06 NOV 2017

La seguridad informática en la época del cloud

El cloud computing puede ser imaginado como una nueva manera de diseñar las aplicaciones, una oportunidad para librarse de las lógicas de gestión de los sistemas de sus propios ambientes TIC para pensar solo en los negocios, un conjunto de servicios (abastecidos por terceros) listos para ser utilizados en la gestión de los procesos empresariales sin verse obligados a instalar las aplicaciones en sus sistemas.

Esto se traduce en un esquema consolidado que describe las modalidades de acercamiento al tema adoptadas por los mayores Proveedores Cloud:

  • Infraestructura como Servicio (IaaS): el cloud es visto como un centro de procesamiento de datos externo a su propia empresa donde se puede instalar el proprio stack software de referencia. La infraestructura hardware está gestionada y apoyada por el Proveedor, pero de la parte de las operaciones se ocupa el usuario del servicio cloud.
  • Plataforma como Servicio (PaaS): el cloud abastece plataformas “middleware” que pueden ser usadas como una base para realizar las propias aplicaciones. En este caso es el Proveedor quien se hace cargo de la gestión infraestructural Software (por ejempo sistema operativo, instalación y manutención del middleware), mientras que se ocupa de la configuración de la plataforma y de la inclusión del software último quien utiliza el servicio cloud.
  • Software como Servicio (SaaS): en este caso el Proveedor abastece unas aplicaciones completas que el usuario del cloud puede personalizar o usar directamente para sus propias esigencias. La administración de toda la aplicación y la pila del sistema es responsabilidad del Proveedor.

Esta distinción vale sea que se quiera utilizar el cloud para construir un servicio para sus clientes, sea para gestionar aplicaciones y servicios funcionales del propio IT.

El cloud, ¿qué ventajas?

El acercamiento “como servicio” del cloud tiene ventajas incrementales, cada vez más que se acerque al modelo SaaS, porque está la posibilidad de escalar el propio entorno operativo cloud sin preocuparse por eventuales adquisiciones Hardware (IaaS). Otra ventaja es la siempre mayor indipendecia de las tareas operativas que facilitan y hacen que la gestión de los sistemas (PaaS) sea más económica, hasta la posibilidad de delegar por completo la gestión al Proveedor (SaaS).

Los Proveedores suelen adoptar la política “pay per use” y esta política resulta ser otra ventaja sustancial: gracias a la velocidad de activación/desactivación/escalabilidad de los sistemas cloud, se pueden explotar (y pagar) los ambientes teniendo en cuenta las efectivas horas de uso (un típico ejemplo es una aplicación que se usa solo durante el horario de oficina).

Si consideramos el propio servidor empresarial como el propio coche, podemos asociar:

Un coche en alquiler a un servidor adquirido en modalidad IaaS (pago la gasolina y conduzco yo el coche, pero no pago el mantenimiento ni las piezas de recambio);

Un coche car sharing a un entorno PaaS (pago el tiempo de uso del coche, lo conduzco yo, pero no me preocupo de nada más);

Un taxi a un entorno SaaS (le pido al autista que me lleve de un punto a otro y le pago el tiempo de uso).

Cloud, ¿cuáles son los principales riesgos para la seguridad empresarial?

Hay 3 riesgos principales relativos al uso del cloud. El primero es que los datos no están bajo el control directo de la empresa, ni en un contexto que responde a las lógicas empresariales, es decir que los datos están expuestos a las vulnerabilidades de terceros.

El seguendo se refiere a la cesión y al uso de los datos. La legislación europea, ha propuesto una legislación comparada y válida en todos los Países con el El Reglamento General de Protección de Datos (GDPR).

El tercero se refiere al uso de las API, interfaces de tipo aplicativo que pueden ser usadas para construir otros servicios basándose en los existentes. Las API tienen que ser seguras puesto que son un punto de acceso a los datos.

Elaborado por Lucia D’Adamo, en colaboración con Pasquale Camastra y Alberto Caporro, supervisado por Marco Pirrone