III Encuentro del Cloud Security Alliance: Desafíos y Oportunidades del Cloud Computing post PRISM
A las 10 de la mañana de hoy lunes 30 de septiembre, el capítulo español del Cloud Security Alliance, iniciativa del ISMS Fórum Spain, dio comienzo a su III encuentro, dedicado a los desafíos y oportunidades que el Cloud representa, tras el escándalo de espionaje gubernamental norteamericano (PRISM).
Abrió la sesión Luis Buezo, Presidente del Capítulo Español de Cloud Security Alliance España que nos dedicó unas palabras de bienvenida en las que tras agradecer a la entidad anfitriona (La Caixa) y al resto de patrocinadores, centró la primera parte del encuentro, avanzando una interesante ponencia a cargo de Jim Reavis, acerca de la desconfianza que el escándalo PRISM ha supuesto para el negocio del Cloud, desconfianza que tratará de ser compensada de alguna forma con las indicaciones contenidas en la guía del CSA para la contratación de servicios de cloud computing y que presentaría más tarde Mariano J. Benito.
Las palabras de bienvenida dieron paso, como estaba previsto a Jim Reavis, Director Ejecutivo de la Cloud Security Alliance, que abordó en la sesión inaugural el tema central del encuentro: Cloud after PRISM. Tras una breve introducción sobre el CSA, puso en relación la previsión del crecimiento de la población, con el incremento previsto de diversos terminales y con ello, como es lógico, del volumen de información generada. Presentó el cloud como “el sistema” que posibilita el manejo de este creciente número de dispositivos, el uso del big data, etc. Así mismo recorrió los principales inconvenientes que plantea su uso (no hay estándares, supone una concentración de riesgos, resulta incompatible con muchos marcos legales, etc.). Todos estos frenos, se han visto incrementados con el reciente escándalo de espionaje gubernamental, fundamentalmente de los Estados Unidos pero también de otros países. Ello nos debe llevar a reflexionar sobre si el control de los ciudadanos tiene un impacto negativo sobre partes inocentes, si es legal, si existe un abuso de la vigilancia, si realmente la criptografía está rota dejando nuestros secretos al alcance de cualquiera… El CSA, a partir de junio de 2013 realizó una encuesta para tratar de conocer el impacto que estos eventos habían podido dejar en la adopción de modelos cloud por parte de los ciudadanos y las empresas. En este estudio, tan solo un 13% de los encuestados se mostraban conformes con la ley americana tal y como está. El resto se dividían entre los que se inclinaban por reformarla parcialmente para establecer mecanismos de control, y los que se inclinaban por una nueva redacción partiendo de cero. Lo que sí que parece claro es que ha de existir, en palabras del propio Director de la NSA y de la CIA, Michael Hayden, un balance entre seguridad y privacidad.
Pero como ya se ha dicho, no solo EEUU vigila a los ciudadanos… La industria recibe constantemente peticiones de muchos gobiernos para que facilite la información de determinados usuarios.
Hizo a continuación algunas consideraciones importantes para las empresas y las sociedades; así se refirió a la importancia de los metadatos, a los principios de minimización de la información, a la transparencia de los actores… Y también nos contó las principales iniciativas que el CSA ha puesto en marcha para incrementar esta necesaria confianza, como la creación de foros públicos de discusión, las comunicaciones a gobiernos… pero también las herramientas que pone a disposición de aquellas empresas que optan por adoptar este sistema, como su Guía de contratación, o la matriz de control. Otros de los mecanismos puestos en marcha por CSA son el CSA STAR Registry, un registro público para proveedores Cloud que se autorregulan, el Programa abierto de certificación, flexible, basado en las mejores prácticas CSA e integrable con otros estándares de seguridad de la información, etc. Lo que parece claro es que la confianza en el Cloud, debe venir de la mano de la transparencia.
Finalmente, concluyó que es necesario un diálogo global en el que han de intervenir todas las partes implicadas: los gobiernos, la industria, las empresas y los propios ciudadanos.
A continuación, tomó el relevo Mariano J. Benito, Coordinador del Comité Técnico Operativo Cloud Security Alliance España y CISO de GMV. Intervino para contarnos las bondades de la CSA Guide, “La navaja suiza de la seguridad en la Nube”. En el mismo sentido de necesidad de generación de confianza que Jim Reavis, se manifestaba Mariano J. Benito en sus primeras palabras, y para ello, el Comité Técnico Operativo del CSA-ES se volcó en la traducción-adaptación al español (y a España) de la CSA Guide, un documento que puede emplearse para apoyar un despliegue seguro de Cloud. La guía se encuentra en su versión 3, y es de libre descarga. Se trata de un documento flexible que cada uno podrá emplear de forma completa o por partes. Se divide en 14 capítulos que giran en torno a dos bloques: al gobierno y a las operaciones.
Tras la pausa para el café y los saludos a viejos conocidos, Leandro Núñez, Jorge Laredo e Ignacio Ivorra, moderados por Roberto Baratta (todos ellos miembros del comité técnico operativo de CSA-ES), nos pusieron al día sobre las actividades y proyectos del capítulo.
Leandro Núñez nos puso al día sobre el “Privacy Level Agreement”. Remarcó la privacidad como barrera de entrada al Cloud. El objetivo del PLA es definir un nivel de protección de datos que el proveedor se compromete a mantener. Se basa en el Dictamen 5/2012 del GdTA29 y el trabajo realizado por las Autoridades de cada estado. Se basa en 16 puntos clave, pero no es suficiente. Sigue resultando imprescindible la realización de un análisis previo que contenga, por supuesto, un profundo análisis de riesgos. No hay que olvidar que se trata de autorregulación, y como tal es de voluntario cumplimiento.
Jorge Laredo nos habló de la versión española de la “Cloud Control Matrix”, marco de 98 controles de seguridad que mapea los mismos con otros estándares de seguridad como la ISO/IEC 27001:2005, Cobit, PCI-DSS, y otras normas (sobre todo americanas), pero que en su “versión españolizada”, por ejemplo, también permite mapear los controles con las medidas de seguridad del Esquema Nacional de Seguridad o con el Título VIII del RD 1720/2007 (desarrollo de la LOPD).
Por su parte, Ignacio Ivorra nos habló del aún inacabado estudio “Análisis del Estado de la Seguridad del Cloud en España”. Se pretende conocer el estado real del Cloud en nuestro país, los retos de seguridad a que se enfrenta una empresa que adopta cloud, y la percepción según el segmento de clientes. El plazo para la participación en el mismo finaliza el próximo día 4 de octubre y se trata de una encuesta con 17 preguntas que puede contestarse en menos de 10 minutos. Si no han participado en este estudio, todavía están a tiempo de hacerlo.
Llegando al final de la mañana, y con ello del encuentro, se celebró una mesa redonda en la que intervinieron Jacobo Van Leeuwen, CEO de Evicertia, Julio San José, Gerente de Riesgos Tecnológicos en Bankinter y Josep Bardallo, Cloud & Security Business Manager en SVT Cloud, moderados por Gianluca D´Antonio, Presidente de ISMS Fórum Spain y CISO de FCC, en la que compartieron con el auditorio algunos factores de éxito en la adopción de este modelo. Para Jacobo Van Leeuwen, la nube no tiene por qué ser menos segura que otros sistemas, sino todo lo contrario. El éxito un proyecto de migración a la nube, para él, pasa por aplicar sentido común sobre qué es importante o no en cada empresa, tener un buen proceso de gestión de proveedores y aprovechar todas las ventajas que estos sistemas ponen a disposición de las empresas (big data, por ejemplo).
Para Julio San José, es importante el cambio de mentalidad o de cultura en las organizaciones: pasas de adoptar seguridad en tus sistemas a vigilar que otros las adopten. Para él, este modelo del cloud no debe ser muy diferente para el responsable de seguridad: su misión seguirá siendo proteger la información corporativa allá donde se encuentre. Para Julio San José, las claves para culminar una migración a la nube, pasan por la selección del alcance, o mejor dicho, el producto/servicio adecuado a cada empresa, la elección de un buen compañero de viaje (proveedor) y contemplar este paso como un proceso irreversible, puesto que las funcionalidades que ofrece, no te van a dejar volver a tecnologías anteriores.
Josep Bardallo refiere que la mayor preocupación viene del lado de los propios clientes, que son lo que más se preocupan por aspectos como la localización de la información o el cumplimiento de normas legales. Para él, los factores de éxito del viaje al Cloud pasan por fijar previamente lo que se lleva a la nube, definir perfectamente los controles, y tratar de asegurar la continuidad.
El cierre de la jornada, corrió a cargo de Gianluca D´Antonio, que agradeció la implicación de todos los integrantes del capítulo español del CSA y la participación de todos los asistentes al encuentro… Nos vemos en el IV Encuentro.
Muy buenos días.
Imagen: CSA Spain & ISMS Fórum Spain