La expansión del uso de las herramientas y servicios en la nube y el consiguiente traslado de la información a la misma han provocado que la ciberseguridad sea una exigencia para los fabricantes y proveedores de soluciones en la nube. Sin embargo, los riesgos de seguridad en la nube van mucho más allá.
Al utilizar servicios y herramientas en la nube, las organizaciones trasladan parte de sus procesos y toda la información que los acompaña a la misma. La seguridad de las actuaciones y la protección de la información, en especial la confidencialidad y la disponibilidad solo para las personas autorizadas, han de estar garantizadas para que la utilización de la nube no interfiera en el correcto funcionamiento de las organizaciones.
Conscientes de la necesidad de ofrecer un entorno seguro, los principales proveedores de servicios cloud y los fabricantes de soluciones en la nube disponen de marcos de seguridad que permiten generar confianza en las partes interesadas, entre ellos, la norma ISO/IEC 27017,ISO/IEC 27001 o el Esquema Nacional de Seguridad (ENS)
Sin embargo, la protección de cualquier entorno es una operación compleja, que tiene que diseñarse cubriendo a todos los elementos que actúan en él. Por eso, a la hora de implementar una estrategia de ciberseguridad para la nube, las medidas no pueden limitarse a uno de los elementos implicados en el entorno, sino que tienen que extenderse a todos:
- Proveedores de servicios cloud y fabricantes de soluciones en la nube.
- Configuración de la solución o servicio en la nube.
- Definición del uso.
- Actuación de los usuarios.
Por ello, el proceso para tratar y minimizar el riesgo asociado al uso de la nube pasa por implementar una serie de medidas de seguridad organizativas, técnicas y jurídicas, como el análisis de riesgos de terceros —que incluye la propia infraestructura del proveedor de servicios y soluciones en la nube— la definición de políticas de uso del cloud, la securización del correo electrónico o la formación a usuarios. El modelo denominado Gobierno de la Seguridad, que garantiza que la protección contra los riesgos abarca a todos los elementos del entorno cloud.
El modelo del Gobierno de la Seguridad para la nube
Cuando una organización implanta el modelo de Gobierno de la Seguridad, lo que consigue es racionalizar el sistema de seguridad para protegerse de forma activa según su necesidad, y no por impulsos, de forma proactiva, después de la materialización de algún riesgo. La prevención y la preparación para evitar los riesgos y la reacción para detectar, minimizar y combatir aquellos que se materialicen.
Las medidas de seguridad a implementar en una organización siguiendo este modelo son:
- Evaluación continua de los riesgos y definición del uso: El Gobierno de la Seguridad comienza instaurando la evaluación continua de los riesgos y definiendo el uso de la nube —qué uso va a tener, cuándo se va a usar, por quién, desde qué lugar y para qué—, incluyendo en este proceso tanto a la infraestructura de la nube, las aplicaciones y la conectividad, como a los usuarios y a la metodología de trabajo.
- Solución de seguridad en la nube: Los denominados CASB (Cloud Access Security Broker) son herramientas software específicas que completan los sistemas tradicionales de correlación de eventos SIEM. Su objetivo es garantizar la seguridad de las aplicaciones que una organización tiene alojadas en la nube, y constituyen la forma más adecuada de proteger los entornos Permiten detectar comportamientos inusuales, amenazas y malware, anticipar incidentes, recopilar datos de uso y cumplir con la normativa que obliga a tener un control sobre el flujo del dato. Combinados con un sistema de DLP (Data Loss Prevention) —que utiliza IA para prevenir de forma no intrusiva la fuga, accidental o no, de información— y un gestor de accesos e identidades IAM (Identity and Access Management) —que racionaliza y simplifica la gestión de usuarios, credenciales y contraseñas— se obtiene la solución de seguridad en la nube más potente del mercado.
- Securización del puesto de trabajo: El usuario es, dentro de toda la cadena de seguridad, el eslabón más débil. Por eso, las medidas de seguridad en la nube deben incluir al puesto de trabajo, preferentemente con soluciones EDR (Endpoint Detection and Response), que supervisan los eventos de punto final de la red y posibilitan su análisis posterior.
- Formación a usuarios: Para reforzar el eslabón más débil de la cadena de seguridad, el usuario, es imprescindible su formación en seguridad, a través de sistemas no sólo de conciliación, sino también de modificación del comportamiento, verificación y refuerzo constante, que incluyan la implantación de buenas prácticas, bastionado y políticas de seguridad en los equipos.
Implementación del Gobierno de la Seguridad
El diseño, la construcción, puesta en marcha y coordinación de toda esta estructura de seguridad en la nube constituyen una tarea muy compleja que debe implementarse prácticamente a medida de cada empresa y ejecutarse de forma continuada, para que funcione con eficacia. Por lo general, las organizaciones no disponen de las herramientas específicas y ni de personal capacitado, así que es imprescindible que cuenten con un socio especializado en herramientas de ciberseguridad, que garantice la adecuada elección de las mismas de acuerdo con las necesidades de la organización, su correcta configuración y la gestión y monitorización continuas de las soluciones de seguridad implementadas.
En Sothis, nos adaptamos a las necesidades del cliente, ofreciendo soluciones de Gobierno de la Seguridad para la nube que van desde la definición de una estrategia alineada con los objetivos del negocio, hasta el Gobierno de la Seguridad como servicio, para aquellas organizaciones que necesiten externalizarlo.