos departamentos y algunos usuarios incorporan usos no autorizados, que esbozan unas TI en la sombra, a veces muy oscura. Según Skyhigh, el 72% de los profesionales encuestados (76% en Europa) afirma desconocer la dimensión del fenómeno, pero quisieran aprehenderla. Incluso se detecta un 49% (55% en Europa) que asegura sentirse presionado para aprobar una aplicación que no cumple los requisitos de seguridad de la empresa.

Hay en el documento cifras preocupantes, si son correctas. Sólo el 9,5% (429) de todos los servicios cloud evaluados integra los requisitos de seguridad más rigurosos, un escaso 2,9% cumple con estrictas políticas de contraseñas, y un ínfimo 1% utiliza claves de encriptación adecuadas. Ahí empieza la zona de peligro.

Globalmente, las firmas consultadas suben más datos a servicios cloud para empresas (66,8%) que a otros concebidos para consumidores. Este 33,2% es alarmante, pero más lo son los porcentajes europeos: el 50% de los datos corporativos se almacenan en servicios cloud de consumo. El uso de estos, en general no gestionados, es definido como un riesgo potencial, exposición a la pérdida de datos sensibles. Por supuesto, se considera que los cibermalhechores lo saben, y los usan como ariete para forzar la entrada en las empresas. El estudio lo ilustra con un caso de malware que se distribuye a partir de cuentas privadas de Twitter: la empresa encontró que los atacantes extraían datos, los codificaban en ficheros de vídeo y los filtraban a sites de compartición de video para luego recuperarlos.

Skyhigh echa mano del principio de Pareto (coloquialmente conocido como la regla de 80-20) para explicar otra de las amenazas que se ciernen sobre la nube: el 80% de los datos cargados a partidas de cloud computing se encamina a menos del 1% de todos los servicios cloud. Aparentemente, los profesionales deberían sentirse aliviados al tener que focalizar su trabajo sobre seguridad en un número muy bajo de servicios (11 globalmente, 15 en Europa), pero esta apariencia es tramposa, ya que el 81,3% (72,5% en Europa) de la actividad anómala se produce en la larga cola de servicios cloud que almacenan el 20% de los datos. «Los CIOs tienen que gestionar ambas partidas, si quieren asegurar los datos corporativos. No hay atajos cuando se trata de seguridad en la nube», así de contundente es la conclusión.

No acaban aquí las celadas. Muchas empresas deciden bloquear el acceso a ciertos servicios que no cumplen las políticas de uso corporativo. Bien por ellas, pero ¿en qué medida es eficaz el bloqueo? En unión de la Cloud Security Alliance, Skyhigh analiza las tasas de bloque previstas con las reales, hasta encontrar un gap, que dicho mucho sobre las costumbres de los empleados. Globalmente, la brecha es más ancha en Dropbox (59%) seguido de Instagram (44%), Tumblr (42%) e iCloud (41%), mientras que en Europa el podio lo toman por asalto Dropbox (88%), YouTube (43%) e Instagram (41%).

Varias causas explican el diferencial entre lo que se intenta bloquear y el pobre resultado del intento: los servicios cloud introducen regularmente nuevas URLs que no son bloqueadas, las políticas de acceso no están en ocasiones estandarizadas a través de todos los firewall y proxies desplegados en oficinas regionales, y «ciertos grupos» en la compañía consiguen excepciones para acceder a un servicio que son aplicadas más alegremente de lo previsto. Si esos servicios presentan o no riesgos a la empresa y si por ello necesitan bloquearse, no es el tema, pero ilustra que las compañías no están poniendo toda la carne en el asador en cuanto a la imposición de normas de acceso o la erradicación de servicios en su ecosistema de negocio.

Otro ejemplo paradójico de brecha se produce entre la percepción de los profesionales de TI ante las amenazas internas y lo que en realidad ocurre. Casi siempre las filtraciones son silenciosas, discretas y renuentes al radar. El estudio determina que sólo el 17% (18% en Europa) de los entrevistados considera que sus empresas han experimentado una amenaza interna en los doce meses anteriores; “sin embargo, según nuestros análisis, el 85% (89% en Europa) sufrieron un incidente de amenaza interna durante el último trimestre”.

A pesar de que no todas las amenazas internas impliquen filtración de datos, el riesgo de ataques internos maliciosos o por descuido es mucho más elevado que conocido. Como ejemplo, el estudio cita a un usuario real, al que denomina Dr. Evil o el más peligroso de Europa, que accedió a 71 servicios de alto riesgo y filtró 17,5 Gb de datos en un periodo de tres meses, lo que equivaldría a 8.750 copias de Guerra y Paz, o sea 11.375.000 páginas de texto.

Algunas conductas son y serán cada vez más peligrosas. La actual Directiva Europea de Protección de Datos exige que cualquiera que contenga información personal de los ciudadanos se transfiera únicamente a proveedores cloud de países que cuentan con niveles de protección equivalente (actualmente, 11) o a aquellos estadounidenses que cumplan las certificaciones Safe Harbor. Pero la realidad es bien distinta: casi tres cuartas partes de los servicios cloud utilizados no cumplen estas restricciones. El 14,7% se hospeda en la Unión Europea; un 3,5% en países con privacidad equivalente; el 7,5% en proveedores de Estados Unidos certificados, y ¡el 74,3%! se almacena ilegalmente.

Una frase contenida en otro informe de la misma consultora, CIOs guide to managing cloud adoption and risk‘ puede proporcionar la llave maestra que armonice el boom imparable de la nube con los riesgos que suscita: “Reconocer que la adopción de cloud por los empleados es no solo inevitable, sino que los permite crear valor de negocio, es un enfoque innovador y de futuro para aquellos CIOs que buscan caminos eficaces para administrar la evolución. Como otros procesos estándar, la adopción de cloud puede gestionarse para aumentar valor mientras se reducen los riesgos para la empresa”.

[informe de Lola Sánchez]


Contacto Suscríbete RSS


Sobre el autor. Copyright © 2024 El dominio norbertogallego.com es propiedad y está administrado por Diandro SL. B85905537. Creative Commons