Alinear la seguridad en la nube con el modelo de responsabilidad compartida
Operar un negocio principalmente en la nube ya no es un concepto extraño para muchas empresas, y se ha convertido cada vez más en la norma. La computación en la nube abre una gran variedad de puertas a las organizaciones, ayudándolas a ampliar rápidamente sus operaciones al tiempo que dan soporte a más clientes y ofrecen una flexibilidad sin precedentes con aplicaciones y servicios de marca.
Sin embargo, cuando se trata de la seguridad de los datos en la nube, a menudo hay conceptos erróneos sobre de quién es la responsabilidad de garantizarla: de la organización o del CSP (proveedor de servicios en la nube).
En este caso, las empresas deben comprender el modelo de responsabilidad compartida y cómo debería afectar a sus esfuerzos por alinear las prioridades de seguridad en la nube.
Desglose del modelo de responsabilidad compartida
Un modelo de responsabilidad compartida -específicamente cuando se refiere a operaciones en la nube interconectadas- ayuda a dividir las tareas importantes relacionadas con la seguridad entre las empresas y los proveedores con los que trabajan.
Lo importante a tener en cuenta sobre modelos de responsabilidad compartida es que no son una línea dura trazada en la arena sobre quién es responsable de qué. Por el contrario, se trata de un espectro al que se puede hacer referencia para ayudar a garantizar que ambas partes de una relación que implique el uso de datos confidenciales de clientes colaboren de diversas formas para alinear la seguridad en la nube y garantizar la integridad de los datos cuando se recopilan, almacenan y transmiten tanto en entornos locales como en entornos basados en la nube.
¿Cuáles son las obligaciones del proveedor de la nube?
Los proveedores de servicios en la nube suelen tener acceso a todo tipo de datos empresariales cuando se contratan a través de servicios de suscripción. Para facilitar esta relación, los CSP tienen una serie de responsabilidades que deben mantener en nombre de sus socios para alinear la seguridad en la nube:
Protección de la infraestructura subyacente
Cuando los datos se almacenan en distintos centros de datos, los CSP tienen la obligación de garantizar la seguridad tanto física como digital de esos centros. Esto incluye tomar las medidas adecuadas para proteger las salas de servidores y los sistemas de almacenamiento locales, así como incorporar otras protecciones necesarias, como cámaras de vigilancia y controles ambientales.
Toda la infraestructura subyacente respaldada por cortafuegos o sistemas de detección de intrusos son también disposiciones necesarias que los CSP deben tomar a la hora de minimizar la probabilidad de ciberataques.
Implantación de diversas protecciones de red
La mayoría de los CSP adoptan un enfoque multicapa en sus estrategias de protección de la red. Dependiendo de las capacidades del proveedor, muchos dispondrán de varios sistemas para supervisar el tráfico de red entrante y saliente, así como para segmentar sus redes con el fin de defenderse mejor contra las violaciones de datos a gran escala.
Parte de esta protección también incluye la aplicación de políticas relativas a las copias de seguridad de los datos y a los esfuerzos de recuperación en caso de catástrofe para garantizar que puedan contener rápidamente cualquier ciberataque con éxito y minimizar el tiempo de inactividad y la fuga de datos confidenciales.
Protección de las capas de virtualización
La creación de entornos informáticos virtualizados es otro servicio común prestado por los CSP. Sin embargo, los proveedores son responsables de garantizar que el software utilizado para gestionar el aprovisionamiento virtual de recursos informáticos esté reforzado con los últimos parches de seguridad.
Los CSP también pueden necesitar implementar entornos de LAN virtual (VLAN) y grupos de seguridad específicos que minimicen la posibilidad de que las máquinas virtuales puedan acceder a la información de otros clientes soportados en el mismo servidor.
¿Cuáles son las obligaciones de una organización a la hora de garantizar la seguridad en la nube?
Como cliente de la nube, tiene un cierto nivel de control sobre la cantidad de obligaciones de seguridad de las que será directamente responsable, que dependerán del tipo de modelo de servicio en la nube que utilice. Para alinear la seguridad en la nube, tenga en cuenta lo siguiente:
- IaaS (Infraestructura como servicio): Los modelos de Infraestructura como Servicio ofrecen a la organización un mayor control sobre diversos elementos operativos, pero también implican una mayor responsabilidad. Las empresas controlarán directamente los distintos sistemas operativos, las aplicaciones y las redes de datos, mientras que el CPS proporciona el almacenamiento, la red, los servidores y la virtualización.
- PaaS (Plataforma como servicio): En los modelos de plataforma como servicio, los CSP liberan a las organizaciones de la necesidad de gestionar y parchear las vulnerabilidades de sus sistemas operativos, así como de cualquier infraestructura subyacente necesaria. Sin embargo, las organizaciones seguirán teniendo que asegurarse de que sus controles de acceso están correctamente configurados, además de proteger determinadas aplicaciones.
- SaaS (software como servicio): Los modelos de software como servicio ponen la mayor parte de la responsabilidad en manos de los CSP, ya que gestionarán directamente todos los componentes necesarios para prestar un servicio empresarial específico. Sin embargo, es posible que una organización tenga que configurar y gestionar varios protocolos de seguridad como parte de su responsabilidad compartida, incluida la aplicación de determinados permisos de acceso basados en funciones.
Obligaciones estándar que deben cumplirse
Independientemente del modelo de despliegue en la nube que elija para su empresa, siguen existiendo responsabilidades fundamentales que toda organización debería asumir para alinear aún más la seguridad en la nube y reducir los riesgos asociados a operar en la nube:
Protección de datos
Las organizaciones deben dar prioridad a su responsabilidad de mantener seguras todas las formas de datos de la empresa. Esto puede incluir la categorización de los datos en función de su nivel de confidencialidad y la aplicación de salvaguardias adicionales para garantizar que solo puedan verlos las personas adecuadas.
Incorporar métodos de cifrado siempre que sea posible en la documentación sensible es una estrategia importante para salvaguardar los datos de la empresa, ya estén en reposo o en tránsito. Este nivel de protección es fundamental a la hora de cumplir estrictas normas de conformidad como las utilizadas en la certificación HITRUST y otros marcos de seguridad específicos del sector.
Establecer procedimientos de copia de seguridad de los datos y de recuperación en caso de catástrofe también puede ser una forma eficaz de reforzar los protocolos de seguridad empresarial. Estas iniciativas también pueden apoyarse trabajando con pruebas de penetración que pueden ayudar a las organizaciones a identificar vulnerabilidades en sus redes y sistemas empresariales, al tiempo que les ofrecen perspectivas importantes sobre dónde deben priorizar sus esfuerzos de seguridad.
Implantación de controles de acceso
Implantar controles IAM (Identity and Access Management) es otra forma en que las organizaciones pueden reforzar aún más sus protocolos de seguridad, tanto si se abren principalmente en las instalaciones como en la nube.
Las soluciones IAM garantizan que las personas sólo dispongan del nivel mínimo de acceso necesario para desempeñar sus funciones. También ayudan a proporcionar una visión unificada en toda la organización sobre quién tiene determinados privilegios de acceso y el tipo de actividades que están realizando en los sistemas y redes conectados.
Protección de las aplicaciones del sistema
Las aplicaciones de software suelen ser un objetivo prioritario para los atacantes. Por lo tanto, se anima a las organizaciones a mantener registros detallados de las distintas soluciones de software a las que están suscritas en todos los departamentos.
Para las organizaciones que mantienen un gran volumen de aplicaciones, las herramientas de exploración de vulnerabilidades pueden ser una forma valiosa de identificar proactivamente cualquier debilidad subyacente en toda una pila de herramientas y soluciones empresariales. Esto ayuda a reducir el tiempo empleado manualmente
identificar vulnerabilidades y permite a las organizaciones priorizar sus esfuerzos de aplicación de parches.
Asuma sus responsabilidades en materia de seguridad
Tanto los CSP como sus clientes tienen un importante papel que desempeñar a la hora de garantizar la seguridad de los datos de los clientes. Si se toma el tiempo necesario para comprender los matices de la responsabilidad compartida, colaborar eficazmente con los distintos proveedores y poner en marcha importantes salvaguardas de seguridad, puede asegurarse de que es capaz de alinear los esfuerzos de seguridad en la nube, escalar su negocio y minimizar la probabilidad de que se produzcan brechas de seguridad y problemas de cumplimiento.
Información sobre la biografía del autor
Biografía del autor:
Nazy Fouladirad es Presidente y Director de Operaciones de Tevoraconsultora líder mundial en ciberseguridad. Ha dedicado su carrera a crear un entorno empresarial y en línea más seguro para organizaciones de todo el país y del mundo. Le apasiona servir a su comunidad y es miembro del consejo de una organización local sin ánimo de lucro.
Linkedin: https://www.linkedin.com/in/nazy-fouladirad-67a66821