Arquitectura, herramientas y mecanismos para una computación en la nube más segura para las aplicaciones críticas.
La computación en la nube facilita el intercambio de conocimientos, la creación de nuevos servicios y un acceso a la información sin precedentes, pero también conlleva riesgos y problemas de seguridad. El proyecto SECCRIT (Secure cloud computing for critical infrastructure IT), financiado con fondos europeos, estudió las tecnologías de computación en la nube y los riesgos que plantean a las infraestructuras críticas a fin de reducir estos problemas de seguridad y aumentar su resiliencia. El consorcio, integrado por instituciones y organizaciones de Alemania, Austria, España, Finlandia, Grecia, Italia y Reino Unido, emprendió varias vías de investigación para mejorar la seguridad y resiliencia de las infraestructuras y aplicaciones críticas. En primer lugar, el equipo elaboró un catálogo de vulnerabilidades que serviría como base para desarrollar una metodología de evaluación de riesgos, mejorar las herramientas en la materia y fomentar la normalización a nivel europeo. Los socios abordaron la descripción, aprobación y aplicación de protocolos de gestión segura de datos en la nube y desarrollaron un marco de resiliencia que incluía un servicio de detección de anomalías. Otro de los principales objetivos del proyecto consistió en desarrollar herramientas para elaborar registros de auditoría y realizar análisis de causa raíz, para lo que se crearon prototipos de software de código abierto. Asimismo, los socios diseñaron un método de evaluación de perfiles de seguridad en la nube que incluía secuencias de prueba de concepto. Los componentes y herramientas de software se acompañaron de directrices de seguridad dirigidas a los responsables de infraestructuras críticas que operen en la nube, así como de recomendaciones sobre cuestiones técnicas y jurídicas. El cumplimiento de los requisitos legales se consideró una cuestión prioritaria desde el inicio del proyecto, ya que resultaba esencial para que los sistemas desarrollados pudiesen emplearse en la práctica. Por consiguiente, el equipo de SECCRIT adoptó un planteamiento de «privacidad por diseño» para asegurarse de que sus productos se ajustaban a las disposiciones legales. Además de desarrollar y probar los mecanismos y herramientas citados, el consorcio redactó treinta y ocho artículos científicos revisados por pares y organizó cuatro talleres para usuarios y un seminario sobre seguridad en la nube. Los resultados se han empleado en tesis doctorales, charlas y proyectos posteriores, y el equipo prevé comercializar las herramientas de software. Lograr que la nube ofrezca niveles satisfactorios de seguridad y resiliencia para los usuarios de infraestructuras críticas permitirá a las empresas y a la industria en general asegurarse una productividad y eficiencia ininterrumpidas. Indirectamente, ello también contribuirá a la calidad de vida de los europeos.
Palabras clave
Infraestructura crítica, computación en la nube, SECCRIT, detección de anomalías, resiliencia, seguridad en la nube
