La seguridad en la nube es una responsabilidad compartida

This post is also available in: Deutsch (Alemán) Nederlands (Holandés) Türkçe (Turco) Italiano

El concepto de “seguridad en la nube” engloba todo lo necesario para proteger los datos, las aplicaciones y la infraestructura cuando se utiliza la computación en la nube, lo que incluye las políticas, las tecnologías y los controles.

Cada vez más, las aplicaciones basadas en la nube y sus correspondientes datos están repartidos en distintos entornos para mejorar la agilidad de las organizaciones y reducir costes. Cada tipo de entorno —nube privada, pública (híbrida o dedicada) y aplicaciones de software como servicio (SaaS)— conlleva sus propios problemas de seguridad y aporta distintas ventajas en cuanto a la agilidad.

La preocupación por la exposición de los datos ha hecho que la seguridad en la nube se considere algo prioritario. El desafío consiste en lograr un equilibrio entre la necesidad de agilidad de la organización, la seguridad de las aplicaciones y la protección de los datos que pasan de una nube a otra. En todas las ubicaciones donde se alojen aplicaciones y datos resulta imprescindible contar con visibilidad y prevenir los ataques, ya sean laterales o a ubicaciones externas, que traten de filtrar datos.

Dentro de una organización, hay distintas personas que podrían ocuparse de la seguridad en la nube: el equipo encargado de las redes, el de seguridad, el de las aplicaciones, el de cumplimiento o el de infraestructura. De todas formas, la seguridad en la nube también es una responsabilidad compartida entre la organización y el proveedor de la nube.

Nube privada: como la nube está alojada dentro de los centros de datos de la empresa, esta se encarga de todo lo relativo a su seguridad, como la red física, la infraestructura, el hipervisor, la red virtual, los sistemas operativos, los cortafuegos, la configuración del servicio, la gestión de accesos e identidades, etc. También los datos y su seguridad son responsabilidad de la empresa.

Nube pública: en las nubes públicas, como AWS^® o Microsoft^® Azure™, el proveedor de la nube es responsable de la infraestructura, la red física y el hipervisor, mientras que la empresa se ocupa del sistema operativo, las aplicaciones, la red virtual, el acceso al entorno/cuenta del usuario o instancia y los datos.

SaaS: los proveedores de SaaS son responsables principalmente de la seguridad de su plataforma, lo cual abarca la seguridad física, de la infraestructura y de las aplicaciones. En cambio, no se responsabilizan de los datos de los clientes ni del modo en que estos utilizan las aplicaciones. Así, le corresponde a la empresa minimizar todo riesgo relativo a los datos, ya sea su filtración malintencionada, su exposición fortuita o la introducción de malware.

A medida que las empresas pasan de la nube privada a la pública o a otras aplicaciones SaaS, la responsabilidad de proteger los datos, las aplicaciones y la infraestructura va estando menos en manos de la empresa y más en las del proveedor. De todas formas, independientemente de la plataforma que utilice, la empresa siempre será responsable de la seguridad de sus propios datos.

Para habilitar el acceso a las aplicaciones sin riesgo alguno, el personal encargado de la seguridad informática debe tener la certeza de que los proveedores de la nube hayan implantado medidas que garanticen la seguridad de las aplicaciones y los datos. Asimismo, las organizaciones necesitan instrumentos adecuados para gestionar los riesgos y proteger con eficacia sus datos, para compensar aquello que el proveedor de la nube no protege. Dichos instrumentos deben brindar visibilidad de la actividad de la aplicación SaaS, análisis de uso detallados para evitar que los datos corran peligro y se incumplan las normativas, controles contextuales de las políticas que garanticen el cumplimiento e impongan cuarentena en caso de infracción, inteligencia en tiempo real sobre las amenazas conocidas y detección de las desconocidas para prevenir nuevos puntos de inserción de malware.