¿Quién es el responsable de la seguridad en la nube?
Si a alguien le preguntáramos si sabe qué tipos de nubes existen, muchos estarían tentados de responder con palabras como cirros, estratos, cúmulos o nimbos.
Sin embargo, no queremos hablar de esos tipos de nubes; estamos refiriéndonos a los servicios de la nube digital. Unos servicios que han cambiado la perspectiva de las organizaciones a la hora de emplear la tecnología para el soporte a los negocios.
XaaS
La adopción de servicios en la nube crece en el mercado de forma imparable. Son numerosos los usuarios — particulares, empresas u organizaciones gubernamentales— que hacen uso de los servicios en la nube para almacenar y gestionar información (IaaS) o para proveer —o proveerse de— aplicaciones relacionadas con su negocio (PaaS y SaaS). Y es que las nubes privadas, compartidas o incluso híbridas han copado todos los sectores de la sociedad con múltiples ofertas que son sobradamente conocidas.
Seguridad compartida
Sin embargo, en ocasiones, su utilización conduce a una falsa sensación de seguridad entre los usuarios. Y todo ello porque las medidas de ciberseguridad no siempre son bien conocidas.
La seguridad de una infraestructura en nube, sea cual sea el modelo de uso, requiere la asunción de un conjunto de responsabilidades compartidas que deben estar claramente diferenciadas y, por supuesto, asumidas por todas las partes que intervienen en su gestión.
Los dos actores, cliente y proveedor, deben compartir, a diferentes niveles, la responsabilidad de la gestión de su seguridad, dependiendo del modelo que finalmente decidan implementar: interno, IaaS, PaaS o SaaS.
Una preposición puede marcar la diferencia
Básicamente, el rol desempeñado por el cliente marca la diferencia. Podríamos decir que existen dos niveles de seguridad que distinguiríamos por una simple preposición gramatical: la seguridad “de” la nube y la seguridad “en” la nube.
La primera siempre será asumida por el proveedor. La segunda establecerá diferentes niveles de gestión en función de la responsabilidad que el cliente esté dispuesto a asumir o delegar.
En este contexto, el proveedor de servicios de nube debe ofrecer mecanismos adaptados a las necesidades de sus clientes a través de soluciones propias o de terceros. También el propio cliente debe ser capaz de completar los servicios con medidas complementarias que actúen de interfaz seguro cuando tiene a varios proveedores que trabajan de forma coordinada.
ISO 27001
La evolución de los estándares de seguridad ha hecho que uno de los mejores puntos de partida a la hora de seleccionar un proveedor sea la certificación de su modelo de gestión. Las empresas que prestan servicios de nube deben, cuanto menos, de garantizar la integridad de los datos de sus clientes cumpliendo con normas como la ISO 27001, 27017 o 27018.
Rol del cliente
Por el otro lado, las soluciones de seguridad en la nube deberán cubrir la protección de los datos y las aplicaciones —a menudo compartidas— que normalmente caen bajo la responsabilidad del cliente.
Es él, el cliente, quien debe seleccionar los mecanismos y las soluciones que aporten un nivel de seguridad adicional al que ya proporciona la nube. Esto se hace más evidente cuando el modelo que acaba implementando implica estructuras híbridas o compartidas entre varios proveedores.
Y es aquí donde el cliente debe actuar como eslabón de seguridad.
Conceptos como CASB, WAF, DLP, VPN o IdM sirven de base a esa conexión. Se trata de herramientas que marcan el equilibrio entre los servicios “de y en” la nube. Y, en un contexto donde su crecimiento resulta imparable —según Gartner, el mercado de la seguridad de nube supondrá más de 83.500 millones de USD en 2021—, es obligación del cliente conocerlas y emplearlas.
Cambios que traen las nubes
El uso de servicios “de y en” la nube se está convirtiendo en un modelo de trabajo que conduce a la definitiva transformación digital de las organizaciones.
Bajo este paradigma, la integración de servicios de redes internas con aplicaciones disponibles en nube, o incluso la integración de servicios entre nubes de proveedores diferentes, obliga a los CISO a pensar de una forma diferente. Entre esas nuevas pautas se encuentra la difuminación de las fronteras de la ciberseguridad. Una nuevas fronteras que traen consigo la necesidad de revisar procedimientos para:
- desplegar mecanismos de configuración en los que intervengan elementos de control de las conexiones externas,
- la monitorización del tráfico entre redes,
- el acceso controlado a aplicaciones, residan donde residan,
- la autorización y autenticación de los usuarios,
- el cifrado de las comunicaciones o incluso
- la protección ante ataques externos.
Y es que saber gestionar esas responsabilidades y hacerlas coexistir con los mecanismos desplegados internamente dentro de la organización es algo que debe afrontarse con cuidado. Las medidas deben ser consistentes y tienen que dar respuesta a los riesgos que el uso de este esquema lleva implícito. De no hacerlo así, como decíamos al comienzo, el modelo “cogerá a más de uno en las nubes“.
