ISACA Journal
Volume 3, 2,018 

Translated Articles 

Materia seguridad de la información: La seguridad en la migración a un ambiente multimodal 

Steven J. Ross, CISA, CISSP, MBCP 

Toda mi carrera he sido una rata de centro de datos, comenzando como ingeniero de sistemas para un proveedor de hardware y, hoy en día, como un consultor. Me encanta ver las máquinas (sin tocarlas), las unidades de aire acondicionado (CRAC), las unidades de distribución de alimentación (PDU), el cableado, las fuentes de alimentación ininterrumpida (UPS), el silencioso zumbido del trabajo que se realiza en algún lugar justo fuera de las puertas o muy lejos de ellas. Incluso amo escribir todos estos acrónimos. Hoy, y ahora todo está desapareciendo en la nube y hacia centros de datos comerciales remotos (lo que es realmente la misma cosa).

Cuando los aviones a reacción afectaron a los transatlánticos es lo mismo que hoy le está haciendo la nube a los centros de datos, la línea Cunard colocó anuncios que, decían, “¡Llegar allí es solo la mitad de la diversión!”.1 Para los profesionales de la seguridad de información, el viaje desde un centro de datos propietario hacia una combinación de cloud computing, Software como un Servicio (SaaS), instalaciones de colocación (colo) y servicios administrados, no es (precisamente) la mitad de la diversión. Pero tampoco debiera ser un viaje agonizante.

La importancia de planificar

El factor más importante en cualquier viaje exitoso es saber dónde vas a ir. En la migración hacia un entorno multimodal, esto implica una planificación detallada y bien documentada. La documentación es especialmente importante, porque el viaje probablemente será arduo y largo; habrá algunos que se saldrán de él y otros que se unirán en la mitad de éste. Está bien y es bueno saber dónde vas, pero siempre es útil un buen mapa del camino. Y es en base a este plan, y a su documentación, lo que va a determinar la seguridad de la (información) a lo largo de la ruta.

Un error común que he observado en algunos profesionales de la seguridad de información es que patalean, sostienen su respiración y gritan, “no voy a ir” y, por implicación, tampoco con ustedes. No es una observación original, pero hacer el cambio les es difícil. El entorno actual les puede ser familiar y pudo haber habido una inversión considerable en asegurar tanto la infraestructura física como lógica, pero la combinación de las presiones financieras, ambientales y técnicas está haciendo que esta transición sea inevitable. Detenerse en el camino sólo degrada la seguridad de la información; (esta actitud) es vista como un obstáculo en el camino y no hace nada para mejorar la calidad final de la seguridad.

Seguridad de la información y operaciones TI

Es mucho más valioso para la función de la seguridad de la información ser parte del proceso de la planificación (hacia ambientes multimodales), en estrecha alineación con las operaciones de TI. La función de seguridad de la información desarrolla la política, y operaciones la implementa. Con el traslado a ambientes multi-modales, ambas partes se enfrentan a una transformación significativa en sus funciones de trabajo.

Ambas partes se están moviendo desde el hacer las cosas hacia asegurarse de que terceras personas harán bien esas cosas. En efecto, seguridad y operaciones de TI están cambiando a funciones de gestión de proveedores. En este punto tienen una participación compartida en la migración en cuanto a garantizar que los proveedores hagan las cosas en forma correcta. (Y, por lo tanto, por ciento no realmente, lo hace la auditoría TI.)

Por supuesto, esta no es una nueva experiencia; las organizaciones han estado desde hace décadas escogiendo utilizar SaaS, aunque ellos no lo llamen SaaS.2 La diferencia es que las aplicaciones que se están moviendo fuera del centro de datos son cada vez más parte del núcleo de la misión de la organización. Solo un ejemplo, SAP es para muchas organizaciones, su aplicación más crítica. La empresa (SAP) se compromete a apoyar versiones in-house de su ampliamente adoptado software solo hasta el año 2025,3 pero no después de eso. Hoy en día, los usuarios SAP enfrentan en su planificación estratégica la mudanza a la nube de esta aplicación. Ahora es el momento de considerar cómo se protegerán las aplicaciones críticas y la información, una vez que éstas se ejecuten en computadoras de otras personas en algún data center.4 También se debe prestar atención a cómo estos recursos estarán protegidos mientras esté ocurriendo este cambio.

Seguridad en la ruta

Es casi imposible mover todas las aplicaciones de una organización a la vez. Por un lado, ellas no se van a los mismos lugares ni tampoco del mismo modo. Por ejemplo, algunas aplicaciones pueden ser transferidas a la nube, pero siguen siendo esencialmente las mismas, sin cambios. Otras pueden ser reemplazadas por versiones superiores del mismo proveedor. Algunas pueden ser “levantadas y reubicadas” a un centro de colocación (colo) y después de eso, posiblemente en la nube. Asegurar que sólo los usuarios autorizados acceden a las aplicaciones y datos que están autorizados, y cuales personas y sistemas no están autorizadas—ya es un gran desafío en un ambiente relativamente estable. Ello es casi imposible de gestionar cuando el hardware, el software, la red y las ubicaciones físicas de las aplicaciones y datos en cuestión, cambian día a día.

La solución es centrarse en el proceso. Si los profesionales de la seguridad piensan en la gestalt (psicología de la forma/configuración) de la información, en las aplicaciones que manipulan y en la infraestructura que la soporta, más que en sus partes constituyentes (sin duda, una tarea difícil), el asegurar la migración a ambientes múlti-modales se convierte, si bien no tan fácil, en algo más comprensible. Nunca nadie pensó que esto sería fácil, pero esta era de tecnología de la información nos puede ofrecer una oportunidad a una generación para poder repensar la arquitectura de la seguridad.

Confiar en nadie

Una cosa que podía decirse de los centros de datos propietarios, del hardware y del software que hay en ellos es que, sabíamos quien tenía la habilidad de entrar y tocar las manifestaciones físicas de la tecnología de la información. Teníamos una base para establecer la confianza en aquellas personas. En ambientes multimodales no sabemos quién o qué puede ir a un lugar, así es que no confiamos en nadie.

Toda persona, los sistemas que ella emplea y sus dominios, deben estar discretamente atados a las aplicaciones y a los datos que se le ha permitido utilizar. Cada individuo debe presentar esas credenciales antes de usar los recursos. Las credenciales en sí mismas deben estar protegidas con sistemas de cifrado de clave pública. Moverse de un dominio a otro debe exigir un retorno a un punto de comprobación para que estas credenciales sean revalidadas.

Toda esta seguridad debe construirse en el medio ambiente. La última vez que hubo un cambio de esta magnitud en las tecnologías de la información, de modo organizado, ocurrió cuando nos mudamos desde una centralización masiva, mainframes, a un procesamiento distribuido.5 Cándidamente, los profesionales de la seguridad de la información no gestionamos bien esto a la primera. Para ser justos, no existía por parte de los proveedores la percepción de la necesidad de seguridad que hay hoy en día. Una arquitectura de seguridad, parecida a la que describo, la incluí como una parte de los criterios de selección de los servicios multimodales.

Tomó una década o más para volver a tener el nivel de seguridad que ofrecía la centralización. La llegada de los virus, los ataques distribuidos de denegación de servicio (DDoS) y la fuga de datos pusieron de manifiesto ese fracaso. Queda por verse si lo haremos mejor esta vez.

Nota del autor

Me gusta mucho escuchar a los lectores de esta columna, ya sean críticas (lo que me hace mejor) o alabanzas (lo que me hace sonreír). Algunos escogen enviarme un correo electrónico, lo cual es genial, y otros utilizan la sección de Comentarios en línea del Journal de la ISACA, lo que también es genial. Si escribes un Comentario en línea, le insto a que lo consulte nuevamente más adelante. Siempre leo sus comentarios y los respondo siempre.

Notas finales

1 Edwards, J.; “Getting There Is Half the Fun!” Ocean Liners Magazine, 10 October 2014, http://oceanlinersmagazine.com/2014/10/10/getting-half-fun/
2 Applications running on cloud technology are SaaS, but not all SaaS applications are in the cloud. Some are simply accessed over the Internet, without the multi-center concurrency of true cloud technology.
3 SAP, “SAP Maintenance and SAP Enterprise Support—Prolonged Commitments Until 2025,” https://support.sap.com/en/offerings-programs/strategy.html#section_1610563356
4 I gave some of my thoughts about that in Ross, S.; “Information Security in the Multi-Modal Era,” ISACA Journal, vol. 5, 2017, https://www.isaca.org/Journal/archives
5 Some may say that the era of portable devices is an equally great transformation. From the individual’s standpoint, that is so. But for the management of organizations and governments, I do not see it that way. No organization I know is running general ledger on a smartphone.

Steven J. Ross, CISA, CISSP, MBCP
Es el ejecutivo principal de Risk Masters International LLC. Ross ha estado escribiendo una de las más populares columnas del Journal desde 1998. El puede ser ubicado en stross@riskmastersintl.com.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.