Estrategias de seguridad en Cloud
A menudo tratamos el tema de la seguridad en el Cloud, tanto para destacar los principales retos de seguridad Cloud como para desmentir algunos mitos que todavía circulan. Muchas veces, nos podemos plantear si la seguridad en la Nube es algo que se deba afrontar de una manera muy diferente a la seguridad en otro ámbito.
En el fondo, sea cual sea el tipo de configuración por la que optemos en nuestra organización, las amenazas son comunes. Ya sea ransomware o cualquier tipo demMalware, violaciones de datos, amenazas a través de emails fraudulentos, suplantación de identidad… Todas estas amenazas no son exclusivas del Cloud, así que hemos de tener muy en cuenta este punto a la hora de diseñar nuestra estrategia.
Cuando hablamos de los tipos de Cloud que nos podemos encontrar, comentamos las diferencias entre la Nube Privada, Pública e Híbrida. En concreto, la Nube Híbrida es una de las configuraciones más útiles, ya que nos permite optimizar el uso de recursos y disponer de una flexibilidad tal que podremos ofrecer diferentes tipos y niveles de servicios. Es la solución óptima en la mayor parte de los casos, pero también, por ese motivo, la que supone un mayor reto a la hora de delimitar el «perímetro de seguridad».
La responsabilidad compartida en un entorno Cloud
La seguridad en una red corporativa o empresarial se sustenta en un compromiso entre los usuarios y los administradores de la red. Los primeros se comprometen —y responsabilizan— a seguir todas las políticas de seguridad y a utilizar correctamente los sistemas, mientras que los segundos tienen como misión procurar los mejores sistemas de seguridad, desde la prevención hasta la recuperación, y se comprometen a mantenerlos actualizados.
Al migrar parte de nuestra red al Cloud, podemos caer en el error de que la responsabilidad de la seguridad de los sistemas recae exclusivamente en el proveedor de servicios. Esto no es así, ya que los usuarios —los empleados y colaboradores de la empresa— tienen, también, una responsabilidad compartida en cuanto a la seguridad en la Nube.
Cierto es que el proveedor de servicios en la Nube tiene una responsabilidad, la de ofrecer seguridad para la infraestructura que proporciona, pero es la organización la que es responsable de proteger sus datos. Por tanto, deberá implementar políticas de acceso y usuarios, garantizar el correcto cifrado y, además, administrar la configuración general del servicio Cloud contratad. También es responsabilidad propia mantener los equipos en uso por los trabajadores bien actualizados, parcheados y con todas las medidas de seguridad necesarias.
En resumen, ambas partes tienen responsabilidad y deben asumir sus papeles dentro de la estrategia general de seguridad.
Cada organización y cada Cloud Híbrido elegido serán un caso de estudio aparte, por lo que las necesidades específicas en cuestiones de seguridad serán particulares y, en ningún caso, generalizables. Sin embargo, se pueden identificar ciertos principios de seguridad y buenas prácticas que se aplicarán a cualquier configuración de Cloud Híbrido:
- Principio de mínimo privilegio. Es un básico, y consiste en que el acceso a las partes específicas del sistema solo se debe dar a los usuarios que lo necesiten.
- Asegurar todos los puntos finales en la red. La seguridad en los endpoint es clave, ya que muchos ataques comienzan en estos dispositivos —ordenadores, portátiles, tabletas, smartphones— y se difunden al resto de los sistemas conectados. Es algo que se hace en cualquier tipo de sistema o configuración, y que no se debe obviar en el Cloud. Por tanto, se deben utilizar soluciones de seguridad integrales, y también formar adecuadamente a los usuarios.
- Aislar la infraestructura crítica: cuantas menos personas tengan acceso a las partes más críticas de la red, menos problemas tendremos y, por lo tanto, más seguros estaremos ante posibles ataques.
- Cifrado de los datos que pasan a través de la nube. Los datos deben cifrarse, tanto en tránsito como en reposo. Es una medida de seguridad básica.
- Copia de seguridad de datos críticos en dispositivos de almacenamiento externo. Realizar backups seguros es garantía de no perder los datos de manera permanente.
- Crear un plan de continuidad de negocio y recuperación ante desastres. Ya comentamos que un DRP es crucial para mantener la viabilidad de cualquier organización, y de lo importante que es diseñarlos con acierto.
- Elegir la solución de seguridad Cloud adecuada. Es, en el fondo, el quid de la cuestión. Elegir la infraestructura y dar con el proveedor más adecuado es fundamental para trabajar con seguridad, y con confianza. La estructura adecuada nos permitirá operar con la máxima eficiencia y controlando los costes, y un proveedor solvente y reconocido nos ayudará a centrarnos en nuestras tareas —incluyendo las de seguridad—, mientras confiamos en la seguridad de la infraestructura.