Había interés por parte de los directivos de Amazon Web Services (AWS) en dejar claro que la primera edición de su evento global sobre seguridad, re:Inforce, celebrado esta semana en Boston (EEUU), iba a desmarcarse de otros similares y renunciaba al alarmismo y a los mensajes catastrofistas. El propio chief information security officer (CISO) de AWS, Steve Schmidt, confesó a los medios que se había solicitado a sus partners, repartidos por la amplia sala de exposición del Convention and Exhibition Center, que siguieran esa consigna y evitaran las gráficas apocalípticas que tanto gustan a los equipos de marketing de las empresas del sector. Ciertamente el ambiente general invitaba más a la celebración y el juego que a asumir la gravedad de un momento en el que la seguridad ocupa el centro de atención de todas las organizaciones.
Las declaraciones de los protagonistas de re:Inforce no dejaban, sin embargo, lugar para la duda. "Encríptalo todo", proclamaba Schmidt perfectamente conocedor de que la posición de AWS en el negocio mundial del cloud le ha convertido en un referente claro como proveedor de seguridad. De hecho, el evento ha servido para coronar productos presentados en el re:Invent de Las Vegas, celebrado en noviembre, y algunos nuevos, y para reunir suficientes declaraciones de intenciones como para cincelar una idea precisa sobre su cultura de la innovación en seguridad.
Una de las premisas de esa cultura va a ser, sin duda, la progresiva desaparición del ser humano en todo proceso, desarrollo, operación o sistema de control susceptible de sufrir ataques. Schmidt anunció hace unos meses su objetivo de reducir en un 80% el acceso de las personas a los datos, y en Boston insistió en ello: "La mayor parte del software se hace por humanos, es muy importante protegerlo», dijo sobre el escenario principal. La jovencísima Abby Fuller, principal technologist de AWS, le secundó con una llamada a «apartar a los humanos de los datos".
Es un principio aún difícil de aplicar de forma masiva, y son plenamente conscientes de ello. "Si las empresas no tuvieran empleados, ni tarjetas, sería muy fácil, pero esa no es la realidad", reconoció el CISO de AWS. Aunque precisamente a eso se le llama oportunidad de negocio. De ahí la puesta en marcha de soluciones anunciadas ya en re:Invent, como el Security Hub y el Control Tower, y la presentación de nuevas especialmente Traffic Mirror diseñado para visibilizar el flujo de información cuando el cliente opera a través de una VPC (Virtual Private Cloud) de Amazon.
Frente al humano falible, la automatización. "Debes centrarte en esta área", sentenció Schmidt. A continuación, mostró una gráfica sobre el procedimiento de lucha contra el lavado de dinero negro. Varias actuaciones se realizan todavía de forma manual. ¡Manual, por humanos! Para AWS, la automatización es el remedio contra el blanqueo de dinero, de la misma forma que permite a la biotecnológica Celgene analizar los posibles efectos biológicos de un medicamento en cuatro horas, y no en dos meses como ahora.
Encriptación
Otro de los pilares de la cultura de innovación de seguridad del gigante tencológico norteamericano es la encriptación, el cifrado de los datos. Thomas Stig Jacobsen, web architect de AWS, advirtió en un encuentro con medios del impacto de tecnologías como el 5G sobre unas redes en las que no siempre resulta fácil tener el control y los lugares de descubrimiento en los puntos críticos. "Tenemos que ser inteligentes, vamos a ir a un cifrado centrado en la información que, dependiendo de dónde lo envías y adónde lo envías, se aplicará ya sea en el entorno cloud o en otro on premise, porque hay una enorme complejidad de clientes", afirmó.
"El 5G impactará masivamente", continuó. "No creo que la gente entienda todavía las posibilidades que nos proporcionará el 5G, no sólo para la seguridad, sino para todo. Es una transformación absoluta, en el caso de la seguridad pondrá más presión en el end point, es por lo que estamos haciendo grandes inversiones en el modem end point, en cómo securizarlo". No podía ser que nadie cayera en la tentación de transmitir un, siquiera leve, alarmismo.
Más elementos de la cultura de innovación de AWS. La bandera de la democratización que ha enarbolado la división de retail de Amazon llega hasta tal punto al ámbito de la seguridad que Dave McCann, vicepresidente de AWS Marketplace & Service Catelog, invitó los más avezados a comprobar que el Marketplace Procurement System Integration, presentado como una puerta abierta para que las startups de seguridad puedan expandir sus servicios a todo el mundo, utiliza el protocolo cxml, en el que la c se corresponde con el término commerce.
Experiencia de usuario
McCann habla de procurar que los desarrolladores se beneficien también de una «experiencia de usuario», restringida habitualmente por las empresas al ámbito del consumidor final. Schmidt se mostró entusiasta: "Somos muy buenos proporcionando bloques de construcción a los equipos, componentes para generar servicios de una forma segura. Donde tenemos que impulsar nuestra ventaja es en dar a las personas instrucciones para poner las cosas juntas de forma exitosa en los componentes".
La clave, en su opinión, estriba en que "esto no requiere que el cliente configure nada. Las compañías muy grandes, como General Electric, y tú como desarrollador puedes actuar exactamente de la misma forma. La democratización de la seguridad es muy importante, porque muchas empresas no pueden pagarse un ingeniero desarrollador dedicado, es muy caro, tenemos que darte herramientas que te permitan tener el mismo nivel de seguridad que las grandes compañías".
El cuarto pilar de la cultura de innovación de AWS tiene que ver con la regulación, un tema que consiguió aflorar la versión más crítica de Schmidt. "En los países de la UE cumplimos las regulaciones desde hace mucho tiempo, y en todos los sitios y en todos los sectores", afirmó. "Cada autoridad de certificación se siente única, pero cuando profundizas todas tienen las mismas bases de control para permitir operar todas nuestras instalaciones de data center", añadió. En conclusión, frente a la dispersión normativa, "nos gustan las regulaciones que alcanzan a mucha gente, como el GDPR".
Y el quinto aspecto en el que se ha incidido en el re:Inforce de AWS es en que en adelante ya no tendrá sentido separar la actividad de las áreas de desarrollo, seguridad y operaciones. Su CISO abjuró del término DevSecOp y fue muy insistente al respecto. "La seguridad es ahora el tablero de juego para todos, la principal prioridad en todas las organizaciones, crítica para el funcionamiento del negocio".