¿Es la nube segura?

Los servicios en la nube es una realidad ampliamente extendida en todas las empresas. Según la compañía Oracle para 2025 el 80% de las aplicaciones de producción y el 100% de los entornos de desarrollo estarán en el Cloud. En artículos anteriores de este blog ya hablamos de las ventajas y beneficios de la migración al cloud (Ej.- pago por uso, elastic computing, …).

En cambio, los servicios Cloud no están exentos de amenazas, según The threacherous las principales amenazas de seguridad que afectan a estos entornos son las siguientes:

José Luis Cid Castillo
José Luis Cid CastilloAnalista Ciberseguridad en Viewnext
  • Data breaches; incidentes de seguridad en el cual la información sensible y confidencial es publicada sin autorización del cliente. Las medidas importantes para mitigar este riesgo serían un multifactor de autenticación y el cifrado.
  • Insufficient Identity, Credential and Access Management; puede ocurrir debido a un fallo en el sistema de gestión de acceso. Para mitigarlo puede utilizarse un multifactor de autenticación y uso de contraseñas robustas.
  • Insecure APIs, el Cloud Computing proporciona un conjunto de interfaces de usuarios/aplicaciones que utilizan los clientes para interactuar con el servicio en la nube (Ej.- aprovisionamiento, gestión, monitorización, …). De esta manera, la seguridad de todo el Cloud puede verse comprometida por la seguridad de una simple API. Por tanto, es importante proteger cada una de las interfaces contra intentos fraudulentos o accidentales.

Cloud Computing Procesos

 ¿Está mi información más segura en el proveedor Cloud?

En cuanto a la seguridad de la información en el Cloud. Hay una frase que conviene recordar y es El proveedor Cloud se encarga de la seguridad de la nube, tú como cliente eres responsable de tu seguridad en la nube”.

Pero no sólo tienes que cuidar aspectos de la seguridad de tus operaciones en el Cloud. Además debes asegurarte que tu proveedor cumple con tus requisitos de Seguridad. Algunos aspectos que se deben revisar son:

  • Responsabilidades: es importante acotar hasta dónde llega la competencia del proveedor y hasta qué punto pasa a ser responsabilidad única del cliente.
  • A nivel normativo tener en cuenta que tus datos no tienen por que estar alojados en el mismo país de la compañía. Por tanto, se puede estar incumpliendo alguna legislación. Coordinarse con el departamento legal de tu empresa para analizar que implicaciones puede tener migrar la información a otro país.
  • Tareas operacionales, como por ejemplo, verificar el grado de actualización, backups y mantenimiento de los sistemas, horario de soporte 24×7.
  • Seguridad en las transacciones y transferencias de datos (disponibilidad, cifrado, autenticidad, …).
  • Separación lógica de tu información corporativa con los datos de otros clientes del proveedor cloud.
  • Planes de continuidad que garanticen la disponibilidad del servicio en caso de catástrofe que afecte al proveedor.
  • Cumplimiento de estándares que permitan la migración a otro proveedor cloud en caso de finalización del servicio.

Aunque estos puntos suelen quedar registrado en un contrato o acuerdo de nivel de servicio (SLA), se recomienda verificar y confirmar los siguientes pasos para validar el cumplimiento de los requisitos anteriores:

  • Realización de auditorías externas que acrediten los requisitos de seguridad respecto al servicio contratado.
  • Notificación de cualquier incidente de seguridad en el proveedor que pueda afectar a la seguridad de tu información.
  • Solicitud al proveedor de una certificación que acredite una seguridad adecuada con el tratamiento de tu información corporativa sensible. Por ejemplo, un certificado de borrado seguro de tu información una vez finalizado el servicio.
  • Revisión y comprobación de las políticas de seguridad que implementan las diferentes herramientas de seguridad del proveedor cloud (firewall, antivirus, IDS, …) a través de un cuadro de mando. Ej.- Azure Security Center de la nube de Microsoft.
  • Comprobar que se registran los eventos, logs de los sistemas y se guardan auditoría de todas las operaciones realizadas en el Cloud.

Para simplificar todo este proceso de verificación, existen organizaciones que certifican y acreditan al proveedor Cloud mediante un certificado de seguridad. A continuación se indican algunos ejemplos de certificación y el organismo que lo acredita.

CertificaciónOrganismo
 

En el siguiente enlace se muestra más certificaciones (Aquí).

Guías para una implantación segura del Cloud

Existen muchas organizaciones que te ayudan y orientan en la migración de tu datacenter convencional al Cloud. A continuación se indican algunas de las guías más conocidas:

Por otra parte, relacionado con la implantación segura del Cloud, existe el concepto Seguridad como Servicio (SECaaS), en la cual la seguridad de la información se presta como un servicio en el Cloud, integrado con la infraestructura corporativa mediante una suscripción. Este servicio generalmente es muy rentable, ya que dispone de las ventajas de los servicios cloud. Cloud Security Alliance define una serie de guías de implantación divididas en categorías. A continuación se indican las 10 categorías que conforman el servicio SECaaS:

Desde VIEWNEXT tenemos amplia experiencia en proyectos de implantación y planes de migración a la nube siguiendo las guías de seguridad comentadas anteriormente. ¿Quieres más información? Contacta con nosotros

2020-07-17T11:51:25+02:0027 junio, 2018|

¡Compártelo en tus redes sociales!

Ir a Arriba