El modelo de cloud computing, entendido como la integración de software, hardware e infraestructura de Internet, ofrece una ventaja económica esencial al cliente que hace uso de dicho modelo. El “pago por uso” hace crecer en popularidad los entornos cloud, de forma similar al modelo actual de las utilities, como el agua, la luz y el gas.
Las ventajas económicas en situaciones de reducción de costes hacen del cloud una alternativa a tener en cuenta cuando se desean realizar cambios tecnológicos en las organizaciones, pero evidentemente existen otras ventajas que inclinan la balanza hacia los entornos cloud, como por ejemplo la fácil escalabilidad, la agilidad y rapidez en la contratación, la inversión de recursos a otras áreas de negocio, la accesibilidad internacional basada en Internet (en pro de la movilidad y el teletrabajo) y la flexibilidad ante los requerimientos de los clientes.
No obstante, existen varios contras en cuanto a las soluciones basadas en cloud, principalmente las relativas a seguridad y privacidad, tanto a nivel del cumplimiento normativo como a cualquier otro nivel que los clientes hayan considerado como críticos en el análisis de riesgos realizado antes de contratar estas soluciones.
¿Cómo poder verificar el cumplimiento por el proveedor cloud de requerimientos en materia de seguridad? ¿Qué estándares se deben seguir en dichas verificaciones? ¿Cómo conseguir que el proveedor sea revisado?
Para poder resolver estas preguntas es necesario, en primer lugar, que se elabore un SLA (Acuerdo de Nivel de Servicio en sus siglas inglesas) con el proveedor de cloud lo más concreto posible en asuntos relacionados con la seguridad, privacidad y la disponibilidad, teniendo en cuenta todos los riesgos existentes que se pretendan mitigar.
En segundo lugar, es necesario que en dicho SLA se incluya el derecho a realizar auditorías en cualquiera de los ámbitos de cobertura del SLA (normativo, seguridad, etc.) por el auditor que el cliente designe o el derecho a obtener periódicamente dichas auditorías, al menos, por el auditor independiente designado por el proveedor de cloud. En tercer lugar, sería recomendable establecer las penalizaciones necesarias para el caso de incumplimientos por el proveedor de requisitos regulatorios, principalmente, y de otros requisitos de los SLA (de los compromisos de disponibilidad, de los tiempos de resolución de fallos, etc).
Todo lo anterior podría parecer fácil, sin embargo es difícil conseguir la concreción de dichos SLA, máxime cuando se trate de clouds públicas; por lo que será necesario analizar, antes de contratar, la criticidad de los procesos y datos que van a estar en la nube y el coste-beneficio real que se podría tener al exponer dichos datos a algún riesgo residual que no pueda ser cubierto por el proveedor del cloud.
Obligaciones compartidas
No obstante, en ocasiones, las obligaciones deben ser compartidas entre el cliente y el proveedor, ya que no es lo mismo un cloud del modelo IaaS (Infraestructura como servicio) que otro del tipo SaaS (Software como servicio) a efectos de responsabilidades. De ahí la importancia de establecer acuerdos de nivel de servicio detallados con responsabilidades claramente diferenciadas.
¿Y qué aspectos principales habría que auditar? A continuación señalamos algunos de los puntos que no habría que olvidar en las verificaciones a realizar: encriptación de los datos (en su almacenado físico/lógico y en su transmisión), control de acceso lógico (PIN, claves RSA, gestión de identidades digitales a nivel organización, segregación de accesos entre clientes que compartan la nube, etc.), copias de seguridad y existencia de planes de continuidad (documentación y pruebas realizadas de los mismos, incluso teniendo en cuenta la pérdida de servicios de terceros que el proveedor tenga acordados), estandarización de interfaces para migrar a otras nubes llegado el caso, revisión de requisitos específicos de las legislaciones que sean de aplicación en el país de origen y en los de destino, revisión remota de vulnerabilidades de exposición vía web, revisión de las instalaciones de localización, criterios y procedimientos implantados para la detección, respuesta y registro ante incidencias, revisión de la integridad de las imágenes de máquinas virtuales, etc.
Algunos de los aspectos anteriores deben considerarse incluso antes de contratar al proveedor de la nube, siendo otros objeto de una auditoría post-contratación. No obstante, dada la importancia que para el auditor tienen las evidencias de auditoría, es necesario que el proveedor de la nube desarrolle los procedimientos que se van a seguir para obtener y almacenar las evidencias necesarias para el auditor, al menos en todo lo requerido para las verificaciones de cumplimiento normativo, donde debe ser el cliente el que establezca una clasificación de los datos a efectos de que sea conocida por el proveedor en el caso de tener que implantar medidas de seguridad u otros requisitos de trazabilidad sobre los mismos.
Sin estándares precisos
Independientemente de lo que se vaya estableciendo a nivel de auditorías referidas al modelo cloud, la asociación ISACA ha establecido ya que los proveedores de cloud necesitan proporcionar seguridad a sus clientes de que están haciendo las right things, por lo que auditorías de terceras partes o de un service auditor son importantes en dicho aseguramiento. Como indica ISACA, no hay estándares específicamente publicados para cloud, sin embargo los estándares ya existentes pueden servir para concretar y acotar determinadas áreas de revisión.
Será entonces responsabilidad del proveedor, del cliente, y del auditor posteriormente, asegurar y concretar que los puntos en los que dichos estándares y certificaciones (como los basados en SAS 70 type II -un reconocido estándar de auditoría desarrollado por la American Institute of Certified Public Accounts (AICPA), ISO 27001, etc.) cubren todos los riesgos y procedimientos susceptibles de control, por ejemplo, una auditoría de protección de datos, cada vez más importante en la legislación española, realizándose las pruebas adicionales que se consideren necesarias para una cobertura total.
En BDO, grupo que tiene presencia internacional en 115 países, se ha facilitado hasta el momento la cobertura internacional en las auditorías informáticas realizadas y suponemos que la colaboración con el resto de miembros de BDO seguirá activa con el cada vez más extendido modelo en la nube.
Confiemos en que ISACA y la Agencia Española de Protección de Datos (AEPD) se pronuncien sin demora y de forma concreta sobre las auditorías de los nuevos entornos empresariales cloud y pueda mantenerse un criterio homogéneo en nuestro sector.