La adopción de servicios cloud es una tendencia que en España se ha ido consolidando durante la última década, pero que ha recibido el espaldarazo definitivo a partir de la pandemia. Ha pasado de ser una curiosidad o un experimento de las empresas más punteras, o con más recursos, a situarse como el soporte tecnológico cotidiano sobre el que las empresas sustentan algunos o muchos de sus procesos de negocio.

En 2009 se fundó el capítulo español de la Cloud Security Alliance (CSA), una iniciativa de ISMS Forum. Desde entonces está trasladando a las empresas españolas herramientas y conocimientos que les facilitan la adopción segura de servicios en la nube para que aumenten su competitividad y adquieran capacidades más eficientes.

El denominado shadow IT sigue siendo un fenómeno extendido, especialmente en las organizaciones grandes

Los siguientes son los trabajos que se han lanzado y completado a lo largo de 2022 relacionados con la seguridad en el ámbito de la nube.

Evolución de la seguridad

Desde 2013 elaboramos anualmente el Estudio del estado del arte de la seguridad en la nube, que analiza cómo evoluciona la adopción de servicios cloud y las medidas de seguridad que aplican las organizaciones en su viaje hacia la nube. El estudio construye la serie histórica de datos más relevante del mundo sobre el particular y permite detectar y confirmar tendencias en el mercado sobre los riesgos que pueden surgir al adoptar servicios cloud.

De entre los riesgos identificados en 2022 se puede destacar, en primer lugar, que los usuarios incrementan sus expectativas y exigencias sobre la seguridad. Si bien se declaran satisfechos con estos servicios, ha aumentado lo que esperan de ellos y exigen una mejoría clara en materias como confidencialidad, integridad, disponibilidad, privacidad y cumplimiento legal. Además, las empresas de entre 25 y 2500 empleados se declaran más satisfechas con los servicios recibidos que el resto de las organizaciones.

Por otra parte, siete de cada diez empresas adoptan servicios en la nube tras ejecutar dos medidas preventivas: la primera, estudiar previamente los riesgos que conlleva hacerlo; la segunda, realizar acciones de formación y concienciación para su personal.

Esta es una tendencia creciente, aunque tres de cada diez empresas todavía no llevan a cabo estas acciones previas y terminan sufriendo problemas de seguridad. Un caso paradigmático son aquellas organizaciones que asumen servicios en la nube porque “están de moda” o porque lo han hecho sus competidores.

En materia de shadow IT, el estudio apunta un cambio cultural en las empresas. Aun teniendo en cuenta los riesgos para la organización que generan estas prácticas, siguen siendo un fenómeno extendido, especialmente en organizaciones grandes; además, se aprecia que progresivamente el rechazo mayoritario deja paso a una aceptación en ciertas circunstancias.

Las organizaciones deben mejorar su capacidad de detección de shadow IT para identificar su uso; simultáneamente, han de generar políticas que permitan la integración automática de servicios en la nube. No es una tarea fácil, pero sí parece necesaria.

Por último, el estudio detecta la necesidad de mejorar la capacidad de detección de incidentes de seguridad. Más aún si se tiene en cuenta que la cantidad y relevancia de los detectados siguen siendo comparables a las de los identificados en contextos on-premise y que el coste de tratar incidentes crece progresivamente.

Esquema Nacional de Seguridad

La legislación española en materia de ciberseguridad tiene una pieza fundamental en el Real Decreto 311/2021 y sus antecesores. Este Real Decreto, también conocido como ENS o Esquema Nacional de Seguridad, detalla las actividades, políticas, enfoques y medidas de protección que deben aplicar las Administraciones Públicas —y algunos sectores específicos en el ámbito privado— para garantizar la seguridad de la información que gestionan, propia y de los ciudadanos.

Dado que el ENS es una legislación nacional, no siempre está incorporada en herramientas y metodologías desarrolladas en otros países. Cloud Control Matrix (CCM) es una herramienta desarrollada por Cloud Security Alliance que contempla un conjunto de medidas que mejoran la seguridad de los servicios en la nube, tanto para los proveedores como para los consumidores.

CCM está basada en Excel y se puede usar para detallar planes de seguridad o migración, o para seguir la actividad de los servicios cloud. También sirve para garantizar que estos servicios siguen aplicando medidas de seguridad ya conocidas y que estaban desplegadas anteriormente, como, por ejemplo, las basadas en la ISO 27001 o en el ENS.

El trabajo realizado por CSA-ES en 2022 identifica con precisión la relación entre CCM y ENS, facilitando el cumplimiento conjunto de ambos esquemas. CCM permite identificar:

• Las medidas de seguridad que no presentan diferencias entre CCM y ENS.
• Aquellas que sí tienen elementos nuevos que precisan de acciones particulares para cumplir con ambos esquemas.
• Medidas que son propias y particulares de CCM o ENS.

Respuesta ante incidentes

En 2022 también nos hemos centrado en cómo responden las organizaciones ante un incidente de seguridad, pues somos muy conscientes de que la preparación previa es un factor decisivo.

Cuando se está sufriendo un ataque, hay que concentrarse en detectarlo rápidamente y con precisión para, inmediatamente, decidir las medidas que es necesario aplicar, desplegarlas en el plazo más corto y asegurarse de que son eficaces. Son muchas las decisiones delicadas que hay que tomar en muy poco tiempo, de ahí la importancia de la preparación y el entrenamiento previos, como ya hacen las organizaciones más maduras.

Sin embargo, los procedimientos entrenados no son directamente aplicables a los servicios en la nube, ya que aparece un nuevo actor externo a la organización: el proveedor de servicios. Su colaboración es imprescindible, aunque tenga sus propios procedimientos y canales de comunicación, y, quizá, un grado distinto de implicación en la respuesta ante un incidente.

Servicios cloud

El objetivo de esta iniciativa es, precisamente, adaptar los procedimientos de respuesta ante incidentes a un contexto cloud, de forma que los problemas de seguridad sigan siendo tratados de forma efectiva y eficaz cuando implican a servicios en la nube.

El objetivo de esta iniciativa es adaptar los procedimientos de respuesta ante incidentes a un contexto cloud

Un objetivo complejo y ambicioso que tardaremos varios años en alcanzar, ya que exige, por un lado, disponer de un procedimiento de respuesta general adecuado al uso de este tipo de servicios, y, por otro, ajustar las actividades que son específicas de cada ataque y diferentes entre los distintos ataques (ransomware, suplantación de la identidad, brechas de privacidad, denegación de servicio, etc.).

Los primeros procedimientos estarán disponibles a finales de 2022. En 2023, CSA-ES desarrollará un nuevo plan de actividades que continúe y consolide varias de las iniciativas presentadas e incluya otras nuevas.