Seguridad en la nube
Cada vez son más empresas las que empiezan el camino hacia el cloud, ya sea con entornos híbridos o con modelos donde servicios completos se basan en el cloud.
Ya a nadie la extraña ver cómo la pandemia aumentó el ritmo en el que las empresas adoptaban procesos de transformación digital obligados por la grave situación sanitaria a la que nos enfrentamos incluso actualmente.
Los servicios alojados en la nube ayudan a las empresas a aumentar y extender sus capacidades, incluso pueden ayudarles a mejorar sus procesos operativos, así como, cambiar la manera en la que exponen su negocio al mundo.
En el proceso de cambio o de adopción de la tecnología cloud, la selección del proveedor es uno de los puntos más importantes a tener en cuenta. Elegir un proveedor, o proveedores puede tener un impacto muy alto en la seguridad si no se hace concienzudamente.
A veces, creemos que el movimiento en si mismo es seguro al vincularse con proveedores muy grandes que gozan de una muy buena reputación y generan confianza, pero no basta con seleccionar adecuadamente al proveedor y lanzar nuestros servicios a la nube, sino que debemos adaptarlos a ese nuevo entorno de trabajo, evaluar los riesgos y aplicar los controles de seguridad que sean necesario en este nuevo campo de operación.
A menudo, también sucede que no sólo no se evalúan los riesgos derivados de poner en la nube una aplicación o servicio determinado, sino que tampoco se evalúa otro de los puntos a tener en cuenta cuando migramos a estos entornos, la responsabilidad. Caemos en la falsa creencia de que el proveedor es responsable de todo por tener alojados en su “dominio” todos nuestros aplicativos o servicios, pero no somos conscientes de que los CSP (Cloud Service Providers) no asumen la responsabilidad, por ejemplo, por robos o pérdidas de datos causados por accesos no autorizados, errores de configuración, o derivados de no haber asegurado lo suficiente la información en este nuevo entorno.
Como decíamos anteriormente, simplemente por optar por servicio cloud no significa que podamos sentarnos y no hacer nada. La responsabilidad de proteger los entornos cloud aún recae sobre los hombros de la empresa que usa la plataforma, y en concreto sobre su departamento de seguridad. Este departamento debe garantizar que nuestros datos alojados en la nube estén lo más seguros posible, aplicando las mejores prácticas y controles de seguridad.
El movimiento a la nube requiere de una rápida adaptación de las áreas de ciberseguridad. Esta adaptación conlleva inicialmente, una serie de cambios en los procesos de, por ejemplo, la monitorización que se vuelve clave en la detección y respuesta frente a incidentes de seguridad.
La migración al cloud, obliga a cambiar el paradigma de monitorización de este tipo de entornos. Ya no vale con integrar las soluciones actuales de monitorización de eventos actualmente disponibles y conocidas. Ahora empieza a ser clave integrar nuevas herramientas específicas para este nuevo entorno, herramientas ofrezcan la visibilidad, escalabilidad y capacidades adecuadas a diferentes niveles como son los datos, las aplicaciones y los elementos propios de la cloud.
Con el tiempo, se ha mejorado mucho esta transición hacia los entornos cloud, los proveedores han ido adaptándose e incorporando cada vez más, medidas de seguridad base a nivel de datos, aplicaciones y entorno; así como de cumplimiento normativo, con el fin de poder dar respuesta a las necesidades y requisitos de ciertos clientes que en algunos sectores tienen que cumplir con estándares necesarios o certificaciones en diferentes ámbitos.
Pero toda esta seguridad base no es suficiente, y aunque en este sentido se ha visto una evolución considerable, si es cierto que las organizaciones van a necesitar realizar inversiones en nuevas herramientas, y en personal formado (o externalizarlo) que sea capaz de asumir los restos que supone dar seguridad a este nuevo entorno.
Como apunte final, es recomendable que toda empresa antes de iniciar el camino hacia la nube, se planifique correctamente ese camino, y que se evalúen todos los riesgos que pueden derivarse de la adopción de este nuevo paradigma. Desde el punto de vista humano, es importante que el equipo de IT y seguridad esté preparado para poder asumir los nuevos retos que supone abrazar la nube, pero también desde el punto de vista tecnológico la alta dirección tiene que tener muy claro que deberá adaptar sus sistemas para establecer una nueva estrategia de monitorización y seguridad, lo cual va a necesitar de inversión y de cambios en algunos procesos organizativos.
Team Leader Grupo de Expertos itsm4Seguridad
Comité de Estándares de itSMF España