Quién es responsable de la seguridad en la nube: ¿El proveedor de servicios o el cliente? Muchas personas lo ven como una relación de responsabilidad compartida. Aquí están las mejores prácticas para manejar esa relación.
5 cosas que debe saber sobre la seguridad en la nubePara estar seguro con el almacenamiento en la nube, debe saber cómo funciona. Aquí hay cinco cuestiones básicas que hay que buscar.
Cuando se trata de proteger los datos en la nube, no se puede exagerar la importancia de decidir quién es responsable de qué. Actualmente, hay tres opciones: Clientes de servicios cloud, proveedores de servicios cloud o clientes y proveedores que comparten la responsabilidad.
Un estudio de 2019 sobre la seguridad de los datos en la nube a nivel mundial () realizado por el Ponemon Institute for Gemalto encontró esto:
VER: Política de Cloud Computing (Tech Pro Research)
El modelo de responsabilidad compartida
Jenna Kersten, especialista en marketing de contenidos de KirkpatrickPrice, en su artículo en el blog Who’s Responsible for Cloud Security? se alía con los encuestados que optan por la responsabilidad compartida. En su post, Kersten da un paso más allá y analiza una forma de repartir la responsabilidad entre los clientes de servicios en la nube y los proveedores de servicios en la nube en los siguientes modelos de servicios en la nube: Infraestructura como servicio (IaaaS), Plataforma como servicio (PaaS) y Software como servicio (SaaS.
- Soluciones IaaaS: En IaaS, el proveedor de servicios en la nube administra instalaciones, centros de datos, interfaces de red, procesamiento e hipervisores. El cliente del servicio en la nube es responsable de la red virtual, las máquinas virtuales, los sistemas operativos, el middleware, las aplicaciones, las interfaces y los datos.
- Soluciones PaaS: Con el modelo PaaS, Kersten añade redes virtuales, máquinas virtuales, sistemas operativos y middleware a las responsabilidades del proveedor de servicios cloud. El cliente sigue siendo responsable de la seguridad y gestión de las aplicaciones, interfaces y datos.
- Soluciones SaaS: El modelo SaaS, según Kersten, transfiere la responsabilidad de todo, excepto de las interfaces y los datos, al proveedor de servicios en la nube.
«Los proveedores de servicios cloud y los clientes de servicios cloud tienen la responsabilidad de proteger los datos», continúa Kersten. «También es importante señalar que la ejecución de las tareas individuales de gestión de la seguridad puede subcontratarse, pero no la rendición de cuentas. La responsabilidad de verificar que se cumplan los requisitos de seguridad siempre recae en el cliente».
VER: Cómo elegir y gestionar grandes socios tecnológicos (Informe especial de ZDNet) | Descargar el informe en formato PDF (ConsejoTecnologico.com)
Servicios Web Amazónicos
Las autoridades de Amazon Web Services (AWS) están de acuerdo con el «32 por ciento» y Kersten. Desde la página web de AWS sobre la visión de responsabilidad compartida de la empresa:
Seguridad física
Los datos en la nube todavía residen en algún lugar de los dispositivos físicos (es decir, servidores, discos duros y similares. Dado que la responsabilidad es compartida, tanto los clientes como los proveedores deben garantizar la seguridad de los edificios, los equipos informáticos y la infraestructura física. Los empleados también son una consideración importante, ya que la ingeniería social es el método de ataque preferido de los ciberdelincuentes debido a su éxito.
Cómo gestionar una relación de responsabilidad compartida
Kersten analiza cómo los responsables de los servicios cloud en el sitio del cliente y en la ubicación del proveedor pueden gestionar mejor una relación de responsabilidad compartida, empezando por los proveedores de servicios cloud:
- Considere los riesgos desde la perspectiva del cliente y luego implemente controles que demuestren que se está haciendo todo lo posible para mitigar los riesgos.
- Documentar los controles internos utilizados para gestionar los riesgos.
- Proporcione documentación sobre cómo los clientes pueden utilizar las funciones de seguridad proporcionadas. Kersten añade: «AWS hace un gran trabajo de esto a través de sus programas educativos».
- Cree una matriz de responsabilidad que defina cómo su solución ayudará a sus clientes a cumplir con sus diversos requisitos de cumplimiento. Diríjase al CAIQ y al MCP de la CSA como puntos de partida para establecer el modelo de responsabilidad compartida.
A continuación, Kersten se centra en el cliente de servicios en la nube:
- Defina los requisitos de seguridad de la nube antes de seleccionar un proveedor de servicios de nube. «Si usted sabe lo que busca en un proveedor de servicios cloud, puede priorizar mejor sus necesidades», añade Kersten.
- Armonizar el programa de gobierno corporativo entre la entrega de TI tradicional y la basada en la nube. La migración de sistemas y aplicaciones a la nube va a requerir cambios en las políticas.
- Establecer claridad contractual sobre los roles y responsabilidades de cada parte, especialmente con respecto a la nube pública, incluyendo:* ¿Quién es responsable de la seguridad de la nube?
- Desarrolle una matriz de responsabilidades que defina las funciones y responsabilidades de seguridad para usted y para cada proveedor, incluidos los proveedores de servicios cloud.
VER: Gestión de proveedores: Cómo construir relaciones efectivas (PDF gratuito) (ConsejoTecnológico.com)
No se olvide de la conformidad
El cumplimiento y la seguridad en la nube pueden considerarse una relación digital simbiótica: una no puede existir sin la otra, tal y como están estructuradas las regulaciones. Duane Tharp no se anda con rodeos cuando se trata de cumplimiento y seguridad:
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves