¿Sabes cómo funciona la seguridad en la nube, cuáles son sus componentes y qué herramientas tienes a tu alcance para garantizarla? Sigue leyendo.
Se estima que, hasta el año 2025, el 99% de los fallos de seguridad en la nube serán ocasionados por errores de los usuarios, según datos de la consultora Gartner. Asimismo, 9 de cada 10 empresas van a compartir de forma inapropiada datos sensibles en la nube, siempre y cuando no logren tener un control sobre la manera en que utilizan los servicios cloud.
Teniendo en cuenta estos datos, la seguridad en la nube debe ser un enfoque integral, en el que deben participar todas las partes implicadas. En este sentido, mientras que los tomadores de decisiones tienen la obligación de dictar las políticas y las mejores prácticas de seguridad dentro de la empresa, los trabajadores tienen la obligación de cumplirlas.
¿Sabes cómo funciona la seguridad en la nube, cuáles son sus componentes y qué herramientas tienes a tu alcance para garantizarla? Sigue leyendo.
¿Cómo funciona la seguridad en la nube?
La seguridad en la nube se basa en un enfoque integral que combina medidas físicas, tecnológicas y de gestión para garantizar la protección de los datos, de las aplicaciones y de la infraestructura que funcionan en entornos cloud.
En este sentido, cabe mencionar que los proveedores de servicios en la nube implementan múltiples capas de seguridad para reducir riesgos y mantener un entorno seguro para los usuarios. Esto se debe a que, cuando una empresa contrata las soluciones cloud de un proveedor, este último es el encargado de proporcionar los principales mecanismos de protección que requiere el ecosistema en la nube, con el objetivo de que la empresa y sus usuarios puedan disfrutar de servicios seguros y tener la confianza de que sus datos se encuentran protegidos.
Para lograr esto, la seguridad en la nube que proporciona el proveedor tiene que ver con:
Asegurar que los datos almacenados están protegidos contra accesos no autorizados, pérdida o corrupción, para lo cual el proveedor establece medidas como la encriptación de datos en reposo y en tránsito, la gestión de accesos y las copias de seguridad. En este sentido, el proveedor implementa políticas y controles para garantizar que los datos sean accesibles solo por parte de usuarios autorizados, de manera que se cumple con las regulaciones de privacidad y retención de datos.
Garantizar que los sistemas operativos y software involucrados se mantienen actualizados con los últimos parches de seguridad. Se mantienen en funcionamiento componentes como firewalls y sistemas de detección y prevención de intrusiones para proteger los datos contra amenazas externas.
Configurar mecanismos de monitoreo y análisis de registros para detectar actividades sospechosas y responder de forma rápida a incidentes de seguridad, así como también contar con planes de recuperación de desastres para asegurar la continuidad del servicio en caso de interrupciones o fallos en la infraestructura.
Aunque todo lo mencionado anteriormente es responsabilidad del proveedor de servicios cloud, la empresa contratante también asume cierto grado de compromiso en cuanto a las acciones de ciberprotección que debe mantener durante la contratación de los servicios en la nube. Esto es lo que se conoce como Modelo de Responsabilidad Compartida, un concepto que estudiaremos en detalle más adelante.
Componentes de seguridad en la nube
Para garantizar un entorno cloud que sea confiable y protegido, la seguridad en la nube se debe componer de los siguientes elementos:
Autenticación y control de acceso: la autenticación tiene que ver con verificar la identidad de los usuarios para garantizar que solo los usuarios autorizados puedan acceder a los recursos en la nube. Esto se consigue cuando el proveedor implementa técnicas como la verificación de contraseñas seguras, la autenticación de múltiples factores (MFA) y los certificados digitales. Además, se establecen políticas y controles de control de acceso basado en roles (RBAC) para garantizar que los usuarios solo tengan acceso a los recursos y datos que sean pertinentes a su rol y nivel de autorización.
Encriptación de datos (en tránsito y en reposo): la encriptación de datos en tránsito es un método para la protección de los datos mientras se están transfiriendo entre el usuario y la nube. Esto lo logra el proveedor utilizando protocolos de seguridad, como HTTPS, que encriptan la comunicación para evitar que los datos sean interceptados o modificados por terceros no autorizados.
Por otro lado, la encriptación de datos en reposo se refiere a cifrar los datos almacenados en los servidores de la nube. Esto asegura que, incluso si un atacante obtiene acceso no autorizado a los sistemas de almacenamiento, los datos permanezcan ilegibles sin la clave de encriptación correspondiente.
Seguridad de la red: este punto tiene que ver con las medidas tomadas para proteger la infraestructura de red utilizada para la comunicación entre los recursos en la nube y los usuarios. Algunas de estas medidas incluyen la implementación de firewalls, ya sea de host como de red, para controlar el tráfico entrante y saliente y evitar accesos no autorizados. También, el proveedor emplea sistemas de detección y prevención de intrusiones (IDS/IPS) para monitorear la red en busca de alguna actividad maliciosa y tomar medidas para mitigar las amenazas. De igual manera, se incluyen tecnologías como la segmentación de red, las VPN (del inglés, Virtual Private Network) y los túneles seguros, para proteger las comunicaciones y aislar los recursos.
Protección contra amenazas: es la encargada de detectar y prevenir ataques cibernéticos. Además de firewalls, también se ejecutan sistemas de detección y prevención de intrusiones, antivirus, antimalware y herramientas de gestión de vulnerabilidades. Por otro lado, el proveedor aplica políticas y mejores prácticas de seguridad, como la actualización regular de los sistemas operativos y del software con parches de seguridad, y lleva a cabo pruebas de penetración para identificar y abordar las posibles vulnerabilidades.
Monitoreo y registro de eventos: los sistemas de monitoreo de seguridad y de análisis de registros (SIEM) sirven para recopilar y analizar los eventos de ciberprotección en tiempo real. Esto permite a los proveedores detectar patrones y comportamientos anómalos que pueden indicar una posible amenaza o actividad maliciosa. Los registros de eventos también se utilizan para investigar incidentes de seguridad, realizar auditorías de cumplimiento y cumplir con los requisitos normativos de retención de registros.
Cumplimiento normativo y legal: este campo se refiere a la adhesión a las regulaciones y leyes de seguridad y privacidad aplicables. Los proveedores de servicios en la nube deben cumplir con estándares y regulaciones como elReglamento General de Protección de Datos (RGPD) de la Unión Europea, la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) de Estados Unidos y otros requisitos sectoriales o geográficos.
En este contexto, se deben establecer controles de seguridad adecuados, políticas de privacidad, mecanismos de consentimiento y notificación, así como realizar auditorías regulares para garantizar el cumplimiento de las regulaciones y proteger los derechos y la privacidad de los datos de los usuarios.
Respaldo y recuperación ante desastres: este tipo de soluciones garantizan la disponibilidad y la integridad de los datos y sistemas en caso de fallos o interrupciones graves. Algunas de las acciones más comunes son las copias de seguridad periódicas de los datos y de las aplicaciones en múltiples ubicaciones geográficas, utilizar técnicas de replicación de datos y tener planes de recuperación de desastres que incluyan la restauración rápida de los servicios y de la infraestructura en caso de una interrupción significativa.
Actualizaciones y parches de seguridad: como hemos mencionado, los proveedores son responsables de mantener actualizados los sistemas operativos, las bibliotecas y los componentes de software subyacentes en su infraestructura. Por ello, aplican de manera regular los parches de seguridad más recientes y las correspondientes actualizaciones de software para corregir las vulnerabilidades identificadas y así asegurar la protección contra las últimas amenazas. También, tienen que seguir las mejores prácticas de gestión de parches y realizar pruebas para minimizar el impacto en la disponibilidad y el rendimiento de los servicios.
Herramientas de seguridad en la nube para empresas
El entorno de la nube es extremadamente amplio y, por lo tanto, requiere de una gran variedad de soluciones de seguridad para poder protegerlo de forma integral. Tenemos, por ejemplo, el caso de Google Cloud Platform (GCP), un proveedor que mantiene altos niveles de protección en todos los servicios cloud que ofrece, tanto de uso personal como empresarial.
Además, Google pone a disposición de las empresas las mismas soluciones de seguridad en la nube que utiliza para proteger su propia infraestructura, con el objetivo de cubrir cualquier necesidad de protección que tengan. Por ejemplo, algunas de las soluciones de seguridad en la nube proporcionadas por GCP son las siguientes:
Servicios para proteger las migraciones a la nube: Security Command Center (gestión de riesgos), Assured Workloads (protección de cargas de trabajo) y Cloud Key Management (claves de encriptación).
Servicios para detectar y afrontar amenazas en línea: VirusTotal (detección de malware), Chronicle SIEM (detección de amenazas) y Chronicle SOAR (automatización y orquestación de seguridad).
Servicios para visibilidad sobre brechas de seguridad: Digital Risk Protection (mitigación de ataques), Digital Threat Monitoring (monitorización de amenazas) y Attack Surface Management (gestión de vulnerabilidades).
Servicios de accesos seguros a sistemas, datos y recursos: BeyondCorp Enterprise (acceso con confianza cero), Llave de seguridad Titan (anti phishing) y Servicio de Autoridades de Certificación (controles de seguridad de las autoridades de certificación privada).
Servicios antifraudes y ataques web: reCAPTCHA Enterprise (contra el spam y el uso inadecuado), Google Cloud Armor (contra denegación de servicio) y Web Risk (detección de URL malintencionadas).
¿En qué consiste el Modelo de Responsabilidad Compartida?
El Modelo de Responsabilidad Compartida es un enfoque de seguridad en la nube que define las responsabilidades, tanto del proveedor de servicios cloud como del cliente, en cuanto a protección de los datos y de la infraestructura en la nube. Este modelo establece que existen áreas en las que el proveedor tiene toda la responsabilidad primaria, mientras que existen otras en las que el cliente comparte la responsabilidad.
En líneas generales, el proveedor cloud es responsable de la seguridad de la infraestructura física y virtual, incluyendo la seguridad de los centros de datos, la red y la plataforma en la que se ejecutan los servicios en la nube. Por otro lado, el cliente comparte la responsabilidad de la seguridad en áreas como la configuración y administración de los sistemas y las aplicaciones utilizados en la nube, la gestión de identidades y accesos, la configuración de las políticas de seguridad y el cifrado de datos.
Bajo este contexto, el cliente tiene la obligación de implementar buenas prácticas de seguridad, como la elección de contraseñas fuertes, la gestión adecuada de las credenciales de acceso y la configuración adecuada de los controles de seguridad proporcionados por el proveedor. Asimismo, también es responsable de proteger los datos y aplicaciones que se transfieren a la nube, así como de establecer políticas internas de seguridad y de cumplimiento normativo. Para entender mejor este concepto, puedes consultar el Modelo de Responsabilidad Compartida de los servicios de Google Cloud Platform.
En este modelo, se establece la Responsabilidad Compartida entre GCP y los usuarios respecto a múltiples elementos. Cuando todo el ecosistema funciona on-premise (dentro de las instalaciones de la empresa), toda la responsabilidad de la seguridad recae precisamente en la empresa. Sin embargo, a medida que la empresa va utilizando cada vez más servicios de GCP, los grados de responsabilidad se van transfiriendo al proveedor de la nube.
En definitiva, si bien es cierto que es importante que cumplas con todas las medidas de seguridad como empresa contratante, también es importante que elijas un proveedor cloud que proporcione a tu empresa mayores garantías de seguridad. Recuerda que los datos sensibles de tu organización van a estar alojados en los servidores de un tercero, por lo que ese tercero tiene la obligación de implementar las más avanzadas medidas de seguridad posibles.