La digitalización es implacable para las empresas, y tienen que recurrir a la nube para manejarla y contar con servicios de conectividad, procesamiento y almacenamiento que ya no dominan la seguridad. La seguridad en la nube es una de las mayores prioridades para los proveedores y las organizaciones cuando así lo exigen las reglamentaciones y los delitos cibernéticos.
Conoce nuestras vacantes que tenemos disponibles clic aqui…
Visita nuestras Redes Sociales:
El paradigma de la computación nativa en la nube es una respuesta a las demandas digitales de las empresas, que deben responder rápidamente a los gustos cambiantes de los consumidores, las nuevas oportunidades de mercado y la aparición de tecnologías disruptivas. También tienen que lidiar con las crecientes preocupaciones sobre la confiabilidad del software, la seguridad y la gestión de datos.
La computación en la nube es un paradigma tecnológico que se ha infiltrado en nuestra vida pública y laboral simplemente para aumentar las capacidades de procesamiento y almacenamiento de los sistemas informáticos. Pero aunque la nube mejora la seguridad porque las empresas y los proveedores le ponen cien ojos, no está exenta de riesgos.
La nube soporta nuevos modelos de negocio, basados en la prestación de diversos servicios técnicos de forma descentralizada, optimizada y contratada bajo demanda, utilizando para ello la infraestructura de Internet. El crecimiento de la potencia de procesamiento y computación, la eficiencia de los sistemas de almacenamiento y el aumento de la capacidad y velocidad de transmisión, así como la expansión y reducción del costo del acceso a Internet, han ampliado la conectividad y son los hitos tecnológicos que llevaron a su expansión a gran escala. implementación. Sus servicios incluyen almacenamiento, copias de seguridad, aplicaciones ofimáticas, servicios de correo, alojamiento web, gestión de contactos…
nube; es más seguro
Por tanto, la nube se considera la quinta revolución en el mundo de las TIC. Permite a las pymes y autónomos adoptar la última tecnología a un menor coste y aumentar la productividad. También brinda agilidad y movilidad, ya que puede acceder a los servicios desde cualquier lugar, así como flexibilidad y escalabilidad, los servicios crecen de acuerdo a la demanda. Esto se puede lograr permitiendo una reducción en las inversiones en hardware y software, que se reemplazan por tarifas de servicio para planes de “pago por uso”. Además, proporciona un marco ideal de posibilidades para el trabajo colaborativo, el trabajo remoto y el trabajo híbrido. Hasta ahora, todo parece optimista. Pero tenemos que poner puertas en el campo para que no entren y nos roben la sonrisa.
En este sentido, Ignacio Cobisa, analista senior de IDC Research, es fuerte: los servicios en la nube ahora son tan seguros como los modelos tradicionales, si no más seguros. “El paradigma de que la computación en la nube es menos segura que la arquitectura local está comenzando a quedar obsoleto en la industria. De hecho, el programa de seguridad nacional no considera que la arquitectura en la nube sea menos segura”, explicó.
El primer aspecto crítico de un barco seguro es establecer un acuerdo de nivel de servicio (o SLA) entre el proveedor y el cliente. Definen compromisos por ambas partes y deben contener cláusulas que definan la responsabilidad del proveedor en determinadas acciones relacionadas con la seguridad, además de cuestiones como mantenimiento, actualizaciones, incidencias, disponibilidad y recuperación de datos. Servicios contratados por el cliente.
Según Cobisa, en un SLA “lo más importante es definir hasta qué punto se extienden las responsabilidades del cliente y dónde están las responsabilidades del proveedor del servicio, porque si dejamos los ‘dominios’ poco claros, suelen ser problemas en caso de origen de una incidencia “.
Marco Lozano, responsable de ciberseguridad de Incibe, ve el modelo de la nube “muy interesante porque además de democratizar servicios corporativos que antes no estaban disponibles por sus precios más elevados, también permite lanzar estos servicios de una forma súper ágil, lo que es muy positivo. de”. También conoció que la ciberseguridad se está democratizando gracias a los servicios en la nube. “Estos traen riesgos, -aclaró-, pero también soluciones con las que no se puede contar en ese nivel ni en esa posibilidad. Es una de las partes más positivas de la nube, está manejada por una gerencia experta, entonces como empresarios podemos olvidarnos, incluso la gestión del propio servicio”.
Incibe nos dieron un ejemplo de cloud computing mejorando la seguridad. “Cuando tenemos un contrato de servicios en mano, como la suite Office 365, y tenemos la suite ofimática, servicios de almacenamiento, podemos consolidar copias de respaldo, todo integrado en esa nube, es menos costoso que tener esos servicios en sus propios servidores. Es esta reducción de costos la que permite a las empresas con un nivel de seguridad bastante alto utilizar todo el conjunto de servicios casi ilimitados”.
Amenazas, riesgos y factores humanos
Sin embargo, las brechas de seguridad que son muy similares a las que surgen en la propia arquitectura de una organización continúan surgiendo en la nube.
A pesar de la mayor concienciación, los accesos no autorizados, las amenazas internas, las interfaces inseguras, el acceso a través de tecnologías compartidas, la fuga de información, la implantación de identidad, el desconocimiento de los entornos de los empleados y el hackeo siguen ocurriendo porque, como asegura Cobisa, “lamentablemente, los datos sugieren que estas amenazas han aumentado, y en la mayoría de los casos están relacionados con el error humano”.
De hecho, la ingenuidad, la ignorancia, el descuido, la falta de conciencia y de recursos son los factores que socavan la seguridad en la nube. Lozano coincide con Cobisa: “Se trata de todo, pero lo más importante es el factor usuario. Cuando contratas un servicio que crees que es seguro, te has olvidado de todo, pero la empresa sigue siendo responsable de ciertas cuestiones, como el uso de contraseñas, el establecimiento de permisos para los recursos que compartes y el acceso seguro a los mismos recursos. Es que la tecnología Pensando nos dará todas las respuestas, estamos equivocados. El usuario tiene una gran responsabilidad en este sentido. En definitiva, el factor humano reduce la seguridad, donde se mezclan todos los posibles factores de riesgo”.
Incibe señalan que el paradigma de confianza cero podría ser una seguridad integral que podría facilitar en gran medida esta tarea, pero queda por ver si puede abordar estos problemas relacionados con el factor humano. La seguridad en la nube presenta riesgos como el acceso de usuarios privilegiados, infracciones normativas, ubicación de datos desconocida y falta de aislamiento o capacidad de recuperación de datos. Según Ignacio Cobisa, “Uno de los riesgos más comunes está relacionado con la autenticación de usuarios. La nube debe combinar la agilidad y flexibilidad que ofrece (por ejemplo, en nuevos entornos de trabajo híbridos) con la seguridad necesaria, pero no deja los empleados se vean afectados por la experiencia del usuario”.
La seguridad en la nube involucra a todos
Nuestra gestión de alojamiento en la nube supone la pérdida de control al ceder las instalaciones que ejecutan nuestras aplicaciones, nuestros datos, etc. a un proveedor (es decir, a un tercero). Marcos Lozano entiende que por muy bueno que sea el servicio, la seguridad no es absoluta, porque “independientemente de que tengamos un contrato o un convenio específico, siempre hay un problema con un proveedor, un ataque que nos pone en riesgo. tus manos”. En ese sentido, por lo general, las empresas recuerdan cuando cae un trueno en Santa Bárbara, es decir, cuando ocurre el evento”.
Cobisa cree que se debe confiar en los profesionales porque “por lo general, los proveedores establecidos en el mercado brindan una confianza digital en recuperación ante desastres, confidencialidad y seguridad de datos igual o mayor que la confianza que una organización puede obtener en su propio CPD”. Lozano también señaló que los vendedores son más seguros que las empresas. “Hay que evaluar el tamaño de la empresa y sus dependencias tecnológicas. En el último balance de vulnerabilidades que dimos, encontramos una vulnerabilidad que se repite desde hace años y es la falta de implementación actualizada. Las empresas aún no actualizan sus sistemas , la aplicación, clasificamos esta falla en tercer lugar. Es algo que hemos mantenido desde 2006, mientras vigilamos las contraseñas e implementamos políticas de seguridad, y realizamos copias de respaldo para evitar el ransomware”.
Dieciséis años después, todavía encontraron que no se estaban siguiendo las recomendaciones. Los incidentes por tales motivos han disminuido, pero siguen ocurriendo y tienen un largo camino por recorrer. En Incibe encontraron que desde hace dos años, más o menos desde el inicio de la pandemia, las empresas han invertido más en servicios en la nube y ciberseguridad, ya sea por falta de tiempo, o porque ya es algo con lo que tienen que lidiar. Están más preocupados por el tipo de medidas, con un aumento de consultas por sus líneas específicas, preguntando por servicios para proteger su patrimonio, herramientas que puedan protegerlos y soluciones específicas; “lo que parece que les está pasando”, advierte Lozano Decir.
Sin embargo, según Lozano, el aspecto de seguridad en la nube que más preocupa a las organizaciones es el cumplimiento normativo, “ya que todos los servicios en la nube deben cumplir con el RGPD o la ley orgánica de protección de datos de España”. , y el tercero es con problemas relacionados con la seguridad de la red.
Pero eso no quiere decir que haya una tendencia a relajar las responsabilidades organizacionales, por lo del “yo pago”, todo el trabajo recae en el proveedor. Según Cobisa, “en general, las organizaciones se involucran cada vez más con los proveedores en la definición de estas políticas de seguridad.” Para los analistas, la seguridad en la nube no tiene nada que ver con los servicios contratados ni con el nivel de delegación de responsabilidades. “Las arquitecturas que brindan límites de ataque más amplios y más débiles son menos seguras, pero esto no necesariamente se correlaciona con la elección de IaaS (Infraestructura como servicio), PaaS (Plataforma como servicio) o SaaS (Software como servicio). Organizaciones ) Los criterios que se utilizan para elegir una nube u otra no se basan únicamente en la seguridad, en muchos casos tienen más que ver con la tecnología heredada que tienen o los aspectos normativos o internos que quieren cubrir”, aseguró.
Cómo lograr la seguridad de los sueños
Para lograr la seguridad requerida para la nube, debe implementar una arquitectura específica que sea bien conocida por los profesionales con Certificados en Cloud Security Professionals (CCSP). Juan Blázquez Martín, experto en ciberseguridad y conferencista del CCSP, miembro del Capítulo de Madrid de ISACA, revela las claves para construir la seguridad en la nube como sugieren las regulaciones y el sentido común. “Para alcanzar plenamente el nivel de seguridad que requiere una organización y sus activos, es necesario seguir dos directrices clave: elegir el tipo de servicio que se adapte a sus necesidades y comprender sus obligaciones bajo el Modelo de Responsabilidad de Servicios Compartidos”.
Una vez definidos claramente estos términos que definen el modelo de responsabilidad compartida, debemos proceder a establecer diferentes niveles de seguridad:
- Seguridad Física: el proveedor de la nube necesita un centro de datos desde el que prestar servicios a sus clientes. Desde esas instalaciones se ocupará de la securización de los componentes hardware y la gestión de la configuración hardware. Para ello, conviene construir una plantilla para la configuración segura de cada dispositivo específico, y debe replicarse cada vez que se agregue al entorno un nuevo dispositivo. La configuración básica del hardware debe guardarse de manera segura y mantenerse actualizada a través del proceso formal de gestión de cambios, parches y actualizaciones. También se ocupará de los registros de auditoría y eventos, (asegurar que se guarden suficientes datos relacionados con la actividad en cada máquina para un posible uso futuro para determinar exactamente qué ocurrió y la identidad de los usuarios), de securizar el acceso de gestión remoto (controles específicos para garantizar que solo los usuarios autorizados puedan acceder y operar) y si el cliente lo requiere, establecer el aislamiento de clientes específicos.
- Seguridad Lógica: se refiere a la securización del uso de software y procesos que se ejecutan sobre los hosts del proveedor para minimizar los riesgos de seguridad asociados con las operaciones de los clientes. El proveedor debe establecer unas normas claras en las que se indique que pueden y no pueden hacer los clientes al operar con sus sistemas informáticos. Además se debe asegurar que el software, sistema operativo y programas, no tienen fallos que puedan provocar incidentes de seguridad. La seguridad lógica se ocupa de la securización de los sistemas operativos virtuales, de todos los activos virtualizados y de la detección de vulnerabilidades mediante escaneos periódicos y automatizados de la red. Solo se detectan vulnerabilidades conocidas y cualquier vulnerabilidad existente que no sea parte de un patrón reconocido pasará desapercibida. Según Blázquez, “no pueden evitar que los atacantes exploten vulnerabilidades desconocidas en los sistemas, (ataques que se denominan exploits de día cero), pero al detectar y corregir vulnerabilidades conocidas, se evita que los atacantes puedan utilizar estas”.
- Seguridad de Red: el proveedor tiene que asegurarse que la arquitectura de red y los componentes de interconexión que la componen sean seguros. En la securización de la conexiones de red se aplican muchas de las mismas tácticas y controles utilizados en el entorno on-premise. Además de algunas otras específicas del entorno Cloud. Incluye toda actividad encaminada a proteger el acceso, el uso y la integridad de la red, así como los datos que circulan por ella: incluye hardware y software, sstá orientada a diversas amenazas y pretende evitar que se propaguen por la red. “La microsegmentación es cada vez más común —nos explica Blázquez—. Es la práctica de dividir el centro de datos en zonas seguras, para mayor control sobre la comunicación lateral que se produce entre servidores.
- Seguridad de las Comunicaciones: se deben asegurar las líneas de comunicación y conexiones entre los distintos centros de datos del proveedor dispersos geográficamente y entre estos y los clientes que acceden a ellos. La seguridad de las comunicaciones tiene que enfocarse a impedir la interceptación de los datos transmitidos y el acceso a las líneas de comunicación. Para ello se utilizan la criptografía, las Redes Privadas Virtuales (VPN) y la autenticación reforzada.
Aunque la teoría está muy clara, desde el Incibe, Lozano insiste en recordar que “las organizaciones deben tener en consideración que los problemas de seguridad en la nube, al igual que ocurre cuando la arquitectura en instalaciones propias, requieren un proceso que tiene que implementarse, con un ciclo de mejora continua. No es algo que se implemente una vez, y ahí se queda. Las tecnologías, los sistemas, las amenazas, los atacantes… evolucionan. Tenemos que mantenernos al día a la hora de prevenir y disponer de esas soluciones y tecnologías que nos van a prevenir de esos ataques, o que nos permitan ponernos en marcha lo antes posible si se materializan”.
Según su consejo, todo lo que contratemos como servicios en la nube relacionados con la ciberseguridad tiene que cubrir nuestras necesidades y tener opciones de reclamación o incluir algún tipo de indemnización.
Y nos tranquiliza al afirmar que las empresas y organizaciones españolas “estamos en el tercer o cuarto lugar entre los países mejor concienciados y asegurados, y contamos con un nivel de profesionales impresionante”.
Fuente: computerworld.es
especial seguridad cloud
Marian Álvarez Macías