agility made possible

Anuncio
LIBRO BLANCO
Proveedores de servicios en la nube | Agosto de 2012
diferencie sus
servicios en
la nube con
seguridad y
transparencia
Russell Miller
Tyson Whitten
Gestión de la seguridad de CA Technologies
agility
made possible™
Proveedores de servicios en la nube
índice
SECCIÓN 1: Reto
3
SECCIÓN 2: Oportunidad
3
SECCIÓN 3: Conclusiones
7
SECCIÓN 4: Referencias
7
SECCIÓN 5: Acerca de los autores
8
Proveedores de servicios en la nube
Sección 1:
Reto
Uno de los mayores inhibidores a los que se enfrentan las empresas de hoy en día a la hora de
llevar a cabo la transición de sus sistemas y servicios a la nube son las pérdidas de control y la falta
de transparencia resultantes. Mientras que muchos clientes de la nube están satisfechos con las
declaraciones de seguridad escritas (por ejemplo, las auditorías con el estándar SAS 70 y los términos
contractuales), los requisitos han evolucionado. La descarga de los sistemas esenciales, las aplicaciones
y los datos de las empresas fuera de la empresa tradicional les ha creado un punto ciego y una dificultad
a la hora de medir los riesgos. Para gestionar mejor su exposición a riesgos, los clientes de la nube solicitan
una mejor visibilidad de los datos y las acciones de sus administradores de TI y usuarios con privilegios.
Sección 2:
Oportunidad
Los proveedores de servicios en la nube (CSP) deben ver la creciente demanda de transparencia por parte
de los clientes como una oportunidad para la diferenciación. Los mercados de gestión de identidades
con privilegios (PIM) y protección de datos disponen de un gran número de herramientas que ofrecen
varios niveles de control y visibilidad. Para diferenciar las ofertas de servicios en la nube, se pueden
utilizar unos accesos controlados estrictamente para los administradores internos, la gestión de cuentas
compartidas, la seguridad de la administración del hipervisor, la generación de informes sobre la actividad
de los usuarios, y la clasificación y el control de la información.
Los CSP también tienen que tener en cuenta la velocidad a la que deben incorporar las tecnologías
de gestión de identidades y accesos (IAM) a sus servicios. A medida que la competencia adopta
herramientas para proporcionar a los clientes informes acerca de la actividad de los administradores
e información en tiempo real sobre los datos, los CSP tienen que decidir cuánta transparencia van
a proporcionar y a qué velocidad.
Existen cinco métodos que los CSP pueden utilizar para cumplir los requisitos de sus clientes potenciales
y así diferenciar sus servicios:
1.
Proporcionar visibilidad de la ubicación de los datos del cliente
2.
Proporcionar visibilidad de los controles y actividades
de los administradores
3.
Demostrar una seguridad multicliente
4.
Demostrar la mejor seguridad de los datos de su sector
5.
Habilitar el cumplimiento del cliente
3
Proveedores de servicios en la nube
Proporcionar visibilidad de la ubicación de los datos del cliente
La idea de dar control sobre los activos de datos confidenciales a proveedores externos sigue siendo
un importante inhibidor para las empresas a la hora de realizar la transición a los servicios basados
en la nube. Según Gartner, “La seguridad de los datos confidenciales en la nube es el principal
problema a la hora de realizar la adopción de la nube”.1 Las empresas necesitan asegurarse de que
el riesgo de que los datos se comprometan y el no cumplimiento de la normativa permanezcan igual
o se reduzcan a la hora de la subcontratación.
Los requisitos de los clientes acerca de la normativa de almacenamiento y seguridad de ciertos elementos
de datos varían de forma global y regional. Las empresas ya no aceptan simplemente unos términos
contractuales relativos al almacenamiento de los datos en una región determinada; sino que están
comenzando a solicitar visibilidad en tiempo real de la ubicación de la información confidencial que
se ha enviado a proveedores externos.
Los CSP pueden utilizar los siguientes pasos relativos a la visibilidad para diferenciar sus ofertas:
1.Entender los datos del cliente: el primer paso es ayudar al cliente a realizar un inventario de los
datos que ya ha facilitado o que planea facilitar a proveedores externos. El uso de tecnologías de
clasificación automatizadas es un buen punto de inicio para realizar este inventario de información
confidencial. Ayudar a un cliente a entender si los datos de su información personal (PII), propiedad
intelectual (IP) o industria de tarjetas de pago (PCI) se almacenarán externamente puede ayudar
a las empresas a estar más tranquilas a la hora de utilizar a un tercero para almacenar información
confidencial.
2.Priorizar los datos: el siguiente paso es determinar los datos que se pueden mover. Un CSP
puede ayudar a la empresa de un cliente a entender sus requisitos y sus umbrales de riesgo
para determinar qué datos se pueden almacenar en un entorno externo en la nube.
3.Entregar visibilidad: actualmente, los CSP pueden proporcionar una gran visibilidad de dónde
se almacenan los datos. Los requisitos acerca de las normas de almacenamiento y seguridad de
ciertos elementos varían de forma global y regional. Si a un cliente se le exige por ley almacenar
tipos de datos específicos en una región determinada, los CSP deben asegurar a sus clientes
que así será durante el tiempo que dure el contrato. Las empresas están empezando a solicitar
visibilidad en tiempo real de la ubicación de la información confidencial que ponen en manos
de proveedores externos; y los proveedores están respondiendo ofreciéndoles visibilidad de
la ubicación de los datos como un servicio diferenciador.
Al satisfacer esta necesidad de visibilidad en tiempo real de la ubicación de los datos, los CSP pueden
crear un importante servicio diferenciador. Esta capacidad permitirá a los clientes sentirse más seguros
a la hora de proporcionar información confidencial a proveedores externos en un complejo entorno
normativo, a la vez que facilita los esfuerzos de cumplimiento a la hora de las auditorías anuales.
Proporcionar visibilidad de los controles y actividades de los administradores
Los CSP pueden albergar dudas acerca de proporcionar a sus clientes demasiada visibilidad de sus
operaciones internas pero, con las herramientas adecuadas, esto se puede convertir en un importante
servicio diferenciador con un mínimo impacto operacional.
Los CSP utilizan con frecuencia administradores de TI en centros de todo el mundo para mantener los
costes al mínimo a la vez que proporcionan asistencia las 24 horas del día y los 7 días de la semana.
En un entorno en el que los clientes tienen una mayor visibilidad de las operaciones de los proveedores
de servicios, los CSP pueden creer que tienen la necesidad de limitar el número de administradores que
pueden acceder a sus sistemas y a sus datos. Para sobreponerse a este reto, los CSP están buscando
herramientas que proporcionen un aumento de la flexibilidad de los informes internos y externos.
4
Proveedores de servicios en la nube
Estas herramientas no proporcionan únicamente una mejor transparencia para los clientes, sino que
también permiten a los administradores internos operar sin interrupciones para mantener unos altos
niveles de eficiencia.
Los CSP tienen que buscar herramientas IAM de nueva generación que les proporcionen la capacidad de
generar informes flexibles. Estas herramientas pueden controlar las identidades individuales y también
los registros de actividad, además de incluir capacidades para anonimizar a los usuarios individuales
en los informes externos y para consolidar los informes de actividad de un nivel específico.
Por ejemplo, los CSP pueden seguir todas las identidades individuales y las acciones internas
y proporcionar a los clientes únicamente los datos de uno de los tres niveles:
Nivel de detalle
Descripción
Transparencia
Grupos administrativos
La compañía externa puede controlar todos los privilegios
y los registros de auditoría del nivel de grupo. La empresa
que aloja los datos puede agregar o eliminar individuos de
estos grupos sin tener conocimientos de las compañías de
los clientes.
Menos detallado
El usuario asociado a esa identidad puede cambiar a medida
que el proveedor externo se mueve entre los recursos.
La compañía responsable del alojamiento debe realizar un
seguimiento de a quién le pertenece dicho rol en un momento
específico.
Más detallado
Cada usuario individual está asociado a una identidad
individual. La empresa responsable del alojamiento transmite
los registros de los privilegios y actividades a la compañía
del proveedor externo.
El más detallado
(p. ej., “Grupo de
administración de Linux”)
Roles individuales
(p. ej., “Administrador
de Linux n.º 1”)
Identidades individuales
(p. ej., “Proveedor externo_
ID15624” o “JohnSmith_
proveedor_externo”)
Los CSP pueden proporcionar información resumida en informes estándar (“Menos detallado”
o “Más detallado”) y proporcionar detalles adicionales (es decir, “El más detallado”) a petición
del cliente si se produce una infracción.
Los CSP también pueden demostrar su conocimiento e implementación de los principios de seguridad
“Menor privilegio” y “Segregación de tareas” para diferenciarse de los competidores que no siguen
(o no pueden demostrar) su implementación de estos conceptos.
Demostrar una seguridad multicliente
A las empresas de proveedores externos a menudo les preocupa que sus datos formen parte de un
entorno multicliente, y están solicitando controles para reducir los riesgos que dichos entornos pueden
poseer. Los CSP pueden solucionar estas preocupaciones y diferenciar sus servicios asegurando más
eficazmente sus entornos multicliente y demostrando dichos controles de seguridad.
En primer lugar, las herramientas de control de accesos se pueden configurar para restringir el acceso
a máquinas virtuales específicas basándose en los privilegios de cada identidad del administrador
del hipervisor. Esto ayuda a asegurar que, incluso en un entorno compartido, sólo los administradores
apropiados tienen acceso las máquinas virtuales de las empresas. Los CSP pueden utilizar estas
capacidades para ofrecer un servicio premium que permita que únicamente los administradores
dedicados accedan a las máquinas virtuales confidenciales del cliente. Mientras que los administradores
dedicados pueden ser caros, los CSP todavía pueden proporcionar servicios mediante un entorno
multicliente, lo que puede abaratar costes.
5
Proveedores de servicios en la nube
En segundo lugar, los CSP pueden utilizar controles de seguridad automatizados en la capa del hipervisor
para proteger las máquinas virtuales individuales de errores involuntarios o de acciones administrativas
no autorizadas.
Por último, los CSP ahora pueden proporcionar datos de actividad de los usuarios en el hipervisor para
sus clientes como servicio, para su descarga en herramientas de seguridad del cliente. Esto ayuda a las
empresas de proveedores externos a comprender quién está accediendo a sus datos, a la vez que mantiene
los registros de actividad de los usuarios para satisfacer los requisitos de las auditorías.
Demostrar la mejor seguridad de los datos de su sector
Los datos confidenciales son confidenciales sin importar su ubicación. Por ello, mientras que los enfoques
tradicionales controlaban los datos al nivel del contenedor, no son suficientes en escenarios en los que
los datos salen de los confines del centro de datos de los CSP con motivos colaborativos y de partnering.
Lo que necesitan proporcionar los CSP es un enfoque de seguridad que incorpore seguridad datocéntrica
para proteger con eficacia los activos confidenciales que se están externalizando. Esto reduce el riesgo
de la subcontratación y permite que los datos fluyan a la vez que se mantiene el control empresarial. Entre
los ejemplos de dichas soluciones de seguridad datocéntricas se incluyen la clasificación, la prevención
contra la fuga de datos, y el cifrado y gestión de los derechos de la información (IRM).
Los CSP ahora pueden ayudar a sus clientes a asegurar sus datos mientras se encuentran en reposo,
en acceso, en uso y en movimiento. Por ejemplo:
•En reposo: una vez finalizada la transición y el almacenamiento de los datos en la red y en los
repositorios del proveedor, se deben cifrar cuando sea posible. Cierta información, por ejemplo,
los datos relacionados con la PCI se deben cifrar debido a la normativa de cumplimiento, mientras
que otra información se debe cifrar basándose en la confidencialidad del cliente.
•En acceso: se debe tener en cuenta la confidencialidad de los datos cuando los administradores
o los empleados intentan acceder a información confidencial. La comprensión de la confidencialidad
de la información antes de permitir el acceso permite tomar unas decisiones más detalladas en lo
referente al control de accesos. Además, la información que se cifra ayuda a proteger a la empresa
de un acceso inapropiado debido a la ineficacia del contenedor del control de políticas.
•En uso: una vez que el usuario obtiene acceso a los datos, se debe controlar el manejo.
Los administradores que acceden a información confidencial de los clientes no deberían
poder copiar información a un disco extraíble o imprimirla sin autorización.
•En movimiento: también se debe controlar el manejo de la información en la red. Los roles que tienen
acceso a los datos deberían controlarse de un modo selectivo basado en el rol y en la confidencialidad
de la información. La habilidad de avisar, bloquear o cifrar información enviada a través de la red debería
ayudar a controlar con eficacia el manejo de la información.
Habilitar el cumplimiento del cliente
Las empresas solicitan que sus proveedores externos les proporcionen herramientas e informes que
les permitan alcanzar sus objetivos de cumplimiento. Además de los informes disponibles a petición,
se deberían proporcionar importantes informes de cumplimiento a petición mediante datos en tiempo
real.
Los CSP pueden marcar la diferencia si proporcionan informes de seguridad con resúmenes de
la información para los ejecutivos, así como información detallada para satisfacer a los auditores
técnicos de los clientes.
6
Proveedores de servicios en la nube
Aunque los requisitos específicos de cada cliente pueden variar, los CSP pueden proporcionar informes
sobre:
•Dónde se almacena la información (país, ciudad, etc.)
•Quién y cuándo accede a los datos (siempre asociando los accesos a entidades individuales,
no únicamente a cuentas compartidas)
•A qué datos se accede (incluidos: información de tarjeta de crédito, información privada de estado
de salud, etc.)
•Qué se hace con la información a la que se accede (¿se exporta del sistema o se procesa con alguna
aplicación?)
Al tener informes ajustados específicamente a los requisitos individuales marcados por las empresas
auditoras, un CSP puede eliminar un nivel de la interpretación que se había dejado abierto para los
asesores individuales, ayudando así a sus clientes a reducir sus riesgos de cumplimiento.
Sección 3:
Conclusiones
Los CSP pueden utilizar la PIM y las herramientas de seguridad de los datos para proporcionar a los
clientes la información y transparencia que cada vez reclaman con más insistencia y también para
distinguirse de sus competidores. La habilidad de proporcionar información sobre los controles de
seguridad y las actividades de los administradores se está convirtiendo en un factor diferenciador
competitivo importante. Con las herramientas adecuadas, los CSP pueden proporcionar a sus clientes
la cantidad de información que necesitan a la vez que mantienen la productividad y flexibilidad de
sus recursos internos. Esto se puede lograr mediante las más recientes herramientas de PIM en los
entornos en la nube.
Puede encontrar más información sobre los requisitos de PIM de los clientes para los servicios
en la nube aquí.
Sección 4:
Referencias
1 Gartner, Inc., 2012 Planning Guide: Security and Risk Management, Dan Blum et al, 1 de noviembre
de 2011
7
Proveedores de servicios en la nube
Sección 5:
Acerca de los autores
Russell Miller ha trabajado seis años en la seguridad de redes, con roles que van desde el hacking ético
hasta el marketing de productos. Actualmente se encarga de gestionar el marketing de los productos
de gestión de identidades con privilegios y seguridad de la virtualización de CA ControlMinder™. Russell
es licenciado en Computer Science por el Middlebury College y tiene un M.B.A. (máster en administración
de empresas) de la MIT Sloan School of Management.
Tyson Whitten es un CISSP (profesional certificado en la seguridad de los sistemas de información),
y cuenta con más de 10 años de experiencia en la seguridad de la información y en la gestión de la
aplicaciones, redes, productos y servicios basados en riesgos. En su rol actual, es responsable del
marketing de soluciones para la movilidad y las soluciones de protección de datos en la unidad de
soluciones de seguridad para los clientes de CA Technologies. Antes de trabajar en CA Technologies,
Tyson trabajó en Genuity, Guardent, VeriSign y SecureWorks. Tiene una licenciatura en Information
Systems y un M.B.A. en Product and General Management del Boston College.
CA Technologies es una empresa de software y soluciones de gestión de TI
con experiencia en todos los entornos, desde el mainframe y los entornos
físicos hasta los virtuales y en la nube. CA Technologies gestiona los entornos
de TI y garantiza su seguridad, lo que permite a los clientes prestar unos
servicios de TI más flexibles. Los innovadores productos y servicios de
CA Technologies proporcionan la comprensión y el control fundamentales
para que las organizaciones de TI impulsen la agilidad empresarial. La mayoría
de las compañías que figuran en la lista Global Fortune 500 confían en
CA Technologies para gestionar sus ecosistemas de TI en constante evolución.
Para obtener más información, visite el sitio de CA Technologies en ca.com.
Copyright © 2012 CA. Todos los derechos reservados. Linux® es una marca registrada de Linus Torvalds en EE. UU. y otros países. Todas las marcas
registradas, nombres comerciales, logotipos y marcas de servicios a los que se hace referencia en este documento pertenecen a sus respectivas
compañías. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información.
En la medida de lo permitido por la ley vigente, CA proporciona este documento “tal cual”, sin garantía de ningún tipo, incluidas, a título enunciativo
y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los
supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo
y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso
cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños. CA no proporciona asesoramiento jurídico.
Ningún producto de software al que se hace referencia en la presente documentación se convierte en medio sustitutivo del cumplimiento de ninguna
ley (incluidos, a título enunciativo y no taxativo, cualquier reglamento, estatuto, norma, regulación, directiva, directriz, política, orden administrativa,
decreto, etc. [en conjunto, “leyes”]) a la que se haga referencia en la presente documentación, o de ninguna obligación contractual con terceros.
Se recomienda que recurra al asesoramiento legal competente con respecto a dichas leyes u obligaciones contractuales.
CS2723_0812
Descargar