Recientemente he escuchado decir en diversos foros que los servicios de seguridad administrada son desde hace muchos años servicios en la nube pero, ¿en realidad lo son? Hay quienes creen que sí, pero dada la confusión que existe sobre lo que es cloud computing, que el concepto aún está evolucionando y que las definiciones actuales se irán ajustando conforme pase el tiempo y se gane claridad y madurez, es posible que haya distintas interpretaciones válidas.

En este artículo haré un breve análisis para tratar de responder, desde mi punto de vista, a esa cuestión.

Primero analicemos qué es un servicio en la nube. De acuerdo a lo que define el NIST, todo servicio en la nube debe tener las siguientes características:

  • Autoservicio en demanda (ondemand self service). Aprovisionamiento de capacidades de cómputo que uno mismo puede seleccionar, configurar, activar y desactivar.
  • Acceso a través de la red (broad network access). Las capacidades están disponibles a través de la red y se pueden acceder a través de plataformas heterogéneas.
  • Pool de recursos (resource pooling). Los recursos y capacidades  del proveedor están disponibles para servir a múltiples clientes y son asignados con base en la demanda.
  • Flexibilidad y rapidez (rapid elasticity). Las capacidades pueden ser rápida y flexiblemente aprovisionadas.
  • Servicio medido (measured service). El uso de los recursos y servicios es vigilado, controlado, informado y tarificado.

Dados estos criterios, ¿son entonces los servicios de seguridad administrada servicios en la nube por naturaleza? Si analizamos de forma general este tipo de servicios, pareciera que sí, pero si revisamos con más cuidado y de forma más estricta las definiciones anteriores, veremos que los siguientes criterios no se cumplen:

  • Autoservicio en demanda. En realidad este criterio no se cumple pues en general la forma en que se dan los servicios de seguridad administrada requiere una preparación e interacción humana entre el cliente y el proveedor de servicios.
  • Flexibilidad y rapidez. Se cumple pero parcialmente ya que en realidad, aunque los servicios son flexibles y se ajustan al crecimiento del cliente, no lo hacen de una manera tan transparente y automática.

Sin embargo, si aplicamos el análisis de forma individual a los distintos servicios que la seguridad administrada contempla, encontraremos que sí existen algunos servicios que pueden ser fácilmente ofrecidos como servicios en la nube, por ejemplo:

  • Correo seguro. Consiste en colocar un filtro externo a la organización ubicado entre el emisor y el receptor de los correos; normalmente se redirige el correo de la organización a los servidores del proveedor de correo seguro, donde se analiza en busca de correo con spam, phishing, spyware y virus para eliminarlos y devolver el correo limpio a la organización. Adicionalmente se puede considerar el archivado (archiving) por periodos determinados y el acceso al correo vía clientes Web en caso de contingencia.
  • Administración de bitácoras (log management). En lugar de implementar un SIM (Security Information Management) en las instalaciones del cliente, se realiza un despliegue rápido y sencillo de los elementos mínimos necesarios para enviar las bitácoras a los sitios del proveedor en que reside la parte central del sistema de correlación y gestión de bitácoras, donde son procesados los eventos en búsqueda de indicios de actividades sospechosas e incidentes de seguridad. De esta manera se elimina la necesidad de adquirir y mantener hardware y software y se obtiene una gran ventaja al utilizar las reglas de correlación creadas por el grupo de expertos del proveedor. Se puede también incluir la retención de las bitácoras que sea necesaria para el cumplimiento de la normativa interna o de cualquier regulación.
  • Monitoreo remoto a través de un SIEM (Security Information and Event Management) en la nube (vinculado al servicio de administración de bitácoras). Como complemento al servicio anterior, donde sólo se provee el software, se puede proveer también los servicios de vigilancia utilizando como columna vertebral el SIEM en la nube.
  • Filtrado Web. Todo el tráfico Web tanto de entrada como de salida es dirigido a las instalaciones del proveedor, donde es analizado para filtrar todo aquel tráfico que se considere no adecuado, y permitir que las solicitudes “válidas” sigan su curso.
  • Administración de identidades (identity management). Consiste en utilizar los servicios en la nube para proveer los servicios de aprovisionamiento, perfilado (creación y aprovisionamiento de perfiles), flujos de trabajo para autorizaciones, auditorías y reportes, todo esto orientado a la gestión de identidades de la organización, realizada en las instalaciones del proveedor de servicio en modo nube en lugar de ejecutar la implementación propia.
  • Análisis de vulnerabilidades (vulnerability assessment). Consiste en poder llevar a cabo la evaluación de las aplicaciones y plataformas expuestas a Internet desde un servicio en la nube, sin la necesidad de comprar ningún hardware o software.

En general veremos que son servicios donde realmente se pueden separar las aplicaciones y la información de la infraestructura subyacente y de los mecanismos para entregarlos. Estos servicios pueden ser dados en forma de SaaS o como IaaS, siendo la primera opción la más recomendada o deseada.

En conclusión podemos decir que si bien de forma general los servicios de seguridad administrada no son servicios en la nube por naturaleza, si existen servicios puntuales que pueden ser prestados desde la nube sin mayor complejidad. Conforme pase el tiempo y madure el concepto se irán encontrando más opciones y esquemas para que los servicios de seguridad administrada estén cada vez más ligados a la nube.

[email protected]

.