RSA Conference deja al descubierto los agujeros de cloud computing


RSA Conference siempre ha sabido seguir el rastro de las principales tendencias de mercado para someterlas al implacable escrutinio de los expertos en seguridad. Por ello, no es de extrañar que este año la atención de la primera conferencia sobre seguridad del mundo, celebrada en San Francisco del 20 al 24 de abril, se centrará en cloud computing.





Sea en busca del ahorro, de una mayor eficiencia o de ambas cosas a la vez, la recesión económica no está impidiendo -más bien todo lo contrario- que los ingresos generados por los servicios basados en cloud computing crezcan a un ritmo acelerado. Y así seguirán haciéndolo durante los próximos años hasta pasar de 56.3000 a 150.000 millones de dólares entre 2009 y 2013, según Gartner. Pero el éxito del modelo no significa que hoy ya tenga respuestas para todo. Como advirtieron todos los participantes en RSA Conference, cloud computing expone a las empresas a nuevos retos de seguridad a los que la industria pronto deberá dar respuesta.

Integridad y pérdida de datos, cumplimiento normativo, fiabilidad, autenticación y gestión del ciclo de vida son algunas de las cuestiones potencialmente peligrosas de los servicios cloud computing que se abordaron en el evento. Todos estos frentes suponen una “verdadera pesadilla de seguridad, que no puede ser tratada de una forma tradicional”, afirmó John Chambers, CEO de Cisco Systems en su intervención en la conferencia. El resto de expertos que acudieron al evento de San Francisco coincidieron en el diagnóstico, recomendando a las empresas que, hasta que se consigan mejores niveles de seguridad en la nube, se esfuercen por gestionar los riesgos, sopesando las ventajas corporativas que el nuevo modelo aporta con sus peligros potenciales. Tampoco faltaron consejos para la industria, animándola a poner el foco en el problema a fin de conseguir cuanto antes las soluciones que ya demanda el mercado.

Llegan las primeras soluciones

Precisamente en RSA Conference se pudieron conocer algunas de esas soluciones y avances en seguridad para cloud computing. Cisco, por ejemplo, anunció un servicio basado en cloud que reúne datos sobre retos de seguridad en Internet y los envía automáticamente a los usuarios en modo push. Un enfoque similar al utilizado por Trend Micro en OfficeScan. En el preanuncio de la solución, la compañía describió como la nueva suite utiliza servidores de su propia red para chequear el estado de archivos, email y contenido web, en vez de confiar en los mecanismos de protección instalados en las sobremesas de los usuarios, que fácilmente pueden quedarse desactualizados. Siguiendo la misma tendencia, el modelo “predictivo” de McAfee se basa en la cloud para compartir “inteligencia” sobre retos entre diferentes tipos de dispositivos de seguridad para identificar y bloquear actividades maliciosas más rápidamente que con los métodos convencionales. Con un modelo distinto, Savvis lanzó un servicio de firewall de aplicaciones web (WAF) que se basa en dispositivos de Imperva o, utilizando la cloud y el modelo SaaS, en réplicas o instances del software que el proveedor tiene instalado entre Internet y su red.

En cualquier caso, aunque cada vez hay más soluciones disponibles, los usuarios presentes en RSA Conference manifestaron su preocupación por el hecho evidente de que las medidas defensivas actuales siguen quedándose por detrás de las vulnerabilidades conocidas de los servicios públicos de cloud computing. Un inconveniente que ha llevado a muchas empresas a organizarse. Durante la conferencia, los dos grupos de usuarios dedicados a la seguridad en cloud hoy existentes -uno europeo y otro estadounidense-, no sólo aprovecharon para airear sus reivindicaciones sino que incluso llegaron a comprometerse a unir fuerzas para presionar a los fabricantes y proveedores a fin de que aceleren sus desarrollos de protección. El grupo de Estados Unidos, Cloud Security Alliance (CSA), utilizó el evento para dar a conocer sus esfuerzos por conseguir la estandarización de la seguridad en cloud, recogidos en el documento "Security Guidance for Critical Areas of Focus in Cloud Computing", donde se detallan 15 áreas clave de desarrollo. CSA pidió además al grupo europeo Jerico Forum su apoyo al documento, ya que, según sus responsables, los objetivos de ambas organizaciones coinciden en lo fundamental. A favor de estos grupos juega la presencia en ellos de grandes corporaciones internacionales que, como eBay e ING, tienen el peso e influencia suficientes para forzar a la industria a colaborar en el desarrollo de nuevas soluciones y estándares de seguridad específicamente diseñadas para el modelo cloud computing.

Servicios de certificación, ¿nuevo negocio?

Cuando se trata de asegurarse de que el servicio cloud computing de un proveedor es lo suficientemente segura, la certificación por terceros mediante la aplicación de estándares podría ser una alternativa quizá más cerca de la realidad de lo que pudiera parecer. Así lo estimó Jim Alsop, vicepresidente de operaciones de suministro de servicios de EDS, ahora propiedad de HP, quien dio a conocer el interés de su compañía por ofrecer servicios que monitoricen y, en su caso, certifiquen como seguras las redes de los proveedores de cloud computing, una posibilidad que ya se está considerando internamente. Según Alsop, un medio para la certificación podría ser el marco estándar COBIT, ya utilizado por muchas empresas para garantizar el cumplimiento de los requerimientos de seguridad que marca Sarbanes-Oxley Act. También se podría aplicar una versión adaptada al modelo cloud del Statement on Auditing Standard 70 (SAS 70), un conjunto de reglas de auditoría sobre el procesamiento de transacciones de servicios.

Utilizar servicios de cloud computing cada vez resulta más atractivo para las organizaciones pero, como señalaron en RSA Conference varias empresas usuarias, hay que estar preparados para los nuevos retos potenciales que el modelo introduce y poder chequear cómo trabaja internamente la nube. Y eso podría llevar a dedicar a esas tareas a nuevo personal técnico o a externalizarlas, un nuevo coste en cualquier caso que habrá que sopesar con los ahorros y ventajas que conlleva el modelo.

Cloud y cumplimiento normativo

Junto a la potencial pérdida de datos, una de las cuestiones que más preocupan a los expertos reunidos en RSA Conference sobre la seguridad en cloud es el cumplimiento normativo. Cada vez son más las regulaciones sectoriales y generales que marcan la actividad de las empresas, cuyo cumplimiento se complica cuando se cuenta con presencia en varios países, cada uno con normas locales propias. Como afirmaron los expertos en San Francisco, si una norma obliga a encriptar los datos almacenados de los clientes, cómo una empresa puede estar segura de que su proveedor cifra tal información. Y cómo garantizar que un proveedor cumple con las normas de un determinado país europeo sometido a las reglas de la UE, por ejemplo, si los datos referentes a la actividad en ese mercado se guardan en Estados Unidos o en cualquier otro lugar del mundo. Poder contratar servicios de certificación de un tercero podría ayudar en la tarea.

Fuente:
http://www.idg.es



Otras noticias de interés:

Revelación de clave privada en Windows RDP
Los servicios de Windows Terminal Services de Windows 2000 Server y Windows Server 2003, tienen la finalidad de permitir conexiones interactivas remotas desde un cliente conectado a la red mediante el protocolo T...
Phishing para usuarios de Skype y otros engaños
Según nos informa Lostmon, se ha detectado un nuevo phishing que intenta no solo apropiarse de las cuentas de incautos usuarios, sino también de obtener ganancias directas por medio del robo de datos personales relacionados con sitios de pa...
Con una botnet se pueden ganar miles de dólares
José Nazario es una especie de cazafantasmas: investiga y persigue a las siempre cambiantes redes de ordenadores zombie que se esconden en la inmensidad del ciberespacio. Se infiltra en ellas, localiza a los delincuentes que las controlan y ...
Plugins malicioso en WordPress
Tras descubrir que tres plugins populares tenían puertas traseras hábilmente disfrazadas, WordPress decidió cerrar el acceso temporalmente al repositorio de plugins y obligar el cambio de contraseña a los usuarios de WordPress.org....
Engañosa privacidad de las fotos en #Facebook
Robar o sustraer una foto en Facebook es muy fácil: lo único que hay que hacer es arrastrar la imagen con el puntero a la barra de navegación (o abrir en ventana nueva) y así se puede obtener la dirección de la misma. ...
Nueva versión 0.8.6 de VLC ya disponible
Uno de los reproductores seguramente más usados y más completos que puede haber es VLC. Que al ser además multiplataforma y open source es la solución a un buen reproductor multimedia para cualquier sistema, yo no uso otro en Mac OS X....
Fallo de ESET en la actualización causa errores en sistemas
Una actualización defectuosa de las definiciones de virus de ESET ha causado un grave problema para los usuarios del software de seguridad....
Cómo vigilamos Internet?
La polemica está abierta en torno a la privacidad y la libertad en Internet. Hoy no faltan datos para apuntalar el debate. Apenas unos días después de que los asesinatos de Mohamed Merah conmocionaran a Fracia, la policía española detenía en Va...
Internet está de cumpleaños – ¿Pero son 35 o 21 años?
Hoy se cumplen 35 años desde que la defensa estadounidense inició ARPANET - la red precursora de lo que hoy conocemos como Internet....
Diversas vulnerabilidades en Wireshark
Se han anunciado diversas vulnerabilidades de desbordamiento de búfer y denegación de servicio en Wireshark versiones 0.10.8 a 1.0.14 y 1.2.0 a 1.2.9....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • agujeros
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • cloud
  • computer
  • computing
  • conference
  • debian
  • deja
  • descubierto
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • rsa
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra