La seguridad en la nube es una disciplina de la ciberseguridad dedicada a proteger los sistemas informáticos en la nube. Esto incluye mantener los datos privados y seguros en la infraestructura, las aplicaciones y las plataformas en línea. Para proteger estos sistemas se necesitan los esfuerzos de los proveedores de la nube y de los clientes que los utilizan, ya sea una persona, una pequeña o mediana empresa o una compañía.
Los proveedores de la nube alojan los servicios en sus servidores a través de conexiones de Internet siempre activas. Dado que su negocio depende de la confianza de los clientes, utilizan métodos de seguridad en la nube para que los datos de los clientes se mantengan privados y almacenados de forma segura. Sin embargo, la seguridad en la nube también está parcialmente en manos del cliente. La comprensión de ambas facetas es fundamental para una solución saludable de seguridad en la nube.
En su núcleo, la seguridad en la nube se compone de las siguientes categorías:
La seguridad en la nube puede parecer semejante a la seguridad informática heredada, pero esta plataforma exige en realidad un enfoque diferente. Antes de profundizar en el tema, veamos primero qué es la seguridad en la nube.
La seguridad en la nube es el conjunto de tecnología, protocolos y buenas prácticas que protegen los entornos de computación en la nube, las aplicaciones que se ejecutan en la nube y los datos que se encuentran en ella. La seguridad de los servicios en la nube comienza con la comprensión exacta de qué es lo que hay que proteger, así como los aspectos del sistema que se deben administrar.
A modo de resumen, el desarrollo del soporte contra las vulnerabilidades de seguridad está en gran medida en manos de los proveedores de servicios en la nube. Aparte de elegir un proveedor consciente de la seguridad, los clientes deben centrarse sobre todo en la configuración adecuada del servicio y en los hábitos de uso seguro. Además, los clientes deben asegurarse de que el hardware y las redes de los usuarios finales estén debidamente asegurados
El alcance total de la seguridad en la nube está diseñado para proteger lo siguiente, independientemente de sus responsabilidades:
Con la computación en la nube, los costos de propiedad de estos componentes puede variar ampliamente. Esto puede hacer que el alcance de las responsabilidades de seguridad del cliente no esté claro. Dado que asegurar la nube puede parecer diferente en función de quién tiene autoridad sobre cada componente, es importante entender cómo se agrupan comúnmente.
Para simplificar, los componentes de la computación en la nube se protegen desde dos puntos de vista principales:
1. Los tipos de servicios en la nube ofrecidos por terceros proveedores como módulos utilizados para crear el entorno de la nube. Según el tipo de servicio, puedes gestionar un grado diferente de los componentes dentro del servicio:
2. Los entornos de la nube son modelos de implementación en los que uno o más servicios en la nube crean un sistema para los usuarios finales y las organizaciones. Estos dividen las responsabilidades de administración, incluida la seguridad, entre los clientes y los proveedores.
Los entornos de la nube que se utilizan actualmente son:
Al enfocarlo desde esta perspectiva, podemos entender que la seguridad basada en la nube puede ser un poco diferente según el tipo de espacio de nubes en el que trabajen los usuarios. Pero los efectos se sienten tanto en los clientes individuales como en las organizaciones.
Cada medida de seguridad en la nube funciona para lograr uno o más de los siguientes:
La seguridad de los datos es un aspecto de la seguridad en la nube que implica el fin técnico de la prevención de amenazas. Las herramientas y las tecnologías permiten a los proveedores y los clientes insertar barreras entre el acceso y la visibilidad de los datos confidenciales. De ellas, el cifrado es una de las herramientas más poderosas disponibles. El cifrado codifica tus datos para que solo los pueda leer alguien que tenga la clave de cifrado. Si pierdes o te roban los datos, serán ilegibles y no tendrán sentido. Las protecciones para el tránsito de datos, como las redes privadas virtuales (VPN), también se enfatizan en las redes de la nube.
La administración de identidades y accesos (IAM) se refiere a los privilegios de acceso que se ofrecen a las cuentas de los usuarios. La administración de la autenticación y la autorización de las cuentas de usuario también se aplica aquí. Los controles de acceso son fundamentales para restringir a los usuarios, tanto los legítimos como los maliciosos, la entrada y la puesta en peligro de datos confidenciales y sistemas. La administración de contraseñas, la autenticación de varios factores y otros métodos entran en el alcance de la IAM.
La gobernanza se centra en las políticas de prevención, detección y mitigación de amenazas. Con las PYMES y las compañías, aspectos como la información sobre amenazas pueden ayudar a rastrear y priorizar las amenazas para mantener los sistemas esenciales vigilados cuidadosamente. Sin embargo, incluso los clientes individuales de la nube podrían beneficiarse de la valoración de las políticas de comportamiento seguro del usuario y de la capacitación. Estas se aplican sobre todo en los entornos organizativos, pero las normas para el uso seguro y la respuesta a las amenazas pueden ser útiles para cualquier usuario.
La planificación de la retención de datos (DR) y la continuidad de negocios (BC) implica medidas técnicas de recuperación de desastres en caso de pérdida de datos. Los métodos de redundancia de datos, como las copias de seguridad, son fundamentales para cualquier plan de DR y BC. Además, disponer de sistemas técnicos para garantizar la continuidad de las operaciones puede ser de gran ayuda. Las plataformas para probar la validez de las copias de seguridad y las instrucciones detalladas de recuperación de los empleados son igual de valiosas para un plan de BC completo.
El cumplimiento legal gira en torno a la protección de la privacidad del usuario, tal como lo establecen los órganos legislativos. Los gobiernos asumieron la importancia de proteger la información de los usuarios privados para que no sea explotada con fines de lucro. Así, las organizaciones deben seguir los reglamentos para cumplir con estas políticas. Uno de los enfoques es el uso del enmascaramiento de datos, que oculta la identidad dentro de los datos mediante métodos de cifrado.
La seguridad informática tradicional ha experimentado una inmensa evolución debido al cambio a la informática basada en la nube. Mientras que los modelos de la nube permiten una mayor comodidad, la conectividad siempre activa requiere nuevas consideraciones para mantenerlas seguras. La seguridad en la nube, como una solución de ciberseguridad modernizada, se distingue de los modelos informáticos heredados en algunos aspectos.
Almacenamiento de datos: la mayor distinción es que los modelos antiguos de TI dependían en gran medida del almacenamiento de datos in situ. Las organizaciones han descubierto desde hace mucho tiempo que la creación de todas las plataformas informáticas internas para los controles de seguridad detallados y personalizados es costosa y rígida. Las plataformas basadas en la nube han ayudado a transferir los costos de desarrollo y mantenimiento de los sistemas, pero también a eliminar cierto control de los usuarios.
Velocidad de escalada: de manera similar, la seguridad en la nube exige una atención única al escalar los sistemas de TI de la organización. La infraestructura y las aplicaciones centradas en la nube son muy modulares y se movilizan rápidamente. Si bien esta capacidad mantiene la uniformidad del ajuste de los sistemas a los cambios organizativos, plantea problemas cuando la necesidad de mejoras y comodidad de una organización supera su capacidad para mantenerse al día en materia de seguridad.
Interfaz del sistema de usuarios finales: tanto para las organizaciones como para los usuarios individuales, los sistemas de nube también se conectan con muchos otros sistemas y servicios que se deben proteger. Los permisos de acceso deben mantenerse desde el nivel de dispositivo de usuario final hasta el nivel de software e incluso el nivel de red. Más allá de esto, los proveedores y los usuarios deben estar atentos a las vulnerabilidades que pueden causar a través de comportamientos de configuración y acceso no protegidos al sistema.
Proximidad a otros datos y sistemas en red: dado que los sistemas en la nube son una conexión persistente entre los proveedores de la nube y todos sus usuarios, esta importante red puede comprometer incluso al propio proveedor. En los entornos de redes, un solo dispositivo o componente débil se puede explotar para infectar al resto. Los proveedores de nube se exponen a las amenazas de muchos usuarios finales con los que interactúan, ya sea que estén proporcionando almacenamiento de datos u otros servicios. Las responsabilidades adicionales en materia de seguridad de la red recaen en los proveedores que, de otro modo, sus productos entregados se basan exclusivamente en los sistemas de los usuarios finales y no en los propios.
Resolver la mayoría de los problemas de seguridad en la nube significa que tanto los usuarios como los proveedores de la nube, tanto en los entornos personales como en los empresariales, deben ser proactivos en cuanto a sus propias funciones en la ciberseguridad. Este doble enfoque significa que los usuarios y los proveedores deben tratar mutuamente:
Por último, los proveedores y los usuarios de la nube deben tener transparencia y responsabilidad para garantizar que ambas partes estén seguras.
¿Cuáles son los problemas de seguridad en la computación en la nube? Porque si no los conoces, ¿cómo se supone que vas a tomar las medidas adecuadas? Después de todo, una seguridad débil en la nube puede exponer a los usuarios y proveedores a todo tipo de amenazas de ciberseguridad. Algunas amenazas comunes a la seguridad en la nube incluyen:
El mayor riesgo de la nube es que no tiene perímetro. La ciberseguridad tradicional se centraba en la protección del perímetro, pero los entornos en la nube están muy conectados, lo que significa que las interfaces de programación de aplicaciones (API) no protegidas y los secuestros de cuentas pueden plantear problemas reales. Frente a los riesgos de seguridad de la computación en la nube, los profesionales de la ciberseguridad deben cambiar el enfoque hacia los datos.
La interconexión también plantea problemas para las redes. Los actores maliciosos a menudo violan las redes por tener credenciales comprometidas o débiles. Una vez que un hacker logra ingresar, puede expandirse fácilmente y utilizar interfaces con protección deficiente en la nube para ubicar datos en distintas bases de datos o nodos. Incluso pueden utilizar sus propios servidores en la nube como destino para exportar y almacenar los datos robados. La seguridad tiene que estar en la nube, no solo proteger el acceso a los datos de la nube.
El almacenamiento de tus datos por parte de terceros y el acceso a través de internet también plantean sus propias amenazas. Si, por algún motivo, esos servicios se interrumpen, podrías perder el acceso a los datos. Por ejemplo, un corte en la red telefónica podría significar que no se puede acceder a la nube en un momento esencial. Alternativamente, un corte de energía podría afectar el centro de datos donde se almacenan tus datos, posiblemente con una pérdida de datos permanente.
Tales interrupciones podrían tener más repercusiones a largo plazo. Un reciente corte de energía en una instalación de datos en la nube de Amazon provocó la pérdida de datos de algunos clientes cuando los servidores sufrieron daños en el hardware. Este es un buen ejemplo de por qué deberías tener copias de seguridad locales de al menos algunos de tus datos y aplicaciones.
En la década de 1990, los datos comerciales y personales estaban activos localmente, y la seguridad también era local. Los datos estaban localizados en el almacenamiento interno de una PC en casa, y en los servidores de la empresa, si trabajabas para una compañía.
La introducción de la tecnología de la nube ha obligado a todos a reevaluar la ciberseguridad. Tus datos y aplicaciones podrían estar flotando entre sistemas locales y remotos, y estar siempre accesibles por Internet. Si accedes a Google Docs desde tu teléfono inteligente o utilizas el software de Salesforce para atender a tus clientes, esos datos podrían estar guardados en cualquier lugar. Por lo tanto, es más difícil protegerlos que cuando se trataba solo de impedir que usuarios no deseados accedieran a tu red. La seguridad en la nube requiere ajustar algunas prácticas informáticas previas, pero se ha vuelto más esencial por dos razones clave:
Por desgracia, los actores maliciosos comprenden el valor de los objetivos basados en la nube y los investigan cada vez más para encontrar sus vulnerabilidades de seguridad. A pesar de que los proveedores de la nube asumen muchas funciones de seguridad de los clientes, no administran todo. Esto deja incluso a los usuarios no técnicos con el deber de auto educarse sobre la seguridad en la nube.
Dicho esto, los usuarios no están solos en las responsabilidades de seguridad en la nube. Ser consciente del alcance de tus deberes de seguridad ayudará a que todo el sistema esté mucho más seguro.
Se han promulgado leyes para ayudar a proteger a los usuarios finales de la venta y el intercambio de sus datos confidenciales. El Reglamento general de protección de datos (GDPR) y la Ley de portabilidad y responsabilidad del seguro médico (HIPAA) cumplen cada uno con sus propios deberes de protección de la privacidad, al limitar la forma en que se pueden almacenar los datos y acceder a ellos.
Se han utilizado métodos de administración de identidades, como el enmascaramiento de datos, para separar las características identificables de los datos de los usuarios, a fin de cumplir con el GDPR. Para el cumplimiento de la HIPAA, las organizaciones como los centros de atención médica deben asegurarse de que su proveedor también haga su parte en la restricción del acceso a los datos.
La ley CLOUD otorga a los proveedores de la nube sus propias limitaciones legales que deben cumplir, potencialmente a costa de la privacidad del usuario. La ley federal de EE. UU. ahora permite a las fuerzas policiales a nivel federal exigir los datos solicitados de los servidores del proveedor de la nube. Si bien esto puede permitir que las investigaciones procedan de manera eficaz, puede eludir algunos derechos a la privacidad y causar posibles abusos de poder.
Por suerte, puedes tomar muchas medidas para proteger tus propios datos en la nube. Exploremos algunos de los métodos populares.
El cifrado es una de las mejores maneras de asegurar tus sistemas de computación en la nube. Hay varias formas diferentes de utilizar el cifrado, y puede ofrecerlas un proveedor de la nube o un proveedor de soluciones de seguridad en la nube independiente:
En la nube, los datos corren más riesgo de intercepción cuando cambian de lugar. Cuando se transmiten de un lugar de almacenamiento a otro o se a tu aplicación en el sitio, son vulnerables. Por lo tanto, el cifrado de extremo a extremo es la mejor solución de seguridad en la nube para datos importantes. Con el cifrado de extremo a extremo, en ningún momento tu comunicación queda a disposición de extraños sin tu clave de cifrado.
Puedes cifrar tus datos por tu cuenta antes de almacenarlos en la nube o puedes contratar un proveedor de la nube que cifre tus datos como parte del servicio. Sin embargo, si solo usas la nube para almacenar datos no confidenciales, como gráficos o videos corporativos, el cifrado de extremo a extremo podría ser exagerado. Pero para la información confidencial, financiera o comercial, es fundamental.
Si usas cifrado, recuerda que la administración segura de tus claves de cifrado es fundamental. Conserva una copia de seguridad de las claves y, preferentemente, no la guardes en la nube. Quizás también sea conveniente cambiar las claves de cifrado cada cierto tiempo, de modo que si alguien logra acceder a ellas, se bloquee su acceso al sistema al hacer el cambio.
La configuración es otra práctica potente en la seguridad en la nube. Muchas violaciones de datos de la nube provienen de vulnerabilidades básicas como errores de configuración. Al prevenirlas, estás disminuyendo enormemente el riesgo de seguridad en la nube. Si no te sientes seguro para hacer esto solo, tal vez te convenga contratar a un proveedor independiente de soluciones de seguridad en la nube.
Estos son algunos principios que puedes seguir:
Los consejosbásicos de ciberseguridad también se deben incorporar en cualquier implementación de la nube. Aunque estés usando la nube, no debes ignorar las prácticas estándar de ciberseguridad. Por ello, vale la pena tener en cuenta lo siguiente si quieres estar lo más seguro posible en línea:
Los riesgos de seguridad de la computación en la nube pueden afectar a todos, desde las empresas hasta los consumidores individuales. Por ejemplo, los consumidores pueden utilizar la nube pública para almacenar y hacer copias de seguridad de archivos (con servicios de SaaS como Dropbox), para servicios como el correo electrónico y las aplicaciones de oficina, o para rellenar formularios y cuentas de impuestos.
Si usas servicios basados en la nube, debes tener en cuenta cómo compartes los datos de la nube con los demás, sobre todo si trabajas como asesor o autónomo. Aunque compartir archivos en Google Drive o en otro servicio puede ser una forma fácil de compartir tu trabajo con los clientes, es posible que tengas que comprobar que estás administrando los permisos correctamente. Después de todo, querrás asegurarte de que los diferentes clientes no puedan ver los nombres o los directorios de los demás o alterar sus archivos.
Recuerda que muchos de lo servicios de almacenamiento en la nube que están disponibles no cifran los datos. Si deseas mantener tus datos seguros mediante cifrado, tendrás que usar un software de cifrado para hacerlo tú mismo antes de subirlos. Luego, tendrás que proporcionar una clave a tus clientes para que puedan leer los archivos.
La seguridad debe ser uno de los principales puntos a considerar a la hora de elegir un proveedor de seguridad en la nube. Esto se debe a que la ciberseguridad ya no es solo responsabilidad tuya: las empresas de seguridad en la nube deben poner de su parte para crear un entorno de la nube seguro y compartir la responsabilidad de la seguridad de los datos.
Desafortunadamente, las empresas de la nube no te darán los planos de la seguridad de su red. Esto equivaldría a que un banco te diera los detalles de su bóveda, con los números de combinación de la caja fuerte.
Sin embargo, obtener las respuestas correctas a algunas preguntas básicas te da una mayor confianza de que tus activos en la nube estarán seguros. Además, serás más consciente de si tu proveedor ha abordado con propiedad los riesgos obvios de seguridad en la nube. Recomendamos hacerle a tu proveedor de la nube algunas de las siguientes preguntas:
También querrás asegurarte de que has leído los términos de servicio (TOS) de tu proveedor. Leer los TOS es esencial para entender si estás recibiendo exactamente lo que quieres y necesitas.
Asegúrate de comprobar que también conoces todos los servicios utilizados con tu proveedor. Si tus archivos están en Dropbox o respaldados en iCloud (la nube de almacenamiento de Apple), en realidad podrían estar en los servidores de Amazon. Por lo tanto, tendrás que comprobar AWS, así como el servicio que usas directamente.
Los servicios de seguridad en la nube híbrida pueden ser una opción muy inteligente para los clientes en los espacios de las PYMES y las grandes empresas. Son más viables para las aplicaciones de las PYMES y las empresas, ya que generalmente son demasiado complejas para el uso personal. Pero estas organizaciones son las que podrían utilizar la combinación de escala y accesibilidad de la nube con el control interno de determinados tipos de datos.
Estos son algunos de los beneficios de seguridad de los sistemas de seguridad en nubes híbridas:
La segmentación de los servicios puede ayudar a una organización a controlar la forma de almacenamiento y acceso a sus datos. Por ejemplo, colocar datos más confidenciales en el sitio mientras se transfieren otros datos, aplicaciones y procesos a la nube puede ayudar a separar en capas a tu seguridad apropiadamente. Además, la separación de los datos puede mejorar la capacidad de tu organización para cumplir con los reglamentos de datos requeridos por la ley.
La redundancia también se puede lograr a través de entornos de la nube híbrida. Al utilizar las operaciones diarias de los servidores de la nube pública y al hacer copias de seguridad de los sistemas en los servidores de datos locales, las organizaciones pueden mantener sus operaciones en movimiento en caso de que un centro de datos se desconecte o se infecte con ransomware.
Mientras que las empresas pueden insistir en una nube privada, que sería el equivalente en Internet de poseer tu propio edificio de oficinas o campus, los individuos y las empresas más pequeñas tienen que administrarse con servicios en la nube pública. Es como compartir una oficina de servicios o vivir en un bloque de apartamentos con cientos de inquilinos más. Por lo tanto, la seguridad debe tu prioridad.
En las aplicaciones de las pequeñas y medianas empresas, descubrirás que la seguridad de la nube depende en gran medida de los proveedores públicos que utilizas.
Sin embargo, hay medidas que puedes tomar para mantenerte protegido:
Dado que más del 90 % de las grandes empresas utilizan la computación en la nube, la seguridad en la nube es una parte fundamental de la ciberseguridad empresarial. Los servicios en la nube privada y otras infraestructuras más costosas pueden ser viables para las organizaciones de nivel empresarial. Sin embargo, tendrás que asegurarte de que tu TI interna se encargue de mantener toda la superficie de tus redes.
Para el uso de empresas a gran escala, la seguridad en la nube puede ser mucho más flexible si realizas algunas inversiones en la infraestructura.
Existen puntos claves que hay que tener en cuenta:
Por lo tanto, como usuario individual, usuario de PYMES o incluso usuario de la nube a nivel empresarial, es importante asegurarte de que tu red y tus dispositivos sean lo más seguros posible. Esto comienza con una buena comprensión de la ciberseguridad básica a nivel de usuario individual, así como con la garantía de que tu red y todos los dispositivos estén protegidos por una solución de seguridad robusta diseñada para la nube.
Productos relacionados:
Artículos relacionados: