En un mundo globalizado en donde la tecnología presenta un crecimiento acelerado en la conectividad, se convierte en un desafío mantener niveles apropiados de Seguridad Informática en las capas de protección destinadas a los activos informáticos alojados en la nube, debido a esto los proveedores de servicios CSP (Cloud Service Provider) se han visto obligados a presentar sus propuestas en más de una modalidad como son:
- Infraestructura como servicio (IaaS)
- Plataforma como servicio (PaaS)
- Software como servicio (SaaS)
Adaptando esta tendencia para ser gestionada desde el centro de datos de la organización, aplicaciones que se alojen dentro de la nube privada, así como parte de la infraestructura en la nube pública (espacios otorgados por un proveedor de servicios como Google, Microsoft y AWS) e híbrida (combinación de nube pública y privada).
¿Cuáles son los retos actuales de seguridad en la nube?
Llegamos a la era en que el consumo de servicios en la nube por parte de las organizaciones, es indispensable en el día a día, ya que se demanda compartir y almacenar de manera segura información en la red.
En la evolución tecnológica, las estructuras capaces de brindar un servicio en la nube se convierten en activos para las organizaciones, ya que en esos espacios se almacena gran parte de información y datos confidenciales. Algunos proveedores de servicios en la nube establecieron lineamientos para regular los alcances de la prestación de servicios en la nube, mismo que se denomina Modelo de Responsabilidad Compartida.
¿Qué establece el Modelo de Responsabilidad Compartida?
Este modelo indica en su mayoría que las empresas denominadas “usuarios”, deben hacerse responsables de la seguridad y regulaciones en los datos alojados, mientras que los proveedores del entorno asumen la responsabilidad de la seguridad de la infraestructura de éste, mas no de cómo se utiliza.
Una responsabilidad compartida, potencia el cumplimiento para prevenir ataques de origen malicioso, permitiendo mantener la libertad y protección de privacidad en la nube, respetando lineamientos jurídicos relevantes ante la protección de información, así como garantizar al usuario recibir un servicio del proveedor adecuado.
Algunos proveedores, entre los cuales destacan Microsoft, Google, AWS, se apoyan en el estándar PCI DSS ISO27018 para definir la seguridad de servicios en la nube como una responsabilidad compartida entre el usuario y proveedor.
¿Cómo puedo proteger la información alojada en la nube?
Se recomienda validar a cada proveedor bajo los lineamientos de su portafolio y alcances de su servicio. Para ello es importante informarse si el proveedor cuenta en su portafolio con soluciones enfocadas a la seguridad de la información alojada en la nube.
Durante las negociaciones con tu proveedor, debes solicitar una propuesta de Seguridad desde el principio. Verificar que se tenga facilidad de acceso a datos, cifrado y eliminación de copias de seguridad en contingencias. Es válido buscar un CASB (Cloud Access Security Broker), que es una tecnología ubicada entre los usuarios y la nube enfocada a monitorear la actividad del usuario y hacer cumplir las políticas establecidas por el área de TI en la organización.