¿Gestionas tu seguridad
o estás en las nubes?
Si a alguien le preguntáramos si sabe qué tipos de nubes existen, muchos estarían tentados de responder con palabras como cirros, estratos, cúmulos o nimbos. Pero no queremos hablar de esos tipos de nubes, hoy queremos profundizar en los servicios de la nube digital.
El concepto de nube ha cambiado radicalmente la forma en la que las organizaciones han comenzado a ver el consumo de tecnología para el soporte a sus negocios. Cada vez son más las compañías que hacen uso de un modelo que, sin embargo, requiere de unas medidas de ciberseguridad que no siempre son conocidas.
El uso de servicios en la nube está proliferando en el mercado de forma imparable. Cada vez son más numerosos los usuarios -sean estos particulares, empresas u organizaciones gubernamentales- que hacen uso de entornos XaaS para almacenar y gestionar su información (IaaS) o para proveer -o proveerse de- aplicaciones relacionadas con su negocio (PaaS y SaaS). El uso de nubes privadas, compartidas o incluso híbridas han copado el mercado con una oferta que compite bajo este paradigma.
La seguridad de una infraestructura en nube, en cualquier modelo de uso, requiere la asunción de un conjunto de responsabilidades compartidas que deben estar claramente diferenciadas y, por supuesto, asumidas por todas las partes intervinientes en su gestión.
Los dos actores, el cliente y el proveedor, comparten a diferentes niveles la gestión de los datos de una organización, dependiendo del modelo que finalmente sea implantado: interno, IaaS, PaaS o SaaS.
Básicamente, en función del rol desempeñado por el cliente, la gestión de la seguridad del servicio en nube recae en uno u otro lado. Podríamos decir que existen dos niveles de seguridad que distinguiríamos por una simple preposición gramatical: la seguridad de la nube y la seguridad en la nube. La primera siempre será asumida por el proveedor, mientras que es en la segunda donde se establecen diferentes niveles de gestión en función de la responsabilidad que esté dispuesto a asumir o delegar el cliente. El proveedor de servicios de nube debe ser capaz de ofrecer mecanismos adaptados a las necesidades de sus clientes a través de soluciones propias o de terceros. Incluso el propio cliente debe ser capaz de completar los servicios delegados en terceros con medidas de seguridad complementarias que actúen de interfaz seguro cuando varios proveedores trabajan de forma simultánea. La evolución de los estándares y las certificaciones de seguridad han hecho que uno de los mejores puntos de partida a la hora de seleccionar un proveedor sea la certificación de su modelo de gestión. Las empresas que prestan este servicio deben ser capaces así, cuanto menos, de garantizar la integridad de los datos de sus clientes cumpliendo con normas como la ISO 27001, 27017 o 27018.
Las soluciones de seguridad en la nube cubren todos los niveles de actuación, desde la protección de los datos, pasando por las aplicaciones -a menudo compartidas- que normalmente caen bajo la responsabilidad del cliente. Es él el que debe hacerse cargo de seleccionar los mecanismos y las soluciones que aporten un nivel de seguridad adicional al proporcionado por la propia nube. Más aún cuando el modelo que acaba implementando implica estructuras híbridas o compartidas entre varios proveedores de nube. Es aquí donde el cliente debe actuar de eslabón de seguridad. Conceptos y herramientas como CASB, WAF, DLP, VPN o IdM deben formar parte de los elementos que este tiene que considerar y que marcarán el equilibrio en los servicios de y en la nube. No en vano, según Gartner, el mercado de la seguridad de la nube supondrá más de 75.876 millones de euros en 2021.
El uso de servicio de y en la nube se está convirtiendo en un modelo de transformación digital en las organizaciones. La integración de servicios de redes internas con aplicaciones disponibles en nube o incluso la integración de servicios entre nubes de proveedores diferentes para completar la gestión de una parte del negocio obligan a los responsables de ciberseguridad de las compañías a desplegar mecanismos de configuración en los que intervienen elementos de control de las conexiones, la monitorización del tráfico entre redes, el acceso controlado a aplicaciones, la autorización y autenticación de los usuarios, el cifrado de las comunicaciones o incluso la protección ante ataques externos. Saber gestionar esas responsabilidades y hacerlas coexistir con los mecanismos desplegados internamente dentro de una organización es algo que debe afrontarse con cuidado. Para ello se debe disponer de medidas adecuadas que sean consistentes entre sí y que den respuesta a los riesgos que el uso de este modelo lleva implícito.