El 4 de junio asistimos a la primera UOC SEC-CON, en ella participaron ponentes de renombre. Se trataron temas diversos, desde la evolución del Cloud en los últimos años, los ataques de ciberseguridad registrados mas célebres y en que consiste el trabajo de los Mossos en delitos cometidos en este ámbito.
El cuerpo de policia de los Mossos hizo hincapié en la dificultad al recoger evidencias válidas y además Vicente Diaz, Chema Alonso y David Barroso describieron los últimos ataques de más renombre (Stuxnet, Duqu, Flame, hacktivismo). Este último nos descubrío Tails, un sistema muy aconsejable para los que quieren mantener su privacidad navegando o utilizando equipos de terceros.
Mientras Jesús Luna, Head of DEEDS’ Security Research Group at TU Darmstadt, especializado en el área de seguridad en la nube y miembro de Cloud Security Alliance contó en forma de cuento como habían convergido distintas tecnologías virtualización, WebServices, redes de alta velocidad) para llegar a ofrecer los servicios Cloud que conocemos actualmente: IaaS, PaaS, SaaS, etc…
Repasamos las distintas modalidades de cloud existentes:
- híbrido
- privado
- público
- comunitario
Y los beneficios que todos conocemos que nos brinda:
- escalabilidad
- pago por uso
- disponibilidad
- flexibilidad
- deslocalización
Pero topamos con la seguridad, según Jesús Luna, la seguridad y la confianza siguen siendo los principales inhibidores para la adopción de tecnologías Cloud entre PyMES europeas. La elección de Proveedores de Servicios Cloud (CSP) es motivada a menudo en valoraciones sobre los acuerdos en el nivel de servicio (SLA) y sus costes, además recientemente también se basan en aspectos de seguridad y/o privacidad. Desafortunadamente es muy poco común que un CSP especifique con detalle los niveles de seguridad asociados a sus servicios, de este modo no es posible que los clientes tomen decisiones relevantes basándose en directivas de seguridad.
Con el objetivo de evitar estas carencias Cloud Security Alliance propone utilizar especificaciones concretas de seguridad en las SLA de los acuerdos con los CSP, llamándolas “Security Level Agreements” o SecLAs. De este modo sería posible crear ecosistemas Cloud confiables, siendo deseable desarrollar técnicas que nos permitan medir i cuantificar estas características para poder compararlas, negociar y predecir posibles agujeros de seguridad.
Jesús Luna afirmo con firmeza que en un futuro próximo las SLA’s (SecLAs) van a determinar las claves de la relación de los servicios Cloud (CSP) con sus usuarios, también puso énfasis sobre el prospero porvenir de los proveedores de SECaaS.
