Crónica

IX Encuentro Cloud Security Alliance España

Noticia

En busca de transparencia en la Nube: “los gobiernos son opacos, no sabemos qué datos miran y cómo nos evalúan”

IX ENCUENTRO CLOUD SECURITY ALLIANCE ESPAÑA

Forum, junto al Capítulo Español de Cloud Security Alliance, celebró el IX Spanish Cloud Security Alliance Summit el pasado jueves 17 de octubre de 2019 en el Círculo de Bellas Artes de Madrid. Más de 250 profesionales del sector, así como máximos expertos, representantes institucionales y empresas, e dieron cita en este evento que se ha consolidado como uno de los congresos nacionales más importantes en materia Cloud.

Luis Buezo, presidente del Capítulo Español de Cloud Security Alliance y Miembro de la Junta Directiva de ISMS Forum Spain fue el encargado de inaugurar el acto. “Podemos decir que la Nube se configura como habilitador y potenciador del negocio. Primero, favoreciendo y habilitando esa transformación digital y, además, permitiendo la gestión de los riesgos de la seguridad de la información. Hace ya nueve años, empezamos con un objetivo de Compliance, pero hemos ido abarcando muchas más áreas con diferentes estudios en los que estamos trabajando, pudiendo decir que, hoy en día, Cloud Security Alliance España es una organización de referencia a nivel nacional en tema de seguridad de Cloud Computing”.

La ponencia que inauguró el encuentro fue impartida por Bart Preneel, Cryptographer and professor (Leuven University). El experto se centró en los riesgos que conlleva la Nube y la falta de visibilidad que actualmente presenta, destacando el escepticismo que los criptógrafos muestran hacia el sistema Cloud, pues es cierto que acumula una ingente cantidad de datos que atañen a nuestra privacidad. Si bien la Nube “da flexibilidad, aumenta la eficacia, la eficiencia, da elasticidad y reduce costes” en palabras de Preneel.

“Gracias a la Nube, todos nuestros datos se procesan y se recogen, docenas de empresas utilizan nuestros datos – sin tener en cuenta la publicidad–. Podemos diferenciar las empresas que nos quieren vender algo de aquellas que tienen una interfaz en línea con nosotros. Hay que saber cuáles son las empresas que tienen relación con nosotros y qué hacen con nuestros datos, aunque esto resulte muy difícil, ya que el ecosistema es muy ágil y va cambiando en el tiempo”.

El Big Data: la gran rotura de la seguridad

El criptógrafo defiende que los ciber atacantes utilizarán nuestros propios sistemas para derrotar la seguridad y que la Inteligencia Artificial ocupará un puesto muy importante en el futuro, tanto para la defensa de unos como para el ataque de otros.

Por otra parte, el ponente expresó su preocupación por las grandes brechas que se producen en materia de seguridad y que nos hace replantearnos hasta qué punto somos conscientes de los datos que compartimos en la Nube. “Como seres humanos, somos muy malos a la hora de estimar los grandes riesgos que conlleva el Big Data que, a grandes rasgos, significa roturas de la seguridad”.

Preneel dedicó también un espacio de su intervención a explicar el mal uso que algunos gobiernos hacen de nuestros datos. Un ejemplo de ello es el programa “PRISM” de la Agencia de Seguridad Nacional de los Estados Unidos, que permite al gobierno estadounidense beneficiarse de la búsqueda, análisis y recogida masiva de datos que realizan las empresas. No obstante, se mostró positivo en relación con los avances que se están dando en el ámbito de la ciberseguridad. “Yo creo que estamos progresando con los dispositivos móviles, porque tenemos seguridad en cuanto a los datos almacenados y en cuanto al encriptado, utilizando “out the top applications”, pero tenemos que seguir mejorando y formulando preguntas constantemente”.

Una mayor encriptación para combatir la “puerta trasera”

“Hace falta más encriptado desarrollado de una forma más fácil para todos. Nuestra tarea es trabajar para la seguridad de estos códigos de encriptación y para la mejora de los sistemas cerrados y de aquellos basados en la Nube. Todo necesita códigos, algo que se guarda en tu servidor va a la Nube, y pese a que hay cosas que van surgiendo, como sistemas de pago que van migrando de los sistemas cerrados a los sistemas en la Nube, todo debe ser guardado con códigos seguros”. Así introdujo Preneel el concepto de “Multiparty Computation”: un método que se utiliza para que nadie pueda obtener nuestros datos, solo una parte de ellos, y que trata de un trabajo computacional con alta comunicación a distancia que no requiere de un tercero de confianza. Esto nos permite utilizar los beneficios de la Nube sin proporcionarle todos nuestros datos.

El experto concluyó su intervención haciendo una reflexión sobre la transparencia de los proveedores de servicios y el camino hacia los sistemas más abiertos. “La consecuencia de la Nube es que todo lo que hacemos se conoce, somos transparentes, y los proveedores de la Nube y el gobierno lo saben, sin embargo, ellos son opacos, no sabemos qué hace la Nube ni el gobierno, qué datos miran y cómo nos evalúan”.

La siguiente intervención la protagonizó Alan Tang, Deputy Director of Global Cybersecurity and Privacy Protection Office en Huawei. Su ponencia giró en torno a la seguridad y la privacidad en la Inteligencia Artificial. La tecnología avanza a pasos agigantados, de ahí que ejercer un control sobre ella sea imposible, aun así, se establecen parámetros y medidas legales orientadas al uso responsable de la tecnología. En este sentido, el experto habló de una investigación propia realizada en relación a los marcos legales descubriendo que, aunque vengan de diferentes países y organizaciones con distintas opiniones, en el fondo los conceptos, valores y principios son los mismos en cuanto a la seguridad de la AI. La colaboración y la transparencia son fundamentales para el desarrollo y las aplicaciones de la AI” concluyó.

Responsabilidad legal, cooperación y transparencia

Cuando la tecnología no es lo suficientemente robusta el riesgo tecnológico es aún mayor. Se pueden producir ataques a nuestros datos, nuestros algoritmos o aplicaciones, por eso debemos hacer un uso responsable de ella. “Algunas organizaciones internacionales utilizan algoritmos para eliminar errores, pero hay otras que los utilizan para discriminar en cuanto al género o color de la persona. Esto no es un uso responsable de la tecnología. Desde el punto de vista legal hay muchos marcos y principios, pero no hay tantas resoluciones, necesitamos más regulaciones y responsabilidades legales”, comentó Tang.

Según el experto, tenemos que estar seguros cuando cedemos nuestros datos a cualquier operador de negocios de que los utilizan bien, dentro de la legalidad y con transparencia. Alan Tang nos aconseja que tengamos la mayor garantía de que la seguridad y la privacidad estén dentro de cualquier aplicación. “Debemos tener un permiso legal para ser transparentes y acordes a la legalidad vigente, por ello hay que publicarlo todo: qué se puede y qué no se puede hacer es responsabilidad de cada una de las partes implicadas”.

Tang también habló en su ponencia del libro blanco de ciberseguridad en entornos de Inteligencia Artificial, “Pensando en la seguridad y la protección de la privacidad de la IA”. Este libro blanco fue presentado recientemente en Europa, en el Centro de Ciberseguridad y Transparencia de Huawei en Bruselas, y pretende dar respuesta a la necesidad de que gobiernos, organismos e industria tecnológica trabajen de manera conjunta para desarrollar códigos de conducta, estándares y leyes que mejoren la seguridad y la protección en la nueva era de la IA.

A modo de resumen, el experto terminó con un mensaje de cooperación y motivación para la búsqueda de mayor transparencia en seguridad. “La Inteligencia Artificial necesita mucha cooperación en términos de transformación, no debemos esperar a las imposiciones legales, nosotros mismos debemos buscar el algoritmo que mejore nuestra seguridad”.

La primera mesa redonda del día “Cloud security complexity” contó con la participación de Javier Larrea, SE (Forcepoint), David Baldomero, Senior Systems Engineer (McAfee), Samuel Bonete, Country Manager (Netskope), Avishag Daniely, (Director of Product Management (Guardicore), Joeri Van Hoof, CSE (Fortinet) y moderada por Toni García, CISO (Grupo Damm). La mesa redonda estuvo enfocada a la creciente complejidad de la infraestructura de seguridad, así como al aumento de consumo de microservicios en la Nube (SaaS, PaaS, IaaS).

Cómo afrontar los problemas de Nubes híbridas, públicas o privadas y dónde están los datos son algunas de las preguntas más frecuentes, así como qué podemos hacer con los distintos tipos de plataformas o estructuras, cargas de trabajo, problemas de las migraciones y, desde el punto de vista del cliente, cómo gestionamos los riesgos e incidentes que puedan suceder.

Una de las conclusiones a la que llegaron nuestros expertos fue que la Nube pública cruzada se vuelve aún más difícil de operar para la funcionalidad de seguridad nativa de la Nube. No hay ningún servicio de seguridad de AWS o casi ningún servicio de seguridad que se conecte con Azure o viceversa. Hay una necesidad de productos de terceros que pueden funcionar en la Nube e integrarse con todos ellos. Al igual que las instalaciones, también los sistemas de Nube pública tendrán que hablar entre sí de seguridad.

En su ponencia “Cómo reducir la superficie de ataque en los nuevos perímetros de seguridad”, Carlos Vázquez, Solutions Architect Southern Europe (Zscaler), habló sobre la necesidad de “echar un paso hacia atrás y repensar un poco las cosas, para no seguir añadiendo equipos a la red. Hay que cambiar la arquitectura para reducir la superficie”. Además, el experto presentó el paper elaborado por Gartner Market llamado “Guide for Zero Trust Network Access” (ZTNA), en el que se contemplan acciones para reducir la superficie de ataque a través de usuarios, aplicaciones y un bróker, que es el concepto en el que incide ZTNA.

“En la parte del usuario, tenemos que aplicar políticas de Zero Trust, es decir, que un usuario por tener una dirección IP o por estar en una determinada red local, no debería tener acceso a la información. Debe ser la identidad del usuario la que nos dé el permiso para acceder”. La experiencia del usuario debe ser la misma tanto si está dentro de la red como si está fuera. En cuanto al mundo de las aplicaciones, “Gartner recomienda esconderlas, no publicar el número de aplicaciones que podamos”.

Según el experto, el elemento más importante es el bróker, “un intermediario entre los usuarios y las aplicaciones que se encarga de conectarles de manera limitada a modo de conexiones just in time y just enough, y solo durante el tiempo que soliciten el acceso a la información. También se encarga del cifrado extremo a extremo y de la autentificación”.

La ZTNA trata de reemplazar a las tecnologías tradicionales que requieren que las compañías extiendan una confianza excesiva a los empleados y socios para conectarse y colaborar. De esta manera, los usuarios se limitan a hacer una petición a una aplicación interna del Data Center donde automáticamente el bróker la detecta y confirma el estado de autentificación del usuario instruyendo a los conectores a dar un permiso TLS hacia el bróker. Una vez las dos conexiones están cifradas, el bróker las une.

“Con este approach de ZTNA pasamos de una superficie de ataque donde todo lo que publicamos en Internet aumenta la superficie y donde es muy fácil rastrear todo lo que nosotros publicamos, a un mundo donde todo lo que vemos son conexiones salientes de los Clouds al bróker, y de los usuarios y Data Center hacia el bróker. La superficie de ataque siguiendo ZTNA podríamos reducirla a cero”, añadió Carlos Vázquez.

Monitorización sistemática de los procesos

“Voy a hablar de la visibilidad, de la consolidación, de la colaboración y de la automatización, que es el elemento clave”. Así comenzó su intervención Greg Day, VP & CSO, EMEA (Palo Alto). El experto dedicó su espacio a “Security by design: ensure a better standard of Compliance”, donde comentó los principales retos en la Nube, entre los que se encuentran la mejora de la visibilidad en nuestros controles y con nuestras capacidades existentes, así como la comparación de los mismos para optimizarlos.

Desde la perspectiva del sistema Zero Trust, “¿Cuáles son los procesos fundamentales para mi empresa? ¿Puedo realmente hacer un mapping? ¿Comprendo ese flujo de informaciones y, en lugar de dejarlo abierto, cómo puedo empezar a poner el mismo microperímetro alrededor de mis elementos y los controles que ya tengo para centrarnos en lo que tiene el mayor riesgo en la organización? Buscamos monitorizar todo esto para identificar los problemas y así responder rápidamente”, comentó. Según Day, la consolidación requiere una evaluación, una comparación y una acción. Es necesario prestar atención a los procesos para establecer mecanismos de respuesta rápida, y así instaurar las acciones que deben llevarse a cabo cuando surge un problema.

Otro de nuestros ponentes destacados fue Jesús Luna, Senior Security Architect Cloud and IoT (Bosch), que nos habló de los riesgos y responsabilidades compartidas en la Nube. Según el experto, el futuro está en cómo conectar todos nuestros productos a Internet. “Tenemos que ver el problema de los riesgos y responsabilidades compartidas de forma holística, visualizar toda la cadena de producción del servicio y los diferentes niveles de la infraestructura del sistema hasta el desarrollo de la aplicación llevando a la práctica security by design y security by default. Hay procesos y personas detrás de estos que nos obligan a cambiar el chip”. La cuestión está en cómo llevar una tecnología centralizada a un esquema ágil que nos permita innovar en Cloud.

“Por otra parte, ¿cómo sé yo como cliente Cloud cuál es mi responsabilidad?”, preguntó el experto. Debemos saber qué requisitos necesitamos para nuestra seguridad y cuáles son sus características, “y coger lo mejor del Estado del Arte e incorporarlo a nuestros procesos” explicó.

Cuando sabemos que nuestro nivel de seguridad es el adecuado es conveniente cerciorarnos de que el de nuestros proveedores también lo sea, y en el caso de que no tengan los mismos criterios que los nuestros, Luna recomienda que “antes de subir algo a Cloud identifiquemos en base a una responsabilidad y a unos requerimientos que no pueden ser implementados por el proveedor, cuál es el riesgo que corremos y cómo podemos mitigarlos. Es un punto esencial para saber hacia dónde vamos”.

Por otra parte, Alfonso Barajas, Global Alliances (OneTrust) se centró en Compliance y gestión de terceros en la Nube. “Cada vez tenemos más dependencia de los proveedores” afirmó. Por eso, el ponente destacó la importancia de crear un inventario central de proveedores para la posterior gestión utilizando un portal de servicio que dé acceso a los usuarios para que puedan empezar a trabajar con cualquier proveedor. La integración de sistemas también es muy útil cuando la interacción con los proveedores es constante, así como los formatos de importación masiva.

A título de “Emerging Technology risks – “Just Enough” Security”, comenzó la segunda mesa redonda, formada por José de la Cruz, Director Técnico (Trend Micro), Juan José Navarro, Technical Account Manager (Radware), José Luis Paletti, Ingeniero preventa (Cytomic), y moderada por Josep Estévez, Responsable de seguridad y arquitectura IT (Melià Hotels International). Las intervenciones se focalizaron en la prevención de Incidentes en la Nube y la necesidad de adoptar medidas que garanticen una aproximación segura a la Transformación Digital. La mayoría de los ataques recibidos hoy día ocurren de manera distribuida, a través de múltiples vectores. Es necesario ser conscientes de qué hacemos para abordar la seguridad de una compañía.

Según nuestros expertos, tenemos que entender con qué tipo de arquitectura trabajamos y, por ejemplo, en el caso de IoT, hay que dividir esta arquitectura: está el dispositivo, que tiene una inteligencia limitada y, a pesar de ser equipos que no cumplen muchas funciones, son muy buenos haciendo solo una tarea. También hay que prestar atención a estas comunicaciones de los dispositivos IoT, que deben tener una jerarquía bien definida, ya que todos son capaces de hablar entre ellos sin que uno mande sobre otro.

En palabras de los participantes de la mesa, lo que deben tener en cuenta los CISOs es que los sistemas de IoT son muy potentes. Principalmente, los datos que se manejan a nivel de Inteligencia Artificial y redes robots, que son un gran enjambre para sensores. A través del análisis de patrones podemos saber qué está ocurriendo, y estos son los puntos que el CISO debe dominar para comprender la arquitectura del dispositivo, hacia dónde va, o qué impacto tiene con el objetivo de protegerse de los ataques.

Mariano J. Benito, CISO (GMV) y Coordinador del Comité Técnico Operativo del Capítulo Español de Cloud Security Alliance, y Erik de Pablo, Director de investigación de ISACA Madrid Chapter, fueron los encargados de presentar la 7ª edición del Estudio del Estado del Arte de la Seguridad en la Nube, que pone a disposición de las entidades interesadas en la seguridad en la Nube una perspectiva histórica singular para entender los factores que están facilitando o dificultando la evolución de los modelos de computación hacia este escenario.

Los expertos se centraron en la comparación de las distintas empresas (grandes y pequeñas), la utilización que hacen estas de la Nube y la concienciación que muestran hacia el servicio. Las necesidades de las entidades en la Nube son diferentes, desde la gestión de la migración hasta la retirada de la misma a la hora de cambiar de proveedor.  El estudio ya identifica consistentemente varios factores a lo largo del tiempo: constantes y muy altas expectativas de los clientes sobre la Seguridad que les va a ofrecer la Nube acompañadas de una exigencia de requisitos de seguridad más que altos, en particular en requisitos técnicos y cada vez más de cumplimiento y privacidad; y que resultan en una satisfacción creciente pero aún insuficiente con la seguridad de los servicios de Nube recibidos.

Posteriormente, tuvo lugar La presentación del Segundo Estudio Sobre Cloud Audit & Forensics, que corrió a cargo de Pablo Castaño, Auditor interno de sistemas (Sareb), y Miembro del Comité Técnico Operativo del Capítulo Español de Cloud Security Alliance. La adopción de servicios en la Nube, que sirven de soporte a las actividades y operativa de negocio, sigue en aumento. A pesar de no ocupar los primeros puestos en la lista de tecnologías emergentes desde hace algunos años, sigue generando gran cantidad de debate en torno a ella, tanto por su potencial para la innovación, como por los retos que presenta.

Muchas empresas siguen considerando que las tecnologías Cloud limitan su control y visibilidad sobre los sistemas y la información que soportan. Al mismo tiempo, estos parecen estar más expuestos a ciberataques y otros riesgos por el simple hecho de compartir recursos accesibles a través de Internet. “El estudio se centra en la capacidad de supervisar el desarrollo en la Nube y en cómo hacerlo más eficiente. Para ello, se han integrado procesos de monitorización continua”. La razón principal que motiva la supervisión del entorno Cloud en cuanto a la seguridad de sistemas es el volumen de información sensible que alberga la Nube y la cantidad de riesgos que esto conlleva.

Es conveniente tener un control de los recursos tecnológicos, tanto internos como externos, “si bien es cierto que perdemos cierto control a la hora de delegar un servicio a la Nube, el aumento de la supervisión de este servicio puede ser una buena manera de solventar esta pérdida de control”, explicó Castaño. En cuanto a los retos que impiden que esta supervisión se realice de manera efectiva, estos son la pérdida de control, de visibilidad, de comunicación y el hecho de tener un contrato que limita nuestras capacidades de acción y donde las cláusulas de auditoría no siempre están bien definidas.

La respuesta para la mejora de la eficacia de la supervisión es la integración del proceso de auditoría con el proceso de auditoría de evaluación continua, pues las técnicas de automatización y análisis continuo priorizan riesgos y recursos, proporcionan visibilidad y permiten encontrar las fuentes de información útil para poder explotarlas. También es importante contar con un control de los objetivos para saber qué es exactamente lo que queremos ver y realizar un reporting que pueda aportar información que beneficie la toma de decisiones.

Por último, Román Ramírez, technology and cybersecurity expert (Rooted), puso el broche final a la jornada con su ponencia “Cibercrimen: sensatez y ciudadanos”, en la que habló de lo fácil que es generalizar a la hora de hablar de cibercrimen e incidió en la importancia de saber de dónde vienen los ataques y qué ciberdelito se está cometiendo.

Según el experto, estas son las premisas del cibercrimen: es muy barato, es transnacional y omnipresente. Además, presentó una “fórmula” para evaluar el desarrollo del cibercrimen. “Cuánto me cuesta la infraestructura para lanzar el ataque, cómo de difícil es que el ataque se ejecute, cuál es la pena máxima que me va a caer, cuál es el ingreso máximo por periodo, y cuántos periodos va a durar la campaña que voy a lanzar”.

Ramírez defiende la Amenaza Persistente Avanzada (APT, en inglés), sin embargo, “no estamos expuestos a que nos ataquen día a día, el problema está cuando las agencias de inteligencia se unen al crimen organizado”, puesto que no cuentan con la tecnología necesaria para desarrollar un operativo y deciden utilizar la subcontratación a terceros.

Para concluir, el profesional de Rooted hizo un llamamiento a la sensatez: los mensajes que le mandamos a la ciudadanía les hacen pensar que el ciberespacio es una jungla. Por esto, la realización de estudios que verifiquen los ataques que se producen, cuáles son reales y cuáles no, así como su proveniencia, son cada vez más esenciales.

Un año más, el IX Encuentro de Cloud Security Alliance España se consolidó como uno de los mayores congresos nacionales en el que más de 250 asistentes disfrutaron de debates de alto rango en materia Cloud.

Esta jornada ha sido posible gracias al apoyo de Akamai, Cytomic, Forcepoint, Fortinet, Guardicore, Huawei, McAfee, Netskope, OneTrust Privacy, Palo Alto, Radware, Trend Micro, Zscaler.