Seguridad en la nube

El modelo cloud exige un nuevo enfoque

3074
Repartir responsabilidades, elaborar una nueva filosofía en la evaluación de los riesgos y la gestión de la seguridad, apostar por el uso de herramientas y medidas de control, formar (muy importante) a los empleados en buenas prácticas y seguir impulsando un marco normativo supranacional que proteja los datos. Estas son algunas de las conclusiones obtenidas en la mesa que tuve la oportunidad de moderar recientemente en el V Foro de la Ciberseguridad, organizado por el ISMS Forum.

¿Estamos seguros en la nube? Una respuesta podría ser la que apunta Gartner en su informe Staying secure in the cloud is a shared responsibility: para 2018, el 60% de las empresas que implementen de forma apropiada herramientas de visibilidad y control en la nube experimentarán un tercio menos de fallos de seguridad. El informe, elaborado en abril de 2016, pone sobre la mesa uno de los grandes retos que afrontamos en este momento: los conflictos entre proveedores y clientes a la hora de abordar la gestión de la seguridad en un escenario donde, cada vez con mayor frecuencia, imperan los servicios cloud.

En términos generales, los expertos coinciden: pensar que los proveedores son totalmente responsables es ingenuo y pernicioso para la seguridad de las empresas. Los responsables de TI no deben sentir que su suerte se encuentra en manos de terceros, sino reevaluar su mapa de riesgos y reforzar aquellos puntos donde pueden (y deben) seguir interviniendo. Esto se puede desarrollar, por ejemplo, a través del establecimiento de procesos corporativos de control en la nube o asegurándose de que sus empleados utilizan los servicios cloud de una forma correcta.

Hay que tener en cuenta que la migración a la nube de muchos de los servicios que veníamos utilizando ni mejora ni empeora la seguridad. Exige nuevos equilibrios, conlleva nuevas amenazas, impone un cambio en los mecanismos de control; y también representa múltiples ventajas, como una capacidad de acción mucho mayor ante posibles incidentes.

Es importante no mirar hacia un tercero cuando se trata de mi propia seguridad

El papel de las organizaciones

El cloud computing es un contexto nuevo, que exige nuevas soluciones. En el evento del ISMS Forum poníamos sobre la mesa la relevancia de una estrategia de protección basada en el dato y el cifrado. Este punto incide en la reflexión que hemos realizado sobre la importancia de no mirar hacia un tercero cuando se trata de mi propia seguridad: existen medidas que el proveedor me ofrece para controlar la ciberseguridad; por tanto, evitar las ciberamenazas también está en mi mano.

Si en los últimos años se ha hablado mucho de la concienciación empresarial como un pilar fundamental de la ciberseguridad, la proliferación de servicios en la nube incrementa esa necesidad. No en vano, Gartner ha estimado que hasta 2020, el 95% de los fallos de seguridad en la nube serán responsabilidad de la empresa.

A veces, el ahorro o la escasa concienciación están detrás de esta mayor exposición a los riesgos. En otras ocasiones, se trata simplemente de que los responsables de seguridad tienen claro cuáles son los bloques funcionales que tienen que integrar para construir la infraestructura perimetral de su centro de datos, pero eso no está tan claro cuando se encuentran en un proceso de adopción de soluciones SaaS e Iaas.

Aun así, las perspectivas de futuro son optimistas: afirma Gartner que para 2018, el 50% de las organizaciones con más de 2 500 usuarios utilizarán un producto CASB (cloud access security broker) para controlar el uso de SaaS, frente al porcentaje inferior al 5% que lo utilizan en la actualidad.

Sea por unos u otros motivos, fabricantes y proveedores de seguridad coinciden en que la demanda de soluciones de seguridad para entornos en la nube, que ha crecido en los últimos años a un ritmo exponencial, exige un nuevo enfoque de la seguridad dirigido hacia soluciones basadas en el dato. Herramientas integradas en la nube y para proteger la nube. Arquitecturas que permitan realizar un completo seguimiento de los servidores, la gestión de identidades de las aplicaciones o tener el control sobre el uso y compartición de datos corporativos son fundamentales en este nuevo contexto.

La seguridad exige un nuevo enfoque, dirigido hacia soluciones basadas en el dato

Shadow IT

Las prácticas englobadas dentro del denominado shadow IT se han desarrollado sin control en el seno de las organizaciones, debido básicamente a la falta de agilidad de éstas a la hora de proporcionar soluciones equivalentes que permitan a sus empleados desarrollar su trabajo con eficiencia.

Erradicar este fenómeno ni es fácil, ni es la solución; y constituye otro ejemplo de cómo la nube está obligando a las organizaciones a estimar los riesgos y beneficios desde una perspectiva nueva.

No se trata de apostar por un modelo altamente restrictivo, sino más bien:

  • Valorar qué herramientas son necesarias y si se pueden proporcionar alternativas que garanticen una mayor seguridad de la información.
  • Desarrollar políticas sobre buenas y malas prácticas para informar a los empleados.
  • Clasificar adecuadamente la información, estableciendo qué datos deben permanecer obligatoriamente dentro de la infraestructura tecnológica de la empresa.
  • Planificar las medidas de mitigación ante posibles incidentes relacionados con el Shadow IT.

En Prosegur defendemos que un buen ejercicio a la hora de afrontar la gestión de la seguridad ante el shadow IT sería cambiar los conceptos de temor o prohibición por los de control y prevención.

Consideraciones legales

Teniendo en cuenta que la propia naturaleza de la nube permite ubicar nuestros datos en múltiples países, y dada la multiplicidad de legislaciones, los aspectos regulatorios se han convertido en otro de los debates esenciales cuando hablamos de un cloud computing con todas las garantías.

Señalaban los expertos en la mesa redonda que el foco en estos momentos podría estar en el acuerdo de privacidad suscrito entre Europa y los Estados Unidos y, sobre todo, en el nuevo Reglamento de Protección de Datos de la Unión Europea.

Transparencia, salvaguarda y una protección eficaz de los derechos individuales son las claves de estas iniciativas normativas, que persiguen un marco jurídico transnacional para hacer frente a un fenómeno cuya regulación es, aún hoy, de una complejidad extraordinaria.

V Foro de la Ciberseguridad

Inteligencia en la nube para hacer frente a las ciberamenazas