LIBRO BLANCO Proveedores de servicios en la nube | Agosto de 2012 diferencie sus servicios en la nube con seguridad y transparencia Russell Miller Tyson Whitten Gestión de la seguridad de CA Technologies agility made possible™ Proveedores de servicios en la nube índice SECCIÓN 1: Reto 3 SECCIÓN 2: Oportunidad 3 SECCIÓN 3: Conclusiones 7 SECCIÓN 4: Referencias 7 SECCIÓN 5: Acerca de los autores 8 Proveedores de servicios en la nube Sección 1: Reto Uno de los mayores inhibidores a los que se enfrentan las empresas de hoy en día a la hora de llevar a cabo la transición de sus sistemas y servicios a la nube son las pérdidas de control y la falta de transparencia resultantes. Mientras que muchos clientes de la nube están satisfechos con las declaraciones de seguridad escritas (por ejemplo, las auditorías con el estándar SAS 70 y los términos contractuales), los requisitos han evolucionado. La descarga de los sistemas esenciales, las aplicaciones y los datos de las empresas fuera de la empresa tradicional les ha creado un punto ciego y una dificultad a la hora de medir los riesgos. Para gestionar mejor su exposición a riesgos, los clientes de la nube solicitan una mejor visibilidad de los datos y las acciones de sus administradores de TI y usuarios con privilegios. Sección 2: Oportunidad Los proveedores de servicios en la nube (CSP) deben ver la creciente demanda de transparencia por parte de los clientes como una oportunidad para la diferenciación. Los mercados de gestión de identidades con privilegios (PIM) y protección de datos disponen de un gran número de herramientas que ofrecen varios niveles de control y visibilidad. Para diferenciar las ofertas de servicios en la nube, se pueden utilizar unos accesos controlados estrictamente para los administradores internos, la gestión de cuentas compartidas, la seguridad de la administración del hipervisor, la generación de informes sobre la actividad de los usuarios, y la clasificación y el control de la información. Los CSP también tienen que tener en cuenta la velocidad a la que deben incorporar las tecnologías de gestión de identidades y accesos (IAM) a sus servicios. A medida que la competencia adopta herramientas para proporcionar a los clientes informes acerca de la actividad de los administradores e información en tiempo real sobre los datos, los CSP tienen que decidir cuánta transparencia van a proporcionar y a qué velocidad. Existen cinco métodos que los CSP pueden utilizar para cumplir los requisitos de sus clientes potenciales y así diferenciar sus servicios: 1. Proporcionar visibilidad de la ubicación de los datos del cliente 2. Proporcionar visibilidad de los controles y actividades de los administradores 3. Demostrar una seguridad multicliente 4. Demostrar la mejor seguridad de los datos de su sector 5. Habilitar el cumplimiento del cliente 3 Proveedores de servicios en la nube Proporcionar visibilidad de la ubicación de los datos del cliente La idea de dar control sobre los activos de datos confidenciales a proveedores externos sigue siendo un importante inhibidor para las empresas a la hora de realizar la transición a los servicios basados en la nube. Según Gartner, “La seguridad de los datos confidenciales en la nube es el principal problema a la hora de realizar la adopción de la nube”.1 Las empresas necesitan asegurarse de que el riesgo de que los datos se comprometan y el no cumplimiento de la normativa permanezcan igual o se reduzcan a la hora de la subcontratación. Los requisitos de los clientes acerca de la normativa de almacenamiento y seguridad de ciertos elementos de datos varían de forma global y regional. Las empresas ya no aceptan simplemente unos términos contractuales relativos al almacenamiento de los datos en una región determinada; sino que están comenzando a solicitar visibilidad en tiempo real de la ubicación de la información confidencial que se ha enviado a proveedores externos. Los CSP pueden utilizar los siguientes pasos relativos a la visibilidad para diferenciar sus ofertas: 1.Entender los datos del cliente: el primer paso es ayudar al cliente a realizar un inventario de los datos que ya ha facilitado o que planea facilitar a proveedores externos. El uso de tecnologías de clasificación automatizadas es un buen punto de inicio para realizar este inventario de información confidencial. Ayudar a un cliente a entender si los datos de su información personal (PII), propiedad intelectual (IP) o industria de tarjetas de pago (PCI) se almacenarán externamente puede ayudar a las empresas a estar más tranquilas a la hora de utilizar a un tercero para almacenar información confidencial. 2.Priorizar los datos: el siguiente paso es determinar los datos que se pueden mover. Un CSP puede ayudar a la empresa de un cliente a entender sus requisitos y sus umbrales de riesgo para determinar qué datos se pueden almacenar en un entorno externo en la nube. 3.Entregar visibilidad: actualmente, los CSP pueden proporcionar una gran visibilidad de dónde se almacenan los datos. Los requisitos acerca de las normas de almacenamiento y seguridad de ciertos elementos varían de forma global y regional. Si a un cliente se le exige por ley almacenar tipos de datos específicos en una región determinada, los CSP deben asegurar a sus clientes que así será durante el tiempo que dure el contrato. Las empresas están empezando a solicitar visibilidad en tiempo real de la ubicación de la información confidencial que ponen en manos de proveedores externos; y los proveedores están respondiendo ofreciéndoles visibilidad de la ubicación de los datos como un servicio diferenciador. Al satisfacer esta necesidad de visibilidad en tiempo real de la ubicación de los datos, los CSP pueden crear un importante servicio diferenciador. Esta capacidad permitirá a los clientes sentirse más seguros a la hora de proporcionar información confidencial a proveedores externos en un complejo entorno normativo, a la vez que facilita los esfuerzos de cumplimiento a la hora de las auditorías anuales. Proporcionar visibilidad de los controles y actividades de los administradores Los CSP pueden albergar dudas acerca de proporcionar a sus clientes demasiada visibilidad de sus operaciones internas pero, con las herramientas adecuadas, esto se puede convertir en un importante servicio diferenciador con un mínimo impacto operacional. Los CSP utilizan con frecuencia administradores de TI en centros de todo el mundo para mantener los costes al mínimo a la vez que proporcionan asistencia las 24 horas del día y los 7 días de la semana. En un entorno en el que los clientes tienen una mayor visibilidad de las operaciones de los proveedores de servicios, los CSP pueden creer que tienen la necesidad de limitar el número de administradores que pueden acceder a sus sistemas y a sus datos. Para sobreponerse a este reto, los CSP están buscando herramientas que proporcionen un aumento de la flexibilidad de los informes internos y externos. 4 Proveedores de servicios en la nube Estas herramientas no proporcionan únicamente una mejor transparencia para los clientes, sino que también permiten a los administradores internos operar sin interrupciones para mantener unos altos niveles de eficiencia. Los CSP tienen que buscar herramientas IAM de nueva generación que les proporcionen la capacidad de generar informes flexibles. Estas herramientas pueden controlar las identidades individuales y también los registros de actividad, además de incluir capacidades para anonimizar a los usuarios individuales en los informes externos y para consolidar los informes de actividad de un nivel específico. Por ejemplo, los CSP pueden seguir todas las identidades individuales y las acciones internas y proporcionar a los clientes únicamente los datos de uno de los tres niveles: Nivel de detalle Descripción Transparencia Grupos administrativos La compañía externa puede controlar todos los privilegios y los registros de auditoría del nivel de grupo. La empresa que aloja los datos puede agregar o eliminar individuos de estos grupos sin tener conocimientos de las compañías de los clientes. Menos detallado El usuario asociado a esa identidad puede cambiar a medida que el proveedor externo se mueve entre los recursos. La compañía responsable del alojamiento debe realizar un seguimiento de a quién le pertenece dicho rol en un momento específico. Más detallado Cada usuario individual está asociado a una identidad individual. La empresa responsable del alojamiento transmite los registros de los privilegios y actividades a la compañía del proveedor externo. El más detallado (p. ej., “Grupo de administración de Linux”) Roles individuales (p. ej., “Administrador de Linux n.º 1”) Identidades individuales (p. ej., “Proveedor externo_ ID15624” o “JohnSmith_ proveedor_externo”) Los CSP pueden proporcionar información resumida en informes estándar (“Menos detallado” o “Más detallado”) y proporcionar detalles adicionales (es decir, “El más detallado”) a petición del cliente si se produce una infracción. Los CSP también pueden demostrar su conocimiento e implementación de los principios de seguridad “Menor privilegio” y “Segregación de tareas” para diferenciarse de los competidores que no siguen (o no pueden demostrar) su implementación de estos conceptos. Demostrar una seguridad multicliente A las empresas de proveedores externos a menudo les preocupa que sus datos formen parte de un entorno multicliente, y están solicitando controles para reducir los riesgos que dichos entornos pueden poseer. Los CSP pueden solucionar estas preocupaciones y diferenciar sus servicios asegurando más eficazmente sus entornos multicliente y demostrando dichos controles de seguridad. En primer lugar, las herramientas de control de accesos se pueden configurar para restringir el acceso a máquinas virtuales específicas basándose en los privilegios de cada identidad del administrador del hipervisor. Esto ayuda a asegurar que, incluso en un entorno compartido, sólo los administradores apropiados tienen acceso las máquinas virtuales de las empresas. Los CSP pueden utilizar estas capacidades para ofrecer un servicio premium que permita que únicamente los administradores dedicados accedan a las máquinas virtuales confidenciales del cliente. Mientras que los administradores dedicados pueden ser caros, los CSP todavía pueden proporcionar servicios mediante un entorno multicliente, lo que puede abaratar costes. 5 Proveedores de servicios en la nube En segundo lugar, los CSP pueden utilizar controles de seguridad automatizados en la capa del hipervisor para proteger las máquinas virtuales individuales de errores involuntarios o de acciones administrativas no autorizadas. Por último, los CSP ahora pueden proporcionar datos de actividad de los usuarios en el hipervisor para sus clientes como servicio, para su descarga en herramientas de seguridad del cliente. Esto ayuda a las empresas de proveedores externos a comprender quién está accediendo a sus datos, a la vez que mantiene los registros de actividad de los usuarios para satisfacer los requisitos de las auditorías. Demostrar la mejor seguridad de los datos de su sector Los datos confidenciales son confidenciales sin importar su ubicación. Por ello, mientras que los enfoques tradicionales controlaban los datos al nivel del contenedor, no son suficientes en escenarios en los que los datos salen de los confines del centro de datos de los CSP con motivos colaborativos y de partnering. Lo que necesitan proporcionar los CSP es un enfoque de seguridad que incorpore seguridad datocéntrica para proteger con eficacia los activos confidenciales que se están externalizando. Esto reduce el riesgo de la subcontratación y permite que los datos fluyan a la vez que se mantiene el control empresarial. Entre los ejemplos de dichas soluciones de seguridad datocéntricas se incluyen la clasificación, la prevención contra la fuga de datos, y el cifrado y gestión de los derechos de la información (IRM). Los CSP ahora pueden ayudar a sus clientes a asegurar sus datos mientras se encuentran en reposo, en acceso, en uso y en movimiento. Por ejemplo: •En reposo: una vez finalizada la transición y el almacenamiento de los datos en la red y en los repositorios del proveedor, se deben cifrar cuando sea posible. Cierta información, por ejemplo, los datos relacionados con la PCI se deben cifrar debido a la normativa de cumplimiento, mientras que otra información se debe cifrar basándose en la confidencialidad del cliente. •En acceso: se debe tener en cuenta la confidencialidad de los datos cuando los administradores o los empleados intentan acceder a información confidencial. La comprensión de la confidencialidad de la información antes de permitir el acceso permite tomar unas decisiones más detalladas en lo referente al control de accesos. Además, la información que se cifra ayuda a proteger a la empresa de un acceso inapropiado debido a la ineficacia del contenedor del control de políticas. •En uso: una vez que el usuario obtiene acceso a los datos, se debe controlar el manejo. Los administradores que acceden a información confidencial de los clientes no deberían poder copiar información a un disco extraíble o imprimirla sin autorización. •En movimiento: también se debe controlar el manejo de la información en la red. Los roles que tienen acceso a los datos deberían controlarse de un modo selectivo basado en el rol y en la confidencialidad de la información. La habilidad de avisar, bloquear o cifrar información enviada a través de la red debería ayudar a controlar con eficacia el manejo de la información. Habilitar el cumplimiento del cliente Las empresas solicitan que sus proveedores externos les proporcionen herramientas e informes que les permitan alcanzar sus objetivos de cumplimiento. Además de los informes disponibles a petición, se deberían proporcionar importantes informes de cumplimiento a petición mediante datos en tiempo real. Los CSP pueden marcar la diferencia si proporcionan informes de seguridad con resúmenes de la información para los ejecutivos, así como información detallada para satisfacer a los auditores técnicos de los clientes. 6 Proveedores de servicios en la nube Aunque los requisitos específicos de cada cliente pueden variar, los CSP pueden proporcionar informes sobre: •Dónde se almacena la información (país, ciudad, etc.) •Quién y cuándo accede a los datos (siempre asociando los accesos a entidades individuales, no únicamente a cuentas compartidas) •A qué datos se accede (incluidos: información de tarjeta de crédito, información privada de estado de salud, etc.) •Qué se hace con la información a la que se accede (¿se exporta del sistema o se procesa con alguna aplicación?) Al tener informes ajustados específicamente a los requisitos individuales marcados por las empresas auditoras, un CSP puede eliminar un nivel de la interpretación que se había dejado abierto para los asesores individuales, ayudando así a sus clientes a reducir sus riesgos de cumplimiento. Sección 3: Conclusiones Los CSP pueden utilizar la PIM y las herramientas de seguridad de los datos para proporcionar a los clientes la información y transparencia que cada vez reclaman con más insistencia y también para distinguirse de sus competidores. La habilidad de proporcionar información sobre los controles de seguridad y las actividades de los administradores se está convirtiendo en un factor diferenciador competitivo importante. Con las herramientas adecuadas, los CSP pueden proporcionar a sus clientes la cantidad de información que necesitan a la vez que mantienen la productividad y flexibilidad de sus recursos internos. Esto se puede lograr mediante las más recientes herramientas de PIM en los entornos en la nube. Puede encontrar más información sobre los requisitos de PIM de los clientes para los servicios en la nube aquí. Sección 4: Referencias 1 Gartner, Inc., 2012 Planning Guide: Security and Risk Management, Dan Blum et al, 1 de noviembre de 2011 7 Proveedores de servicios en la nube Sección 5: Acerca de los autores Russell Miller ha trabajado seis años en la seguridad de redes, con roles que van desde el hacking ético hasta el marketing de productos. Actualmente se encarga de gestionar el marketing de los productos de gestión de identidades con privilegios y seguridad de la virtualización de CA ControlMinder™. Russell es licenciado en Computer Science por el Middlebury College y tiene un M.B.A. (máster en administración de empresas) de la MIT Sloan School of Management. Tyson Whitten es un CISSP (profesional certificado en la seguridad de los sistemas de información), y cuenta con más de 10 años de experiencia en la seguridad de la información y en la gestión de la aplicaciones, redes, productos y servicios basados en riesgos. En su rol actual, es responsable del marketing de soluciones para la movilidad y las soluciones de protección de datos en la unidad de soluciones de seguridad para los clientes de CA Technologies. Antes de trabajar en CA Technologies, Tyson trabajó en Genuity, Guardent, VeriSign y SecureWorks. Tiene una licenciatura en Information Systems y un M.B.A. en Product and General Management del Boston College. CA Technologies es una empresa de software y soluciones de gestión de TI con experiencia en todos los entornos, desde el mainframe y los entornos físicos hasta los virtuales y en la nube. CA Technologies gestiona los entornos de TI y garantiza su seguridad, lo que permite a los clientes prestar unos servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proporcionan la comprensión y el control fundamentales para que las organizaciones de TI impulsen la agilidad empresarial. La mayoría de las compañías que figuran en la lista Global Fortune 500 confían en CA Technologies para gestionar sus ecosistemas de TI en constante evolución. Para obtener más información, visite el sitio de CA Technologies en ca.com. Copyright © 2012 CA. Todos los derechos reservados. Linux® es una marca registrada de Linus Torvalds en EE. UU. y otros países. Todas las marcas registradas, nombres comerciales, logotipos y marcas de servicios a los que se hace referencia en este documento pertenecen a sus respectivas compañías. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona este documento “tal cual”, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños. CA no proporciona asesoramiento jurídico. Ningún producto de software al que se hace referencia en la presente documentación se convierte en medio sustitutivo del cumplimiento de ninguna ley (incluidos, a título enunciativo y no taxativo, cualquier reglamento, estatuto, norma, regulación, directiva, directriz, política, orden administrativa, decreto, etc. [en conjunto, “leyes”]) a la que se haga referencia en la presente documentación, o de ninguna obligación contractual con terceros. Se recomienda que recurra al asesoramiento legal competente con respecto a dichas leyes u obligaciones contractuales. CS2723_0812