RSA Conference deja al descubierto los agujeros de cloud computing


RSA Conference siempre ha sabido seguir el rastro de las principales tendencias de mercado para someterlas al implacable escrutinio de los expertos en seguridad. Por ello, no es de extrañar que este año la atención de la primera conferencia sobre seguridad del mundo, celebrada en San Francisco del 20 al 24 de abril, se centrará en cloud computing.





Sea en busca del ahorro, de una mayor eficiencia o de ambas cosas a la vez, la recesión económica no está impidiendo -más bien todo lo contrario- que los ingresos generados por los servicios basados en cloud computing crezcan a un ritmo acelerado. Y así seguirán haciéndolo durante los próximos años hasta pasar de 56.3000 a 150.000 millones de dólares entre 2009 y 2013, según Gartner. Pero el éxito del modelo no significa que hoy ya tenga respuestas para todo. Como advirtieron todos los participantes en RSA Conference, cloud computing expone a las empresas a nuevos retos de seguridad a los que la industria pronto deberá dar respuesta.

Integridad y pérdida de datos, cumplimiento normativo, fiabilidad, autenticación y gestión del ciclo de vida son algunas de las cuestiones potencialmente peligrosas de los servicios cloud computing que se abordaron en el evento. Todos estos frentes suponen una “verdadera pesadilla de seguridad, que no puede ser tratada de una forma tradicional”, afirmó John Chambers, CEO de Cisco Systems en su intervención en la conferencia. El resto de expertos que acudieron al evento de San Francisco coincidieron en el diagnóstico, recomendando a las empresas que, hasta que se consigan mejores niveles de seguridad en la nube, se esfuercen por gestionar los riesgos, sopesando las ventajas corporativas que el nuevo modelo aporta con sus peligros potenciales. Tampoco faltaron consejos para la industria, animándola a poner el foco en el problema a fin de conseguir cuanto antes las soluciones que ya demanda el mercado.

Llegan las primeras soluciones

Precisamente en RSA Conference se pudieron conocer algunas de esas soluciones y avances en seguridad para cloud computing. Cisco, por ejemplo, anunció un servicio basado en cloud que reúne datos sobre retos de seguridad en Internet y los envía automáticamente a los usuarios en modo push. Un enfoque similar al utilizado por Trend Micro en OfficeScan. En el preanuncio de la solución, la compañía describió como la nueva suite utiliza servidores de su propia red para chequear el estado de archivos, email y contenido web, en vez de confiar en los mecanismos de protección instalados en las sobremesas de los usuarios, que fácilmente pueden quedarse desactualizados. Siguiendo la misma tendencia, el modelo “predictivo” de McAfee se basa en la cloud para compartir “inteligencia” sobre retos entre diferentes tipos de dispositivos de seguridad para identificar y bloquear actividades maliciosas más rápidamente que con los métodos convencionales. Con un modelo distinto, Savvis lanzó un servicio de firewall de aplicaciones web (WAF) que se basa en dispositivos de Imperva o, utilizando la cloud y el modelo SaaS, en réplicas o instances del software que el proveedor tiene instalado entre Internet y su red.

En cualquier caso, aunque cada vez hay más soluciones disponibles, los usuarios presentes en RSA Conference manifestaron su preocupación por el hecho evidente de que las medidas defensivas actuales siguen quedándose por detrás de las vulnerabilidades conocidas de los servicios públicos de cloud computing. Un inconveniente que ha llevado a muchas empresas a organizarse. Durante la conferencia, los dos grupos de usuarios dedicados a la seguridad en cloud hoy existentes -uno europeo y otro estadounidense-, no sólo aprovecharon para airear sus reivindicaciones sino que incluso llegaron a comprometerse a unir fuerzas para presionar a los fabricantes y proveedores a fin de que aceleren sus desarrollos de protección. El grupo de Estados Unidos, Cloud Security Alliance (CSA), utilizó el evento para dar a conocer sus esfuerzos por conseguir la estandarización de la seguridad en cloud, recogidos en el documento "Security Guidance for Critical Areas of Focus in Cloud Computing", donde se detallan 15 áreas clave de desarrollo. CSA pidió además al grupo europeo Jerico Forum su apoyo al documento, ya que, según sus responsables, los objetivos de ambas organizaciones coinciden en lo fundamental. A favor de estos grupos juega la presencia en ellos de grandes corporaciones internacionales que, como eBay e ING, tienen el peso e influencia suficientes para forzar a la industria a colaborar en el desarrollo de nuevas soluciones y estándares de seguridad específicamente diseñadas para el modelo cloud computing.

Servicios de certificación, ¿nuevo negocio?

Cuando se trata de asegurarse de que el servicio cloud computing de un proveedor es lo suficientemente segura, la certificación por terceros mediante la aplicación de estándares podría ser una alternativa quizá más cerca de la realidad de lo que pudiera parecer. Así lo estimó Jim Alsop, vicepresidente de operaciones de suministro de servicios de EDS, ahora propiedad de HP, quien dio a conocer el interés de su compañía por ofrecer servicios que monitoricen y, en su caso, certifiquen como seguras las redes de los proveedores de cloud computing, una posibilidad que ya se está considerando internamente. Según Alsop, un medio para la certificación podría ser el marco estándar COBIT, ya utilizado por muchas empresas para garantizar el cumplimiento de los requerimientos de seguridad que marca Sarbanes-Oxley Act. También se podría aplicar una versión adaptada al modelo cloud del Statement on Auditing Standard 70 (SAS 70), un conjunto de reglas de auditoría sobre el procesamiento de transacciones de servicios.

Utilizar servicios de cloud computing cada vez resulta más atractivo para las organizaciones pero, como señalaron en RSA Conference varias empresas usuarias, hay que estar preparados para los nuevos retos potenciales que el modelo introduce y poder chequear cómo trabaja internamente la nube. Y eso podría llevar a dedicar a esas tareas a nuevo personal técnico o a externalizarlas, un nuevo coste en cualquier caso que habrá que sopesar con los ahorros y ventajas que conlleva el modelo.

Cloud y cumplimiento normativo

Junto a la potencial pérdida de datos, una de las cuestiones que más preocupan a los expertos reunidos en RSA Conference sobre la seguridad en cloud es el cumplimiento normativo. Cada vez son más las regulaciones sectoriales y generales que marcan la actividad de las empresas, cuyo cumplimiento se complica cuando se cuenta con presencia en varios países, cada uno con normas locales propias. Como afirmaron los expertos en San Francisco, si una norma obliga a encriptar los datos almacenados de los clientes, cómo una empresa puede estar segura de que su proveedor cifra tal información. Y cómo garantizar que un proveedor cumple con las normas de un determinado país europeo sometido a las reglas de la UE, por ejemplo, si los datos referentes a la actividad en ese mercado se guardan en Estados Unidos o en cualquier otro lugar del mundo. Poder contratar servicios de certificación de un tercero podría ayudar en la tarea.

Fuente:
http://www.idg.es



Otras noticias de interés:

http:/// provoca DoS en Opera
Podría decir que estaba haciendo algún estudio de seguridad o dándole al fuzzing, que está de moda, pero la realidad es que he detectado el bug de forma totalmente circunstancial. En pocas palabras, Opera consume toda la CPU y se va comiendo la R...
MS - Internet Explorer y el Content-Type!
Interesante artículo escrito por Jesus Lara en su blog sobre la polemíca solución que quiere imponer Microsoft en el Content-Type de las páginas web....
Nueva vulnerabilidad afecta por igual a Explorer y Firefox
Una nueva falla de seguridad fue encontrada en los dos exploradores de internet más utilizados: Internet Explorer y Firefox, posibilitándole a un atacante robar información de la computadora de la víctima....
Claves SSH de Servidores GNU/Linux comprometidas
El US-CERT acaba de publicar un aviso sobre la detección de un aumento de ataques contra infraestructuras basadas en Linux mediante el uso de claves SSH comprometidas, probablemente relacionadas con el famoso fallo de Debian. Especialmente vulnerabl...
Crimeware como servicio
El crimen como servicio está facilitando el rápido desarrollo de nuevas y sofisticadas amenazas, según un reciente informe de CA Technologies. ...
Disponible el Service Pack 4 para Windows 2000
Microsoft ha publicado el Service Pack 4 (SP4) para las plataformas Windows 2000. Esta actualización acumulativa incluye, en un único paquete, los Service Packs anteriores y todas las correcciones(*) que ha proporcionado hasta ahora....
Aplicaciones Portable necesarias en nuestros dispositivos
Herramientas o aplicaciones portables, ya sea en una unidad flash USB, iPod, disco duro portátil, etc. Todas las que serán nombradas son de código abierto y funcionan en cualquier sistema operativo y bajo cualquier hardware. ...
Formato ODF y PDF aprobados como norma en entes públicos de Venezuela
Según se puede leer en comunicado del CNTI (Centro Nacional de Tecnologías de Información ) ha sido aprobado las normas técnicas en uso de formatos de redacción de documentos dentro de los entes regidos por el Estado....
Ejecución remota de código a través de WinZip en Windows 2000
Se han encontrado múltiples problemas de seguridad en WinZip 11.x que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario en sistemas Windows 2000....
El Gobierno Alemán migra a Linux
Se ha cerrado un acuerdo entre la administración pública alemana y la compañía IBM a través del cual se establece que miles de servidores y PC sean migrados a la plataforma Linux. El acuerdo será anunciado por el Ministro del Interior Otto Schi...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • agujeros
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • cloud
  • computer
  • computing
  • conference
  • debian
  • deja
  • descubierto
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • rsa
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra