La adopción de servicios en la nube requiere la introducción de cambios en la estrategia de ciberseguridad, cambios que deben gestionarse desde las fases de análisis de contexto y diseño de esta. La existencia de guías y marcos de control adaptados a la nube facilita una adecuada gestión de los riesgos asociados.
El primer paso para adaptar la estrategia es entender en qué medida afecta a la organización. La evolución de los servicios en la nube, las empresas usuarias, y la regulación aplicable a ambos, impactan directamente en la ciberseguridad, por lo que el diseño de la estrategia en este sentido debe tener en cuenta una serie de condicionantes asociados:
Los cambios introducidos por la nueva regulación europea, como el RGPD y el Reglamento de Ciberseguridad Europeo, imponen la adopción de un enfoque más proactivo en la protección de sus activos críticos.
La adquisición de servicios en la nube introduce riesgos específicos, que variarán según el tipo de servicio adquirido y el uso que se haga del mismo. Por tanto, no puede implantarse un conjunto prefijado de controles sin antes analizar los riesgos a los que se ve expuesta la empresa, lo que ayudará a gestionarlos de forma más eficiente.
La mayoría de los beneficios asociados a los servicios en la nube se producen gracias a la abstracción sobre la tecnología. Sin embargo, esto introduce una complejidad adicional para los responsables del control y supervisión de los riesgos, puesto que su capacidad de visibilidad y actuación sobre el servicio se verá mermada.
El incremento en la complejidad de los entornos tecnológicos, así como la pérdida de visibilidad sobre estos, puede generar inquietud entre los órganos de gobierno. Esto, a su vez, se traducirá en una mayor necesidad de control y supervisión sobre estos entornos.
Las medidas adoptadas para la protección del servicio deben considerar la criticidad del proceso
Pautas básicas
La estrategia de ciberseguridad debe adaptarse para proteger adecuadamente los servicios en la nube, asegurando que la empresa no quede expuesta a determinados riesgos que puedan estar introducidos por el uso de dichos servicios. La mejor opción es usar un enfoque que vaya más allá de la implantación de controles, tal y como se promueve en la mayoría de los estándares para la seguridad de la información, como la Norma ISO/IEC 27001.
Puesto que no existe una única forma de proteger los activos tecnológicos de una empresa, la adaptación de la estrategia de ciberseguridad tampoco será única. Cada cliente de servicios en la nube debe entender cómo le afecta su adopción y diseñar una estrategia personalizada con los recursos a su disposición. A continuación, se incluyen unas pautas básicas que pueden seguirse:
Debe utilizarse un enfoque holístico, que tenga en cuenta cómo los servicios en la nube se integran con el resto de los sistemas y la tecnología de la compañía a lo largo de los procesos que estos soportan. Esto favorecerá un enfoque de gestión del riesgo completo, que tenga en cuenta la tecnología y cómo esta se relaciona entre sí y con el negocio.
A la hora de analizar los riesgos introducidos en la empresa, hay que considerar tanto los puramente tecnológicos como los operativos o de cumplimiento. Es especialmente relevante asegurar el cumplimiento con los requerimientos de la legislación aplicable.
Es conveniente integrar la gestión de la ciberseguridad de los servicios en la nube en las tres líneas de defensa de la organización, incluyendo las áreas de gestión de los procesos, de control (seguridad, control interno, cumplimiento, etc.), así como en el proceso de aseguramiento (auditoría interna). Este modelo garantizará no solo una mejor cobertura de los riesgos, sino también la introducción de un ciclo de mejora continua que permita un incremento progresivo en la madurez de su gestión.
Es habitual que, durante la gestión de la ciberseguridad, el proveedor del servicio deba interactuar con la empresa. Para garantizar que dará respuesta a sus necesidades, es vital que se negocien cláusulas que regulen la interacción entre ambos. La más habitual es la adhesión del proveedor a la política de seguridad del cliente, así como a la de derecho de auditoría. Otros aspectos relevantes que suelen reflejarse en el contrato son el establecimiento de canales de reporte y la constitución de comités de trabajo conjuntos, especialmente para la gestión de incidencias críticas.
Es recomendable que la estrategia de ciberseguridad esté basada en estándares, guías y mejores prácticas, para asegurar que se cubren los aspectos más relevantes asociados al uso de la nube. En este caso, deberá recurrirse a guías y marcos de control que estén diseñados para su aplicación en este tipo de entornos, y combinarlos con los que se apliquen a nivel interno.
Para garantizar el alineamiento entre las necesidades de negocio y la estrategia de ciberseguridad, las medidas para la protección del servicio en la nube deben considerar la criticidad del proceso soportado, así como su papel y relevancia en la estrategia tecnológica de la compañía.
Documentación de referencia
Una vez que la empresa ha definido el enfoque que desea aplicar sobre la estrategia de ciberseguridad, el resto de los pasos para adaptarla al uso de la nube estarán soportados por guías y marcos de control.
El objetivo de las guías de ciberseguridad es muy diverso. Pueden ir desde el soporte a la toma de decisiones en la adquisición de servicios en la nube, hasta la gestión de los riesgos asociados a dichos servicios. Algunas de las guías frecuentemente utilizadas son la publicación NIST SP 800-144 sobre seguridad y privacidad en nubles públicas; o la Guía de Seguridad de Cloud Security Alliance.
Por otro lado, entre los marcos de controles más conocidos se encuentran Cloud Control Matrix, de Cloud Security Alliance; y la Norma ISO/IEC 27017.
