Los expertos reclaman medidas para proteger los servicios de computaci¨®n en la nube

Estamos entrando en la nueva era tecnol¨®gica conocida como computaci¨®n en la nube (cloud computing, en ingl¨¦s), t¨¦rmino m¨¢s po¨¦tico que t¨¦cnico que indica que las aplicaciones y los servicios se proporcionan directamente en la red, sin importar el terminal ni d¨®nde se encuentre esos datos. Sin embargo, su desarrollo peligra ante la falta de transparencia de los proveedores, que no parecen garantizar que los datos de los usuarios no caigan en manos criminales o poco amistosas. La seguridad siempre ha sido uno de los puntos claves en las tecnolog¨ªas de la informaci¨®n e Internet, y lo ser¨¢ a¨²n mucho m¨¢s en la computaci¨®n en la nube, ha afirmado Jim Reavis, fundador y director ejecutivo de la Cloud Security Alliance, durante la jornada de hoy del BDigital Global Congress , que se celebra hasta ma?ana jueves en Barcelona.

La computaci¨®n en la nube es una transici¨®n muy significativa de la inform¨¢tica, a?ade Reavis, se convertir¨¢ en algo parecido a comprar a los suministradores de telecomunicaciones o del agua. "Ser¨¢ la tercera gran era en la evoluci¨®n de la inform¨¢tica y seremos testigos en pocos a?os de la aparici¨®n de algunas empresas que ser¨¢n clave". ?Que si las grandes corporaciones de las TIC liderar¨¢n el cambio? "IBM lo hizo en la era de los grandes ordenadores; Microsoft con los servidores PC". As¨ª como Internet hizo posible la aparici¨®n de un gigante como Google, habr¨¢ otros actores en la computaci¨®n en la nube, nuevas empresas e ideas que gestionar¨¢n y dirigir¨¢n este cambio, afirma este experto.

Los profesionales de las TIC y del ¨¢mbito jur¨ªdico, entre otros, tambi¨¦n deber¨¢n ponerse las pilas y adaptarse a una escala de trabajo diferente. A los primeros, porque deben manejar la transici¨®n a esta nueva modalidad inform¨¢tica, mucho m¨¢s compleja de lo que hemos conocido hasta ahora; los abogados y juristas, deber¨¢n enfrentarse al reto de c¨®mo adaptarse al nuevo modelo de negocio en el que buena parte de la informaci¨®n y aplicaciones que manejan los proveedores de servicios se encuentran en la nube, en cualquier parte del mundo, fuera de la frontera f¨ªsica y legal del pa¨ªs de origen. De hecho, A Reavis le sorprende c¨®mo los gobiernos est¨¢n adoptando la inform¨¢tica en la nube hasta el punto de que parte de la informaci¨®n que se est¨¢ almacenando ni siquiera se encuentra en su pa¨ªs, y eso es algo que va a tener implicaciones absolutamente radicales, asegura.

La Cloud Security Alliance ha realizado algunas investigaciones para valorar estos problemas y uno de los que han observado como cr¨ªticos es la transparencia de los proveedores de servicios, que persiguen la innovaci¨®n y se centran en los clientes, pero no tanto en la transparencia total de funcionamiento de sus sistemas.

Marcos jur¨ªdicos adecuados

As¨ª como el Imperio Romano conquistaba territorios y luego garantizaba la seguridad de las v¨ªas de comunicaciones que constru¨ªa, diversos inventos como el SSL han permitido el desarrollo del comercio electr¨®nico en Internet, a?ade Reavis. Pero no es suficiente. Tambi¨¦n har¨¢n falta marcos jur¨ªdicos centrados en c¨®mo funcionan los sistemas que operan en los servicios de computaci¨®n en la nube, en la responsabilidad jur¨ªdica que hay en cada pa¨ªs. Pero tambi¨¦n habr¨¢ que garantizar que los proveedores de servicios en esta nueva plataforma obtengan la certificaci¨®n adecuada de instituciones para que no sea posible "acceder a centros de datos, por ejemplo en Google o Amazon, y mirar". Y, adem¨¢s, herramientas de gesti¨®n, control y medici¨®n para hacer un seguimiento del recorrido que hacen los datos en la nube.

En este sentido, mucho tiene que ver la agencia europea de seguridad de las redes y la informaci¨®n (ENISA). "Hay que apoyar a los estados miembros y a los negocios a establecer una implementaci¨®n segura de la computaci¨®n en la nube", afirm¨® Daniele Catteddu, experto en gesti¨®n del riesgo de ENISA. Quiz¨¢ ¨¦se sea un paso previo para garantizar un mejor desarrollo de esta nueva modalidad inform¨¢tica en Europa, donde s¨®lo funcionan relativamente proyectos en el Reino Unido y Dinamarca. "Algunos de los estados miembros ni siquiera saben qu¨¦ es la inform¨¢tica en la nube". En cambio, el gobierno japon¨¦s utiliza la computaci¨®n en la nube como generador de actividad empresarial y ese modelo, recomienda Catteddu, se puede reutilizar o adaptar al ¨¢mbito europeo. Tambi¨¦n la utilizan los gobiernos de Australia, Estados Unidos, Singapur o Corea.

Evitar la tormenta perfecta

Rams¨¦s Gallego, director general de Entel en Catalu?a, est¨¢ de acuerdo en la necesidad de plantearse las preguntas adecuadas ante cualquier proyecto de transici¨®n a la computaci¨®n en la nube para evitar que una combinaci¨®n de circunstancias produzca "una tormenta perfecta". Desde el consabido qui¨¦n, c¨®mo, cu¨¢ndo y d¨®nde se accede a la informaci¨®n, a la trazabilidad de los datos, qui¨¦n tiene derecho a auditar los incidentes en la nube y con qu¨¦ herramientas, o temas legales como la imposibilidad de tener datos confidenciales fuera de las fronteras f¨ªsicas (es decir, en la nube) como es el caso de Espa?a. Nadeem Bukhari, director t¨¦cnico Kinamik, profundiz¨® en el tema de las auditor¨ªas en este tipo de servicios y en la necesidad de disponer de aplicaciones automatizadas. "Los itinerarios de auditor¨ªa son un objeto de amenazas potenciales y los hackers los cambian", a veces sin que los t¨¦cnicos ni se den cuenta, para no dejar rastro de sus actividades delictivas, a?ade.

Los proveedores de servicios en la nube est¨¢n recolectando gran parte de datos sensibles de clientes y usuarios que son un objetivo de alto valor paragente con intenciones no ¨¦ticas, dice Bukhari. "Incluso muchas organizaciones que gastan mucho dinero en estos temas tienen problemas y, de hecho, necesitan implementar estos controles de seguridad; empresas como Amazon han subcontratado estos servicios, pero puede ser un eslab¨®n d¨¦bil si hay vulnerabilidad en uno de los proveedores de la nube porque afectar¨¢ al resto". Ya hace tiempo que muchas organizaciones empezaron a subcontratar estos servicios de seguridad de los datos "y eso supone una ruptura en el ¨¢mbito de la seguridad, hay que replantearse la pol¨ªtica de seguridad de las empresas, que subcontratar¨¢n estos servicios en la nube en la pr¨®xima d¨¦cada y todo se complicar¨¢ m¨¢s, ser¨¢ un tema cada vez m¨¢s candente", dice Bukhari.

A r¨ªo revuelto, ganancia de pescadores. Carles Fragoso, de Cesicat, ha vaticinado que en poco tiempo se crear¨¢n numerosas empresas que ofrecer¨¢n servicios forenses para analizar el robo de informaci¨®n cr¨ªtica para actos delictivos. En la sesi¨®n de hoy tambi¨¦n han participado empresas de servicios como HP Entreprise Services, Fujitsu y Telef¨®nica Espa?a, que han hablado de las oportunidades del cloud computing y amenazas como los botnets.