LA RESPONSABILIDAD COMPARTIDA O CÓMO DESMITIFICAR EL MITO DE LA SEGURIDAD CLOUD

Cuando hace unos años empezaron a llegar las aplicaciones en la nube, muchas empresas se preocuparon por estos modelos de negocio que les hacían perder el control sobre sus datos. Pero, con el tiempo se ha podido comprobar que la adopción del Cloud en el mundo empresarial es imparable y la seguridad ya no es un freno para su adopción.

¿Qué ha cambiado? ¿Por qué todo lo que eran “peros” ahora son “ventajas y son “no pasa nada”?

Lo que ha cambiado es la confianza que se ha ganada el mundo cloud. Actualmente hay consenso en torno a que el cloud computing provee un escenario seguro, en el que se confía en proveedores especializados y con experiencia que utilizan estándares y productos de seguridad que pueden ser superiores a los de las organizaciones sin tanta experiencia ni recursos. El problema es que hemos pasado de un extremo a otro en un abrir y cerrar de ojos, de la reticencia y desconfianza inicial, a un exceso de confianza en torno a la seguridad Cloud y gestión de riesgos. Hay una falsa sensación de seguridad y muchas empresas creen que con ir de la mano de un proveedor Cloud ya es suficiente. Se asume erróneamente que es el deber del proveedor de servicios en la nube mantener la seguridad de esta.

Cuando una empresa ejecuta y administra su infraestructura de TI en sus instalaciones y centros de datos, es responsable de la seguridad de esa infraestructura, así como de las aplicaciones y los datos que se ejecutan en ella. Cuando una organización cambia a un modelo de computación en la nube, transfiere algunas, pero no todas, estas responsabilidades de seguridad de TI a su proveedor de la nube. Hablamos entonces “de responsabilidad compartida”. Un modelo de responsabilidad compartida es un marco de seguridad en la nube que dicta las obligaciones de seguridad de un proveedor de computación en la nube y sus usuarios para garantizar la responsabilidad.

Tanto el proveedor de la nube como el cliente son responsables de diferentes aspectos de la seguridad y deben trabajar en conjunto para garantizar una cobertura completa en un entorno de responsabilidad compartida. El proveedor de servicios Cloud es responsable de prestar sus servicios en una plataforma controlada y con un alto nivel de seguridad, así como de ofrecer un amplio abanico de características de seguridad que el cliente pueda utilizar, pero es este último quién es responsable de proteger sus datos. Es decir, la seguridad de la nube es responsabilidad del proveedor de servicios Cloud, y la seguridad en la nube es de los clientes.

Debido a que las responsabilidades del usuario difieren según el modelo y el proveedor de servicios en la nube, no existe un modelo estándar de responsabilidad compartida. Por ello, comprender los límites de responsabilidad compartida entre los proveedores de servicios Cloud y los clientes es fundamental para lograr una exitosa estrategia de TI que cumpla con los objetivos generales de la empresa y así evitar poner en riesgo información sensible. La nube es compleja por naturaleza y ese hecho puede hacer pasar por alto puntos ciegos.

Y allí es dónde puede residir el problema para los clientes de servicio Cloud. Los modelos de seguridad de responsabilidad compartida están causando confusión. Y es que son pocos los directivos de seguridad de TI que afirma que comprenden plenamente el modelo de seguridad de responsabilidad compartida. Es fundamental comprender las responsabilidades que asumirá —y no asumirá— un proveedor de nube y detectar las zonas grises.

En este sentido, se detallan a continuación iniciativas y acciones que las entidades tienen que tomar en consideración para un correcto gobierno y gestión de riesgos ciber en el Cloud:

  • Establecer un modelo de Vendor Risk Management en el que se identifiquen las necesidades de seguridad de los servicios cloud que se van a externalizar y analicen la seguridad de los potenciales proveedores. Posteriormente, se deberá acordar contractualmente los niveles y requerimientos de seguridad.
  • Realizar evaluaciones periódicas de cumplimiento de los proveedores Cloud con las mejores prácticas de seguridad. La habilidad del proveedor para mitigar los riesgos se suele valorar a través de auditorías externas regulares y certificaciones de cumplimiento de los estándares de mercado tipo SOC, Esquema Nacional de Seguridad, Pinakes o ISO 27001 y 27017. 
  • Auditar aquellos controles de seguridad que recaen en la empresa con el objetivo de detectar potenciales malas prácticas relacionadas con la configuración, implementación y uso de los servicios cloud. Si bien los proveedores cloud ofrecen servicios y productos de seguridad a sus clientes, son estos últimos quienes tienen que aplicarlos, ejecutarlos y monitorizarlos. En este sentido, los proveedores Cloud realizan grandes esfuerzos en desarrollar guías de bastionado de sus servicios para permitir a sus clientes cumplir con los requerimientos regulatorios y normativos aplicables.

En definitiva, aunque la nube ofrece importantes ventajas de simplicidad y seguridad, las mayores vulnerabilidades aún provienen de errores humanos. Los servicios en la nube no son "seguros de forma predeterminada" y el ‘yo pensaba que’ no vale como justificación en caso o de una brecha de seguridad por lo que es necesario que las entidades apliquen planes y medidas, tanto preventivas como reactivas, para asegurar la infraestructura alojada en cloud más allá de las medidas que proporciona el proveedor.