¿Qué es la seguridad en la nube?

No hace mucho tiempo, las empresas debatían sobre el valor de las ofertas en la nube. A las organizaciones les preocupaba si valía la pena el intercambio en el control de datos por el valor agregado, la escalabilidad y la flexibilidad de las soluciones en la nube.

Hoy en día, las empresas buscan implementar y gestionar soluciones y modelos de seguridad complejos a través de múltiples soluciones en la nube.

¿Cómo funciona la seguridad en la nube?

La seguridad en la nube implementa una combinación de medidas técnicas y organizativas para proteger los datos y servicios de una empresa. Dependiendo de la oferta de la nube, las empresas pueden implementar firewalls personalizados o VPN para controlar el acceso a los recursos y establecer conexiones seguras. Existen algunas similitudes en la seguridad entre las configuraciones en la nube y en las instalaciones locales, pero también hay diferencias considerables. Para comprender completamente estas diferencias, es útil comprender la disposición del terreno en lo que respecta a la computación en la nube.

Computación en la nube explicada

La computación en la nube se refiere al acceso a los recursos informáticos a través de Internet en lugar de implementar y mantener una infraestructura en las instalaciones locales. Es un enfoque extremadamente rentable que mejora la flexibilidad y la escalabilidad.

Los enfoques más comunes para la computación en la nube incluyen:

• Software como servicio o SaaS: Se trata de aplicaciones basadas en la web a las que se accede desde un navegador. Más allá del navegador, todo es gestionado por la empresa que proporciona las aplicaciones, incluido todo el hardware y la infraestructura necesarios.
• Plataforma como servicio o PaaS: Este servicio en la nube es una plataforma para desarrollar, ejecutar y administrar aplicaciones sin la complejidad de la infraestructura subyacente. Incluye un entorno de desarrollo completo para crear y desplegar aplicaciones.
• Infraestructura como servicio o IaaS: En este modelo, las organizaciones pueden diseñar y construir su propia infraestructura, a la que se accede a través de la web. Esto incluye configuraciones de red personalizadas y acceso a recursos como máquinas virtuales y almacenamiento de datos.

Dada la ubicuidad de la computación en la nube, no es de extrañar que casi todas las empresas con una huella tecnológica significativa utilicen un enfoque multicloud. Incluso las organizaciones con estrictos controles de datos y preocupaciones de seguridad implementan infraestructuras de nube híbrida manteniendo los datos confidenciales en las instalaciones y trasladando la información y los flujos de trabajo menos confidenciales a las ofertas de la nube. Las soluciones en la nube aún requieren actualizaciones y parches para abordar las vulnerabilidades.

¿Cuáles son los tipos de seguridad en la nube?

A pesar de los beneficios de la computación en la nube, las organizaciones deben considerar las implicaciones de seguridad al realizar la transición a una solución en la nube. Por ejemplo, en lugar de una autoridad de dominio local, las empresas utilizan herramientas de administración de identidades y accesos (IAM, por sus siglas en inglés) para los servicios en las instalaciones locales y basados en la nube mediante la asignación de identidades digitales a los usuarios. Estas identidades permiten la supervisión y la restricción durante las interacciones de datos.

Para las preocupaciones sobre los datos, la seguridad en la nube confía en las soluciones de prevención de pérdida de datos (DLP) para ayudar a evitar las violaciones de datos al proporcionar alertas, cifrado y otras medidas preventivas. Por su parte, los sistemas de gestión de eventos e información de seguridad (SIEM) automatizan la detección y respuesta ante amenazas en entornos en la nube.

Las soluciones de continuidad del negocio y recuperación ante desastres (BCDR) son críticas para garantizar una recuperación rápida tras una interrupción. Ayudan a las organizaciones a minimizar los eventos de seguridad al garantizar que los sistemas de misión crítica se restauren rápidamente. Algunas soluciones BCDR también incluyen características como backup y replicación de datos, así como capacidades de failover para minimizar los tiempos de inactividad.

Desafíos y riesgos de la computación en la nube

Si bien la mayoría de los servicios en la nube siguen las mejores prácticas, son objetivos prioritarios para amenazas inminentes debido a la falta de transparencia inherente en el almacenamiento y movimiento de datos. Para las empresas que procesan y transfieren grandes cantidades de datos, esto, junto con la seguridad del backup en la nube, es uno de los mayores desafíos y preocupaciones.

Otras preocupaciones incluyen:

• Gestión de accesos: En comparación con la administración de acceso en las instalaciones, garantizar un acceso consistente entre usuarios y dispositivos en entornos de nubes múltiples es un desafío con las plataformas basadas en la web y las ofertas de SaaS.
• Cumplimiento: Si bien los requisitos de cumplimiento en las plataformas en la nube han mejorado, garantizar este cumplimiento y proporcionar auditorías consistentes puede ser difícil sin un acceso completo y transparente a los datos en la nube.
• Error humano: Las ofertas en la nube se benefician de un enfoque singular en la infraestructura, pero estos servicios no están libres de la posibilidad de errores de configuración causados por errores humanos.

Seguridad en la nube: gestión y mejores prácticas

Puede dividir la administración de la seguridad en la nube en dos categorías: técnica y organizativa. Desde el punto de vista organizativo, las empresas deben reconsiderar sus políticas, procedimientos y planes para hacer frente a los desastres. Mientras tanto, las empresas con requisitos de la industria se enfrentan a diferentes obstáculos para mantener el cumplimiento e implementar procesos de auditoría. Afortunadamente, existen modelos y marcos bien establecidos para abordar la seguridad en la nube.

Modelo de responsabilidad compartida

El modelo de responsabilidad compartida describe las responsabilidades de los clientes y proveedores de servicios en la nube con respecto a la protección de los recursos en la nube. En este modelo, el proveedor de servicios en la nube es responsable de asegurar la infraestructura subyacente. Por su parte, el cliente es responsable de proteger sus aplicaciones y los datos que se ejecutan en la infraestructura.

Si bien la responsabilidad compartida es un marco de seguridad popular, su implementación varía de un proveedor a otro. Para hacerse una idea del alcance, consulte el modelo de responsabilidad compartida de AWS.

El enfoque Zero Trust

Los modelos de seguridad tradicionales actúan como una valla que modera el acceso a los recursos dentro del perímetro de la valla. El enfoque de confianza cero, por otro lado, asume que el perímetro siempre está en riesgo y pone el foco en proteger los recursos individuales.

Este enfoque de "todo o nada" es especialmente importante en los entornos de computación en la nube, ya que permite a las organizaciones asegurar el acceso a los recursos independientemente de dónde y cómo se implementen y accedan a dichos recursos. Tanto si se trata de una aplicación SaaS o de cargas de trabajo de misión crítica en un entorno de VMware, el enfoque es generalmente el mismo.

Pilares de una estrategia sólida de seguridad en la nube

Aunque los requisitos de seguridad de cada organización difieren en función de los datos y las tecnologías utilizadas, existen marcos de referencia disponibles para garantizar un nivel básico de seguridad que utilizar como punto de partida. El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) desarrolló una evaluación que ayuda a las empresas a evaluar las medidas de seguridad tanto en la prevención como en la recuperación. Esta evaluación se basa en los cinco pilares de ciberseguridad del NIST: identificar, proteger, detectar, responder y recuperar.

Cómo elegir una solución

El enfoque para examinar las soluciones en la nube debe proceder de la siguiente manera:

1. Identificar las necesidades de seguridad: Antes de elegir una solución, es fundamental identificar los requisitos de seguridad de la organización, incluyendo los tipos de recursos que requieren protección, así como las normativas reguladoras y requisitos de cumplimiento.
2. Comprenda la responsabilidad compartida: Comprender cómo se aplica la responsabilidad compartida en cada servicio cloud en cuestión ayuda a garantizar que la organización ponga en práctica un enfoque adecuado.
3. Considere el modelo de implementación: El hecho de que una organización adopte un enfoque público, privado o híbrido con su modelo de implementación influye en la elección de los proveedores de servicios cloud.
4. Busque integraciones: Las organizaciones deben garantizar que las soluciones de seguridad existentes sean compatibles con los proveedores de nube, incluidas las soluciones para herramientas de monitoreo de red y redundancia de datos.
5. Considere la escalabilidad y la flexibilidad: Las empresas deben asegurarse de que los recursos proporcionados sean flexibles y escalables y que puedan adaptarse fácilmente a la evolución de los requisitos de seguridad.

Las organizaciones que utilizan Amazon Web Services (AWS), Microsoft Azure o Google Cloud pueden revisar las respectivas plataformas de seguridad de cada proveedor. AWS Security Hub, Azure Security Center y Google Cloud Security Command Center proporcionan un lugar central para automatizar y administrar la seguridad en múltiples implementaciones en la nube.

Cómo empezar

Elegir una solución de seguridad en la nube puede ser tan complejo como elegir un proveedor en la nube. Debido a la gran cantidad de soluciones disponibles y a las necesidades únicas de cada negocio, no existe un enfoque único para todos. Es esencial que las organizaciones que se trasladan a la nube consideren cuidadosamente todos los aspectos de sus estrategias actuales de seguridad y protección de datos.

Si bien las ofertas de seguridad predeterminadas con AWS y Azure pueden funcionar para algunas empresas, muchas otras encontrarán que necesitan soluciones adicionales para complementar su enfoque. En el universo de la computación en la nube, una solución de backup en la nube para la información sensible del cliente o de protección contra ransomware para compensar vulnerabilidades marcan una gran diferencia.