REVISTA CISALUD La salud por las nubes

5
Seguridad de la Información – Auditoría de Sistemas Tel. (05411) 15 3328-6859 [email protected] 1 La salud por las Nubes Como cuidar la salud de nuestra seguridad en el Cloud Generalmente cuando hablamos de la “Nube” nos es difícil visualizarla, y mucho menos crearnos una imagen tangible de sus alcances y riesgos si no tenemos una visión clara de cómo poder controlarla, lo que genera una sensación de incertidumbre que hace que elijamos al Cloud Computing como “moda” y no como un recurso tecnológico que nos da una ventaja para ofrecer mejores servicios de salud. En lo que primero pensé es en ver cómo podemos hacer más visible nuestra Nube para poder acortar la distancia que la aleja de los controles y la acerca más a los riesgos, y al planear el utilizar distintos elementos tecnológicos ya estén relacionados con el hardware o el software, siempre deben plantearse las siguientes preguntas básicas sobre todo si se trata de nuevas tecnologías: Cuál es el objetivo de su utilización Conozco los alcances de la nueva tecnología que pretendo adoptar Como puedo aplicarla en soluciones de servicio Que beneficios obtengo a través de ella, optimizando recursos Que riesgos adquiero con ella En el caso particular del Cloud Computing, lo primero que tengo que entender es el definir en forma clara y documentada las diferentes responsabilidades asociadas a los principales actores, la Entidad de Salud que será Cliente del servicio y su Proveedor. El secreto es analizar todos los aspectos relacionados con la solución y realizar una planificación pensado en cómo responder estratégicamente a los puntos arriba mencionados. Pensando en esto es que necesitamos identificar tres principales medidas a tomar para empezar a hacer tangible la relación entre el Cloud y los controles para identificar lo tangible y poder tomar las medidas adecuadas: Conocer las necesidades de aplicación para las Entidades de Salud Identificar los riesgos y requerimientos de control asociados con la utilización que hagamos del Cloud Seleccionar la plataforma de implementación y el estándar de evaluación que nos asegure la confidencialidad, integridad y disponibilidad de los datos Esto nos va a permitir balancear las decisiones a tomar ente cada aspecto del Cloud en relación a su utilización, y de esta manera empezar a obtener un perfil del riesgo asociado a los servicios que nos brinda. De igual forma, y en consecuencia, también vamos a tener la posibilidad de disponer de las herramientas necesarias para poder balancear los controles a implementar versus la economía y flexibilidad que ganaremos adquiriendo servicios Cloud. Parte de la información que utilizaremos para llegar a este balance es: Estrategia y Objetivos de servicio definidos por la Organización Expectativas e intereses entorno de la solución que pretendemos adoptar

description

Como cuidar la salud de nuestra seguridad en el Cloud Generalmente cuando hablamos de la “Nube” nos es difícil visualizarla, y mucho menos crearnos una imagen tangible de sus alcances y riesgos si no tenemos una visión clara de cómo poder controlarla, lo que genera una sensación de incertidumbre que hace que elijamos al Cloud Computing como “moda” y no como un recurso tecnológico que nos da una ventaja para ofrecer mejores servicios de salud.

Transcript of REVISTA CISALUD La salud por las nubes

Page 1: REVISTA CISALUD La salud por las nubes

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

1

La salud por las Nubes Como cuidar la salud de nuestra seguridad en el Clo ud Generalmente cuando hablamos de la “Nube” nos es di fícil visualizarla, y mucho menos crearnos una imagen tangible de sus alcances y riesgos si no tenemos una visión clara de cómo poder controlarla, lo que gene ra una sensación de incertidumbre que hace que elijamos al Cloud Computing como “moda ” y no como un recurso tecnológico que nos da una ventaja para ofrecer mej ores servicios de salud. En lo que primero pensé es en ver cómo podemos hacer más visible nuestra Nube para poder acortar la distancia que la aleja de los controles y la acerca más a los riesgos, y al planear el utilizar distintos elementos tecnológicos ya estén relacionados con el hardware o el software, siempre deben plantearse las siguientes preguntas básicas sobre todo si se trata de nuevas tecnologías:

• Cuál es el objetivo de su utilización • Conozco los alcances de la nueva tecnología que pretendo adoptar • Como puedo aplicarla en soluciones de servicio • Que beneficios obtengo a través de ella, optimizando recursos • Que riesgos adquiero con ella

En el caso particular del Cloud Computing, lo primero que tengo que entender es el definir en forma clara y documentada las diferentes responsabilidades asociadas a los principales actores, la Entidad de Salud que será Cliente del servicio y su Proveedor. El secreto es analizar todos los aspectos relacionados con la solución y realizar una planificación pensado en cómo responder estratégicamente a los puntos arriba mencionados. Pensando en esto es que necesitamos identificar tres principales medidas a tomar para empezar a hacer tangible la relación entre el Cloud y los controles para identificar lo tangible y poder tomar las medidas adecuadas:

• Conocer las necesidades de aplicación para las Entidades de Salud • Identificar los riesgos y requerimientos de control asociados con la utilización que

hagamos del Cloud • Seleccionar la plataforma de implementación y el estándar de evaluación que nos

asegure la confidencialidad, integridad y disponibilidad de los datos Esto nos va a permitir balancear las decisiones a tomar ente cada aspecto del Cloud en relación a su utilización, y de esta manera empezar a obtener un perfil del riesgo asociado a los servicios que nos brinda. De igual forma, y en consecuencia, también vamos a tener la posibilidad de disponer de las herramientas necesarias para poder balancear los controles a implementar versus la economía y flexibilidad que ganaremos adquiriendo servicios Cloud. Parte de la información que utilizaremos para llegar a este balance es:

• Estrategia y Objetivos de servicio definidos por la Organización • Expectativas e intereses entorno de la solución que pretendemos adoptar

Page 2: REVISTA CISALUD La salud por las nubes

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

2

• Aplicabilidad con respecto al marco ético, legal y regulatorio sobre los datos de salud • Compromiso entre las necesidades de servicio y las expectativas del usuario

Con ello podremos crear un marco de solución que integre los Procesos de las Entidades de Salud soportados en Tecnología Segura, o sea, pensar en soluciones Cloud controladas que se adecuen a sus servicios y se aliñen a las necesidades operativas de sus áreas funcionales. Todos más o menos sabemos cuáles son los beneficios del Cloud:

• Acceso a la información y los servicios desde cualquier lugar. • Disponibilidad del servicio y/o aplicación los 365 días del año y las 24 horas del día. • Accesibilidad mediante diferentes tecnologías compatibles, tales como: PDAs, móviles,

portátiles, blackberrys, netbooks, etc. • Resuelve problemas de falta de capacidad o rendimiento de aplicaciones, debido a que

solo se necesita un navegador web e internet. (Capacidad de procesamiento y almacenamiento sin instalar máquinas localmente)

• Facilidad de escalabilidad tecnológica Pero no siempre asociamos estos beneficios con determinados riesgos, como pueden ser:

• Pérdida de la gobernabilidad, que aumenta el riesgo al desconocer los procesos de gestión del Proveedor

• Bloqueo de las operaciones por una gestión de incidentes deficiente • Riesgos de cumplimiento y conformidad legal • Compromiso en la gestión de interfaces • Deficiente protección de datos o almacenamiento accidental que comprometa la

confidencialidad de la información • Inseguro o incompleto borrado de datos y deficiente gestión de privilegios • Imposibilidad de acceso a la infraestructura del Proveedor • Impedimentos para la auditabilidad y control de registros

A todo esto, y de acuerdo al escalamiento en que vayamos “confiando” recursos en los tipos de servicios en la Nube, vamos a poder ver como nuestra operatoria de gestión de componentes va a ir migrando a una Gestión de Control. Esto nos va a llevar a que necesitemos garantías adicionales de nuestro Proveedor, “aceitar” nuestra Gestión de Riesgos y Control y reinventar la Gestión de Incidentes en función del nuevo marco establecido para nuestra información o de nuestros propios Afiliados. La tendencia que debemos provocar es la de externaliza r la responsabilidad evitando confrontamientos ante caso de incidentes. Lo primero que tenemos que ver es que la Nube no es insegura , solo debemos saber cómo controlarla minimizando los riesgos relacionados con la operación y el tratamiento de los datos, los diferentes procesos de gestión relacionados y securizando en forma adecuada cada uno de sus componentes. Esto lo podemos lograr identificando 4 dominios claros sobre los cuales invertiremos parte de los ahorros obtenidos al implementar Cloud, y estos son: Gobierno + Gestión de Riesgos + Educación + Cumplim iento .

Page 3: REVISTA CISALUD La salud por las nubes

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

3

Este cuadro lo deben haber visto en más de una oportunidad, representando los componentes, tipos de servicio y la escalabilidad de responsabilidad de los dos principales actores: Entidad de Salud y Proveedor.

Pero hoy lo voy a utilizar para ver simplemente los extremos, que me determinan en función de la aplicación que le voy a dar a alguno o todos los servicios propuestos como voy a aplicarlo para uno o más procesos de tratamiento de la información de la salud. Aquí voy a poder empezar a balancear las decisiones y obtener el perfil de riesgo adquirido; poder entender los extremos de responsabilidad me ayuda a tangibilizar los riesgos asociados a estos extremos y así poder establecer los controles necesarios y adecuados. Algunos ejemplos, asociados a cada uno de los tipos de servicio en como pesan las responsabilidades por cada uno de los actores, nos servirá para visualizar mejor este concepto: Modelo IaaS

• Entidad de Salud responsable de la encriptación de los datos y de no compartir la clave con el Proveedor

• Proveedor sin responsabilidad, pero de cumplimiento deseable.

En este entorno inicial, la Entidad de Salud debe mantener todos los controles y mantener todos aquellos sistemas que estén a su alcance así como el cifrado y gestión de claves. En cambio, para el Proveedor es deseable que cuente con el cumplimiento del estándar de seguridad pero el control del mismo recae sobre la Entidad de Salud.

Modelo PaaS

• Entidad de Salud responsable de parte de los controles y de asegurar cumplimiento del Proveedor con respecto a su Política de Seguridad.

• Proveedor responsable de parte de los controles, mantener cumplimiento por sobre el almacenamiento de los datos.

Para este caso, la Entidad de Salud es responsable de la seguridad de sus aplicaciones y del monitoreo de toda la solución, propia y de terceros contratados. En cambio el

IaaS SaaSPaaS

Datos

Software y aplicaciones de usuarios

Sistemas operativos y bases de datos

Infraestructura Virtual

Hardware e infraestructura de red

Data Center (instalaciones físicas, infraestructura de seguridad, energía)

IaaS SaaSPaaS

Datos

Hardware e infraestructura de red

Data Center (instalaciones físicas, infraestructura de seguridad, energía)

Page 4: REVISTA CISALUD La salud por las nubes

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

4

Proveedor debe garantizar a su Entidad de Salud: La seguridad en la plataforma de las aplicaciones, Seguridad Física, seguridad y control de la red de datos y cifrado, gestión de claves, Seguridad Lógica.

Modelo SaaS

• Entidad de Salud responsable de controles, asegurando que el Proveedor los cumple • Proveedor responsable de mantener el cumplimiento del estándar de seguridad

adoptado.

Para este modelo completo, tanto la Entidad de Salud como el Proveedor deben contar con una Política de Seguridad formalmente implementada y que posibilite a ambos compartir la Gobernabilidad del procesamiento y seguridad de los datos. Gran parte de las responsabilidades son trasladadas al Proveedor, quien debe responder por sobre la seguridad física y lógica de los datos y el acceso a los mismos, ya sea a través de las aplicaciones o en forma presencial.

En estos ejemplos pudimos identificar rápidamente diferentes requisitos relacionados con el marco de protección establecido por la ISO 27799 desde la arquitectura de seguridad de red hasta el tratamiento de datos y su protección, aplicabilidad de una política de seguridad, etc. Esto nos lleva a la necesidad de visualizar en donde debemos aplicar cada uno de los 4 dominios que nos ayudaran a controlar el servicio, donde podemos identificar principalmente que el GOBIERNO debe ser compartido al igual que el CUMPLIMIENTO para todos los componentes. Tengamos en cuenta que el CUMPLIMIENTO tiene dos enfoque principales, el relacionado con la seguridad de los datos y el borrado de los mismos. Cuando hablamos de seguridad debemos establecer un alcance que cubra desde el acceso hasta el tratamiento de la información; y en el borrado no solo se refiere a la información ya no utilizada o a la contenida en componentes a desafectar, sino también a la que queda involucrada en la finalización de los servicios con nuestro Proveedor. Por ese motivo debemos pensar en cómo encarar desde la forma tradicional el tratamiento de la Gestión de Riesgos en función de las nuevas condiciones en la que nos pone el Cloud, y habiendo identificado esta situación es como debemos empezar a brindar respuestas para cada nuevo desafío, en donde los controles aplicados, que ya hemos seleccionado en función de crear un balance costo / beneficio podrían distribuirse para crear un entorno controlado. ¿Cómo obtener una base de referencia? El Cloud Security Alliance tiene una Guía de Seguridad orientada a Áreas Críticas para el Cloud, y próximamente contaremos con una publicación de la familia 27000… la ISO/IEC 27017 como estándar de controles de seguridad para el Cloud basado en la ISO/IEC 27002.

Page 5: REVISTA CISALUD La salud por las nubes

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

5

Algunas recomendaciones: • Desarrolle escenarios como plantilla para sus proyectos • Desarrolle una matriz de responsabilidad compartida • Incluir en los contratos con el Proveedor la recuperación de los datos al finalizar la

relación contractual • Ejecutar los controles y gestión de riesgos en forma continua y mantener el

cumplimiento legal y regulatorio por parte del Proveedor • Orientar la selección a proveedores certificados • Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización en

sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.) La conclusión es que la reducción de costos debe de jarnos como beneficio el enfocarnos en la Atención al Afiliado, y darnos la posibilidad de invertir en controles para que las Entidades de Salud se beneficien por v er robustecida su seguridad apoyándose como SOCIO TECNOLÓGICO en su Proveedor, para reducir la carga en el cumplimiento y una mitigación de riesgos efectiva.

Fabián Descalzo GRC & Information Security Auditor Cybsec S.A. – Security Systems