El proceso de virtualización, además de estar acompañado de importantes beneficios como la reducción de costos, impulso de la automatización y flexibilidad, implica ciertos riesgos que pueden ser enfrentados, indica la ISACA.
De acuerdo con el reporte “Virtualization: Benefits and Challenges” (Virtualización: Beneficios y Retos), los riesgos de la virtualización se pueden dividir en tres grupos:
•Ataques a la infraestructura de virtualización.- Los dos tipos principales son el hyperjacking y el salto de las máquinas virtuales (VM). El hyperjacking sigue siendo un escenario de ataque teórico, pero ha captado la atención debido a los importantes daños que puede provocar.
•Ataques a las características de la virtualización.- Los objetivos más comunes incluyen a la migración de VM y a las funciones de redes virtuales.
•Desafíos de cumplimiento y administración.- El número y tipos de VM puede salirse de control fácilmente; la expansión descontrolada de VM y las VMs inactivas dificultan obtener resultados precisos de las evaluaciones de las vulnerabilidades, la aplicación de parches/actualizaciones y auditorías.
Para combatir estos riesgos, ISACA recomienda:
1. Aplicar parches y fortalecer el hipervisor y los huéspedes que soporta.
2. Usar la separación física, de red y basada en virtualización para segmentar VMs y sistemas.
3. Utilizar la encripción de transporte para asegurar la migración de VM.
4. Implementar productos y servicios de administración conscientes de la virtualización.
“Para lograr el valor de la virtualización, las empresas deben contemplar los riesgos de seguridad potenciales y las consideraciones de gobierno. Contar con procesos de negocio bien documentados y capacidades robustas de auditoría ayudará a asegurar el mayor valor posible de estos entornos”, aconsejó Ramsés Gallego, CISM, CGEIT, CISSP, y autor del reporte, y gerente general de Entel IT Consulting.
