Cloud: diseñar la estrategia

Tras los anteriores posts (There is no cloud, it’s just… y Cloud: construir desde la seguridad), es momento de entrar en materia. Tras haber identificado qué es necesario plantearse al enfrentarse a la nube, ahora debemos desgranar los puntos a considerar al diseñar la protección de la infraestructura.

La idea de los siguientes artículos es mostrar los aspectos básicos del diseño de la estrategia, y mostrar el camino para ganar en tranquilidad cuando no se tiene el control total de una plataforma, como es el caso del cloud.

En primer lugar, recurro al dicho “más importante que tener el conocimiento, es tener el teléfono de quién lo tiene”, por lo que, para diseñar la estrategia, que mejor que basarse en referencias clave de la industria.

MITRE ATT&CK

En concreto, destaca MITRE ATT&CK, y traduzco literalmente de su web: “es una base de datos de conocimiento accesible globalmente de tácticas y técnicas de ataque basadas en observaciones del mundo real”. Es decir, recoge el conjunto de estrategias utilizado actualmente por los atacantes para entrar en los sistemas y robar la información.

[Read more…]

Cloud: construir desde la seguridad

Continuando esta serie de posts relacionados con el cloud, hoy toca hablar sobre cómo enfrentarse ante el mundo de posibilidades que la nube ofrece. Este artículo busca arrojar un poco de luz ante tan enorme empresa y mostrar diferentes aspectos a tener en cuenta. Es un camino interesante, con múltiples opciones y que puede llegar a aportar un valor enorme, tanto al negocio como a nuestra calidad de vida, siempre y cuando se plantee desde un punto de vista objetivo, realista y crítico. No hay que ser reticentes al cambio, pero tampoco afrontar el cambio por el cambio en sí.

Dejando mantras filosóficos aparte, afirmar que el cloud es la panacea tiene el mismo poco sentido que decir que el cloud no nos aporta valor.

Como siempre, y perdón por la insistencia, dependerá de cada organización y sus necesidades. Lo que es fundamental, dentro del análisis del caso de negocio y en el cálculo del retorno de inversión de la implementación de estos nuevos paradigmas tecnológicos, es que se tengan en cuenta las consecuencias, necesidades y capacidades de la seguridad. Tanto en procesos de migración a la nube, como ante cualquier cambio tecnológico.

Dicho esto, y yendo al grano, no hay ninguna duda de que migrar al cloud tiene un coste significativo. Que este coste sea mayor o menor dependerá de con lo que se compare, pero se puede afirmar que no es una decisión “barata”. Si se hace el ejercicio simple de comparar un servidor físico con un servidor en la nube, obviamente no hay color. Ahora bien, si se pone todo en contexto, y sobre todo, haciendo hincapié en la seguridad, hay muchos costes a valorar.

[Read more…]

There is no cloud, it’s just…

A estas alturas, todo el mundo sabe lo que es cloud. Probablemente, muchos de nuestros lectores tengan servicios alojados en la nube o proyectos en marcha para migrar a ella. Y es que, aunque ha cambiado significativamente desde que Salesforce comenzó en 1999 con su SaaS, es un modelo que, tal y como lo conocemos hoy en día, lleva entre nosotros bastante más de una década.

Es cierto que el número de actores ha crecido de manera importante, los procesos se han consolidado y el número de servicios se ha incrementado (y lo sigue haciendo), y nuevos estándares, organizaciones y certificaciones han ido apareciendo (y lo siguen haciendo) ligados a este nuevo paradigma, pero con mayor o menor nivel de detalle, ya vamos entendiendo de qué va esto de la “nube”.

Y quizá el problema sea ese “vamos entendiendo” o “con mayor o menor nivel de detalle”, porque a nadie se le escapa que, siempre generalizando, aún falta mucho camino en la adopción e integración de prácticas puramente cloud, y por supuesto, en la implementación del cloud seguro. Y esa es precisamente la idea de esta serie: partir de ese “mayor o menor nivel de detalle” para ir ampliando, poco a poco, el grado de profundidad.

[Read more…]

Cuando los clientes son sus propios enemigos

Algunas veces por desconocimiento. Otras por simplicidad. Algunas otras por hacer las cosas rápidamente, pero la mayoría por desconfianza, nos ponemos trabas a nosotros mismos en lo que respecta a la seguridad informática. Y es que lo que para un experto en seguridad puede ser complicado de diseñar y configurar, se hace un mundo para el cliente final.

Para mí hay dos conceptos a tratar en cada situación a estudiar, de hecho, casi es extrapolable a cualquier entorno informático: comunicaciones, sistemas, desarrollo… Una es la relación con el cliente, y otro la situación en la que se encuentra el mismo.

En lo referente a la situación en la que se encuentra, casi nunca trabajamos en el entorno ideal. No disponemos muchas veces de tiempo, de capacidad de reacción, de ventana de disponibilidad para trastear, o incluso de una maqueta de pruebas previa a la intervención. De hecho, casi nunca se tiene toda la información necesaria para poder trabajar, e incluso tenemos que buscar por nuestra cuenta casi todo lo que necesitemos para poder empezar. En este campo poco podemos hacer, es un trabajo de concienciación a todos los niveles, que aunque parece que se va cambiando poco a poco, no depende enteramente de nosotros, pues requiere de un esfuerzo adicional que poca gente está dispuesta a hacer.

Pero lo que respecta al trato con el cliente, podemos hacer más de lo que creemos. Somos capaces de pasar horas auditando, valorando cada situación, estudiando las diferentes posibilidades y buscando una solución final adecuada, pero no de pensar ni 5 minutos en cómo se lo vamos a presentar al cliente. Es casi tan importante saber hacer entender lo que tratamos de conseguir, como el mero hecho de desarrollarlo.

Debemos saber entender lo que realmente se necesita en cada momento, valorando la seguridad para el propio cliente, como el uso que vaya tener en el día a día. Hemos de situarnos en su posición, y desarrollar una solución que entienda, y sea factible a su modo de ver. Que no le complique su trabajo día a día, pero que cumpla con la seguridad necesaria. Quizá de nada le sirva a una empresa de patatas, tener la seguridad de un búnker militar. Esto es primordial para desarrollar una solución, pero también para poder hacerle entender con sus propias palabras, el porqué de la misma, y el por qué ha de emplear recursos, tiempo o dinero en aplicarla.

Nuestra faena no acaba con la implementación de la seguridad. Tenemos que ser capaces de hacer entender a nuestro cliente, que lo que estamos haciendo es ante todo para proteger sus datos. Para garantizar que nadie se apropia de su información sensible. Que aunque añadamos un poco de complejidad a su día a día, siempre el mínimo posible, va a poder tener la confianza de que limitaremos las posibles fugas de datos. Explicándoselo con sus propias palabras, y con su propia mentalidad. Y esto, es harto difícil.

De nada me sirve utilizar cuatro protocolos de seguridad indescifrables, o utilizar casos que nada tienen que ver con el suyo. Tampoco explicarle que me he hecho pasar por un hacker que trabaja desde Uganda para poder acceder a su clave de wifi. Tenemos que hablar su idioma, y valorar sus propias inquietudes.

No nos engañemos, aún tenemos que hacer mucha concienciación. Debemos exponer bien nuestros argumentos, hacer demostraciones, enseñar porque necesitan dicha seguridad. Mostrarles que los amigos de lo ajeno, no llevan antifaz y una bolsa con el símbolo del dólar impreso, muchas veces están detrás de un ordenador. Hacerles entender que no sólo es necesario poner una alarma en las puertas de las empresas, sino asegurar que ponemos sus datos a salvo. En definitiva, ganarnos su confianza. Y hacer eso, es lo más difícil a lo que nos enfrentaremos.

IPv6

Seguimos teniendo tiempo. Desde aquel famoso Día Mundial de IPv6 de 2011, dónde los principales operadores en internet pusieron en funcionamiento su infraestructura para este protocolo, no se ha vuelto a oír mucho movimiento. Pero sí es verdad que se van planteando posibilidades y se van perfilando opciones de migración. Los tiempos no se han fijado y teniendo en cuenta el alcance global, la cosa va para largo.

Esto no quita que se empiece a plantear y a estudiar cómo enfocar esta migración. Si bien, dependemos de la propia tecnología, ISPs, software de los dispositivos, etc. la mayoría de implicados están poniéndose al día sin dilación y siempre es recomendable entender la situación. Claro está que antes de mover un dedo hay que entender bien los funcionamientos de los protocolos, y ver sus implicaciones tanto a nivel de seguridad, como de gestión y configuración, para estar preparado ante cualquier posible eventualidad.

IPv6 cambia por completo la visión que tenemos de las comunicaciones. El hecho de disponer de una única dirección para encontrar cualquier equipo, sin necesidad de realizar NAT, así como el hecho de tener obligatoriamente IPSEC en el propio protocolo, nos hace rediseñar la base de nuestra visión de las redes. Este protocolo redefine la esencia de las comunicaciones a todos los niveles.

Debemos sentarnos y valorar las implicaciones de este cambio, y plantearnos los primeros pasos para acometerlo. Para simplificar, sin entrar en detalles técnicos, podemos decir que hay 3 modelos de migración a estudiar:

  • Doble Pila: Los dispositivos de red soportan ambos protocolos, y utilizan cada uno de ellos en función de la configuración de los destinos. En principio es muy sencillo y escalable, pero implica tener duplicidades que pueden repercutir en la gestión y los recursos de la infraestructura.
  • Tunelización: Consiste en encapsular los paquetes IPv6 en paquetes IPv4, de manera que para la mayor parte de la topología IPv4 es transparente, salvo en los extremos dónde se encapsula y se desencapsula el protocolo. Los dispositivos extremos trabajarían como si de un túnel se tratase.
  • Traducción: Se requiere una traducción entre protocolos cuando algún dispositivo implicado no soporta, o no contempla uno de los protocolos, generalmente no soporta IPv4. Se requiere un pool de direcciones para asignar en la propia traducción.

Desde mi punto de vista, obviamente dependerá de cada caso, creo que la primera opción sería la ideal. De esta manera tenemos los dos entornos en funcionamiento y podemos ir pasando servicios poco a poco, de manera lo más transparente posible para los usuarios/clientes, los que en el fondo mandan, y a los que no queremos marear nunca más de lo necesario.

Mi intención con esta entrada era recordar que IPv6 cada vez está más cerca, y que hay que empezar a contemplar opciones, que ya están muy trilladas, y no podemos dormirnos en los laureles. Pero que no nos entre el pánico porque en nuestro sector, gracias a Dios, se plantea siempre todo desde el punto de vista de la simplicidad para todas las partes y de la manera más transparente posible de cara a la gestión de servicios.

Lo que está claro a fin de cuentas, viendo cómo avanza la tecnología hoy en día, es que no cabe la posibilidad de quedarnos anclados en el pasado. Si no nos actualizamos, poco a poco iremos perdiendo servicios que solo estarán disponibles para los nuevos protocolos. Y al final sí que nos entrará la sicosis de estar aislados del mundo.

1984 no es el pasado

Desde la adquisición por parte de google de la empresa Nest, empresa que diseña y crea sensores varios para el control del hogar, me planteo hasta qué punto es necesario tener tantos sensores, y no sólo esto, sino quién tiene acceso a la información que generan.

Obviamente, no critico el tener un detector de incendios en tu propia casa, critico el hecho de que un día haga frío dentro de mi casa y al día siguiente aparezca en mi correo de Gmail publicidad sobre abrigos y bufandas o pastillas para dejar de fumar, en el caso de que estos sensores detecten que fumo plácidamente en mi sofá.
[Read more…]