El papel del usuario en la seguridad cloud
A medida que se acelera la transformación digital de las empresas, impulsada por la mayor demanda de servicios en línea durante la pandemia, la nube pública sigue siendo la principal opción para transformar digitalmente las operaciones empresariales. Los clientes deben permanecer alerta y asumir responsabilidades de seguridad para evitar incidentes graves.
Nos guste o no, la nube no ofrece la opción de externalizar completamente la seguridad de los activos informáticos migrados: el cliente siempre tendrá alguna responsabilidad. Ignorar este hecho es poner la seguridad en entredicho y exponerse a muchos incidentes y ataques de seguridad como robo o pérdida de datos, violaciones de la confidencialidad o interrupción de las operaciones, por nombrar algunos.
Por todo ello, es importante entender que la seguridad en la nube exige medidas de protección en todos los niveles de la infraestructura, tanto en la subyacente a la nube (servidores, cabinas de almacenamiento, conmutadores…) como en la virtual (instancias de computación, almacenamiento, VPC, redes virtuales); las aplicaciones y microservicios que se ejecutan en la nube; o en las identidades de usuarios y administradores cuyos perfiles y cuentas de acceso deben gestionarse para utilizar aplicaciones y datos. Asimismo, es importante no descuidar los datos almacenados en la infraestructura de la nube, ya sean estructurados o no estructurados en una base de datos.
¿Quién asegura qué en la nube?
Realmente, no hay una respuesta única. Todo dependerá del modelo ofrecido por el proveedor de la nube: IaaS, PaaS, SaaS… por lo que la empresa deberá conocer hasta dónde alcanza su responsabilidad (y la del proveedor) en materia de seguridad.
No obstante, y de forma general, los clientes siempre tendrán que responsabilizarse de sus propios datos, además de sus cuentas de usuario y de administrador e identidades, y comprobar con cada proveedor qué otras responsabilidades de seguridad les exige el contrato. Esto tendrá todavía más relevancia en el caso de que la empresa siga una estrategia de nube híbrida y/o multi-nube, posiblemente en relación con el edge-computing, y que implique a varios proveedores y tipos de nube.
Por tanto, el cliente siempre será el principal responsable de la seguridad en las nubes que utiliza, y tendrá que ser proactivo en este ámbito. En todos los niveles de la seguridad en la nube, la empresa debe asegurarse de mantener el mayor conocimiento posible de lo que ocurre: "Debe recopilar y explotar la información de seguimiento, como los registros de actividad y acceso, y la información de funcionamiento de las aplicaciones. Con esta visión de conjunto, la empresa conservará el control y, en su caso, garantiza la reversibilidad de la seguridad en la nube", explica Edouard Camoin (foto de la izquierda).
Otra buena práctica es la de pensar en términos de "seguridad por diseño", es decir, incorporar la seguridad a su proyecto de nube desde el principio. Esto significa pensar en el futuro y organizarse, lo que implica establecer criterios de seguridad para especificar qué aplicaciones y datos son elegibles para la nube, decidir quién hace qué en términos de seguridad y en qué momento incluirlos, planificar los recursos que se van a asignar y establecer copias de seguridad y planes de continuidad y recuperación que aprovechen al máximo las características de seguridad de las nubes utilizadas por la empresa. Esto evitará la necesidad de apuntalar posteriores brechas con un gran coste, y lo que es más importante, evitará las crisis. Todo ello sin pasar por alto la formación y la concienciación, porque: "Demasiados operadores siguen eligiendo su tecnología en la nube, configurándola internamente, y pensando en la seguridad en el último momento: ¡el peor enfoque para la seguridad en la nube!", añade Camoin.
Proveedores de confianza
A la hora de elegir sus proveedores de nube y de crear un entorno fiable, la empresa debe tener en cuenta el concepto de confianza en sus criterios de selección. Trabajar con proveedores de nube certificados por SecNumCloud y con tecnologías de seguridad calificadas por organismos públicos independientes como el CCN o la ANSSI es un paso en la dirección correcta. Además, la evaluación de los proveedores requiere una atención especial al alcance de la seguridad que realmente se cubre tras una certificación mostrada: la empresa debe asegurarse de que los compromisos de seguridad se establecen claramente en las cláusulas del contrato.
Dado que la proactividad del cliente es esencial para la seguridad en la nube, la empresa debe tomar la iniciativa para protegerse, incluso en los casos en que el fabricante asuma la responsabilidad. "Por ejemplo, conservar la clave de cifrado de sus propios datos, e incluso no dejar que el proveedor realice operaciones de cifrado. Y en los casos en los que la seguridad es responsabilidad directa del cliente, éste debe utilizar al máximo las tecnologías de protección de terceros, compatibles con los distintos entornos de la nube, sobre los que tiene pleno control", recomienda Bonenfant.
Al hacerlo, la empresa garantiza la coherencia de las políticas de seguridad en todo su sistema de información (incluida la nube híbrida o la multi-nube) y facilita la reversión de la seguridad en caso de cambio de proveedor de la nube.
Las organizaciones tienen una parte de responsabilidad en lo que respecta a la seguridad en la nube: ¡sus datos y su soberanía en la nube no son cuestiones que puedan aplazarse!
Edouard Camoin, vicepresidente de resiliencia de 3DS OUTSCALE, y Matthieu Bonenfant, director de marketing de Stormshield
