Seguridad
Cloud Computing
Ciberseguridad
Nube
Especial CSO Seguridad cloud

La seguridad, un imperativo en la era de la nube

La digitalización ha sido implacable con las empresas, que han tenido que acudir a la nube para hacerle frente y contar con servicios de conexión, procesamiento y almacenamiento cuya seguridad ya no está en sus manos. Cuando la regulación y el cibercrimen obligan, la seguridad de la nube es uno de los mayores imperativos para proveedores y organizaciones.

especial seguridad cloud

El paradigma de la computación nativa en la nube es una respuesta a las necesidades digitales de las empresas, que deben responder rápidamente a cambios en los gustos de los consumidores, a las nuevas oportunidades de mercado y a la aparición de tecnologías disruptivas. También deben hacer frente a las crecientes preocupaciones sobre la fiabilidad del software, la seguridad y la gestión de los datos.

El cloud computing es uno de los paradigmas tecnológicos que se ha colado en nuestras vidas públicas y laborales por pura necesidad de incrementar capacidades de procesamiento y almacenamiento de los sistemas informáticos. Pero aunque la nube mejora en la seguridad, porque empresas y proveedores ponen cien ojos encima, no está exenta de riesgos.

La nube permite nuevos modelos de negocio basados en proveer una gran variedad de servicios tecnológicos de forma descentralizada, optimizados y contratados bajo demanda, utilizando para ello la infraestructura de internet. El crecimiento de la capacidad de procesamiento y de cálculo, la eficiencia de los sistemas de almacenamiento con capacidad y velocidad de trasferencia creciente, y la extensión y el abaratamiento del acceso a internet, que ha amplificado la conectividad, son los hitos tecnológicos que han propiciado su implantación masiva. Sus servicios abarcan almacenamiento, backup, aplicaciones de oficina, servicio de correo, alojamiento web, gestión de contactos

 

La nube; ser o no ser más segura

Así, la nube está considerada la quinta revolución del mundo TIC. Permite a pymes y autónomos adoptar las últimas tecnologías a coste reducido con una mayor productividad. También aporta agilidad y movilidad, porque proporciona acceso a los servicios desde cualquier lugar, además de flexibilidad y escalabilidad; los servicios crecen en función de las necesidades.  Y esto puede darse permitiendo reducir inversiones de hardware y software, que se sustituyen por gastos en servicios con un esquema de “pago por uso”. Además, proporciona un marco idóneo de posibilidades para el trabajo colaborativo, el teletrabajo, y el trabajo híbrido. Hasta aquí todo parece de color de rosa. Pero al campo hay que ponerle puertas para que no nos entren a robar hasta la sonrisa.

En este sentido, Ignacio Cobisa, analista senior de IDC Research es contundente; los servicios cloud son ya tan seguros o más que los modelos tradicionales. “El paradigma de que la nube es menos segura que las arquitecturas en instalaciones propias (on-prem) empieza a estar superado en el sector. De hecho, el Plan Nacional de Seguridad no considera las arquitecturas en la nube menos seguras”, nos explica.

El primer aspecto clave para una nave segura es el establecimiento de acuerdos de nivel de servicio entre el proveedor y el cliente (o SLA-Service Level Agreements). En ellos se define los compromisos de ambas partes y deben contener clausulas en las que se defina la responsabilidad del proveedor en algunos actos relacionados con la seguridad, además de cuestiones como el mantenimiento, las actualizaciones, las incidencias, la disponibilidad y la recuperación de los servicios contratados por el cliente. Según Cobisa, en el SLA “lo más importante es delimitar hasta dónde llega la responsabilidad del cliente y dónde la del proveedor de servicios, ya que si dejamos ‘terrenos’ poco claros suelen ser fuentes de problemas cuando hay incidentes”.

Marco Lozano, responsable de Ciberseguridad para Empresas de Incibe, ve el paradigma de la nube “muy interesante porque, aparte de democratizar servicios de empresas que antes no podían disponer porque eran más caros, permite poner en marcha estos servicios de una manera super-ágil, lo que es muy positivo”. También entiende que se está democratizando la ciberseguridad, gracias a los servicios de la nube. “Estos aportan riesgos, — aclara— pero también soluciones con las que no se habría podido contar a ese nivel o con esa posibilidad. Es una de las partes más positivas de la nube; está gestionada por expertos, por lo que como empresarios nos podemos olvidar, incluso de la administración de los propios servicios”.

Desde el Incibe nos ponen un ejemplo de porqué la nube aumenta la seguridad. “Cuando contratamos servicios en mano, por ejemplo la Suite Office 365, y tenemos un paquete ofimático, servicios de almacenamiento, podemos incorporar unas copias de seguridad, todo integrado en esa nube con un coste bajo respecto a lo que supondría disponer de esos servicios en servidores propios. Esa reducción de costes es la que ha permitido que todo ese conjunto de servicios casi de carácter infinito esté a disposición de las empresas con unos niveles de seguridad bastante altos”.

 

Las amenazas, los riesgos y el factor humano

No obstante, en la nube se siguen produciendo fallos de seguridad muy similares a los que ocurren en las arquitecturas propias de las organizaciones. Aunque hay mayor concienciación, se siguen sucediendo accesos no autorizados, amenazas internas, interfaces inseguras, acceso por tecnologías compartidas, fuga de información, implantación de identidad, desconocimiento del entorno de los empleados y ataques de hacking porque, tal y como asegura Cobisa, “desgraciadamente los datos apuntan a que estas amenazas han aumentado y en la mayor parte de los casos tienen que ver con fallos humanos”.  

En efecto, la ingenuidad, el desconocimiento, la dejadez, la falta de concienciación y de recursos son factores que merman la seguridad cloud. Lozano coincide con Cobisa: “Es un poco todo, pero sobre todo el factor usuario. Cuando contratas un servicio que crees seguro, ya te olvidas de todo, pero hay cuestiones sobre la que una empresa mantiene su responsabilidad, como por ejemplo la utilización de las contraseñas, el establecimiento de los permisos para los recursos que compartes y el acceso seguro a los mismos. El fallo es que delegamos pensando que la tecnología va a tener todas las respuestas y estamos equivocados. El usuario tiene una gran responsabilidad en ese sentido. En definitiva, la seguridad la merma el factor humano, en el que se mezclan todos los posibles factores de riesgo”.

Desde el Incibe apuntan que el paradigma Zero Trust podría ser una seguridad integral que puede facilitar mucho la tarea, pero falta ver si es capaz de atajar estas cuestiones relativas al factor humano. La seguridad en la nube plantea riesgos como el acceso de usuarios con privilegios, el incumplimiento normativo, el desconocimiento de la localización de los datos y la falta de aislamiento de los mismos o capacidad de recuperación. Según corrobora Ignacio Cobisa, “uno de los riesgos más recurrentes tiene que ver con la autenticación de los usuarios.  La nube debe compaginar la agilidad y la flexibilidad que ofrece (por ejemplo, en los nuevos entornos de trabajo híbridos) con la necesaria seguridad, pero sin que los trabajadores se resientan en sus experiencias de uso”.

 

La seguridad cloud implica a todos

La gestión de nuestro alojamiento en la nube supone una pérdida de control al dejar en manos del proveedor, es decir, de terceros, las instalaciones donde se están ejecutando nuestras aplicaciones, nuestros datos, etc. Marco Lozano entiende que la seguridad no es nunca absoluta por muy bueno que sea el servicio, porque “independientemente de que tengamos un contrato o un acuerdo específico,  siempre puede existir el riesgo de que algún proveedor tenga un problema, sufra un ataque que ponga en riesgo nuestra información que está en sus manos. En ese sentido, las empresas, en general, se acuerdan de Santa Bárbara cuando truena, es decir, cuando se ha materializado el incidente”.

Cobisa cree que hay que fiarse de los profesionales, porque “en general la confianza digital que ofrecen los proveedores establecidos en el mercado en cuanto a recuperación ante desastres, confidencialidad y seguridad de los datos es igual o superior a lo que obtiene una organización en su propio CPD”. Lozano también constata que los proveedores son más seguros que las empresas. “Hay que valorar qué tamaño tiene la empresa y cuál es su dependencia tecnológica. En el último balance de vulnerabilidades que hemos publicado, encontramos una que se repite desde hace muchos años, y es la falta de implementación de actualizaciones. Las empresas siguen sin actualizar sus sistemas, sus aplicaciones, y este fallo lo tenemos en la tercera posición. Y es algo en lo que insistimos desde al año 2006, junto con el cuidado con las contraseñas y la implementación de políticas de seguridad, la copias de seguridad para evitar los efectos del ransomware”.

Dieciséis años después todavía se encuentran con que no se cumplen estas recomendaciones. Se reducen los incidentes por este tipo de causas, pero se siguen dando y hay que todavía camino por andar. En Incibe han identificado que desde hace dos años, más o menos el inicio de la pandemia, las empresas han invertido más en servicios cloud y en ciberseguridad, quizás por tiempo o porque ya era una cuestión de la que se tenían que ocupar. Se han preocupado más sobré el tipo de medidas, se han incrementado las consultas a sus líneas específicas para ello, han preguntado por servicios para proteger sus activos, por herramientas que les pudieran proteger y por soluciones concretas; “cosas que parece les están calando”, advierte Lozano.

Nos obstante, según Lozano, el aspecto de la seguridad cloud que más preocupa a las organizaciones es el cumplimiento normativo, “porque todos los servicios en la nube tienen que cumplir el RGPD o la Ley Orgánica de protección de datos española”. En segundo lugar la preocupación son los precios, es decir, el coste del servicio, y en el tercer puesto estarían las cuestiones relativas a la ciberseguridad.

Pero no por eso se tiende a relajar la responsabilidad de las organizaciones para que recaiga todo el trabajo en el proveedor por aquello del  “ya que pago”. Según Cobisa “en general las organizaciones cada vez se involucran más en la definición de estas políticas de seguridad de manera conjunta con el proveedor”. Para el analista, la seguridad cloud no tiene que ver con los servicios que se contratan, o el nivel de delegación de responsabilidad. “Es menos segura la arquitectura que ofrezca una frontera de ataque más amplia y débil, pero esto no tiene por qué estar ligado a la elección de IaaS (Infraestructure as a Service), PaaS (Plataform as a Service) o SaaS (Software As A Service). Los criterios que usan las organizaciones para optar por un tipo de nube u otra no son únicamente en función de la seguridad. En muchos casos tienen que ver más con la tecnología heredada que tengan o con aspectos normativos o internos que quieran cubrir” asegura.

 

Cómo conseguir la seguridad soñada

Para conseguir la seguridad que requiere la nube hay que implementar una arquitectura específica que los profesionales con el Certified Cloud Security Profesional (CCSP) se conocen de carrerilla. El experto en ciberseguridad e instructor de CCSP Juan Blázquez Martín, miembro de ISACA MadridChapter, nos desvela las claves para establecer la seguridad cloud que la normativa y el sentido común indican. “Para lograr completamente el nivel de seguridad que una organización y sus activos requieren es necesario seguir dos directivas clave: seleccionar el tipo de servicio apropiado para sus necesidades y comprender sus obligaciones bajo el modelo de responsabilidad compartida del servicio”.

Una vez aclarados estos términos de delimitan el modelo de responsabilidad compartida, hay que ponerse manos a la obra para establecer los distintos niveles de seguridad:

  • Seguridad Física: el proveedor de la nube necesita un centro de datos desde el que prestar servicios a sus clientes. Desde esas instalaciones se ocupará de la securización de los componentes hardware y la gestión de la configuración hardware. Para ello, conviene construir una plantilla para la configuración segura de cada dispositivo específico, y debe replicarse cada vez que se agregue al entorno un nuevo dispositivo. La configuración básica del hardware debe guardarse de manera segura y mantenerse actualizada a través del proceso formal de gestión de cambios, parches y actualizaciones. También se ocupará de los registros de auditoría y eventos, (asegurar que se guarden suficientes datos relacionados con la actividad en cada máquina para un posible uso futuro para determinar exactamente qué ocurrió y la identidad de los usuarios), de securizar el acceso de gestión remoto (controles específicos para garantizar que solo los usuarios autorizados puedan acceder y operar) y si el cliente lo requiere, establecer el aislamiento de clientes específicos.
  • Seguridad Lógica: se refiere a la securización del uso de software y procesos que se ejecutan sobre los hosts del proveedor para minimizar los riesgos de seguridad asociados con las operaciones de los clientes. El proveedor debe establecer unas normas claras en las que se indique que pueden y no pueden hacer los clientes al operar con sus sistemas informáticos. Además se debe asegurar que el software, sistema operativo y programas, no tienen fallos que puedan provocar incidentes de seguridad. La seguridad lógica se ocupa de la securización de los sistemas operativos virtuales, de todos los activos virtualizados y de la detección de vulnerabilidades mediante escaneos periódicos y automatizados de la red. Solo se detectan vulnerabilidades conocidas y cualquier vulnerabilidad existente que no sea parte de un patrón reconocido pasará desapercibida. Según Blázquez, “no pueden evitar que los atacantes exploten vulnerabilidades desconocidas en los sistemas, (ataques que se denominan exploits de día cero), pero al detectar y corregir vulnerabilidades conocidas, se evita que los atacantes puedan utilizar estas”.
  • Seguridad de Red: el proveedor tiene que asegurarse que la arquitectura de red y los componentes de interconexión que la componen sean seguros. En la securización de la conexiones de red se aplican muchas de las mismas tácticas y controles utilizados en el entorno on-premise. Además de algunas otras específicas del entorno Cloud. Incluye toda actividad encaminada a proteger el acceso, el uso y la integridad de la red, así como los datos que circulan por ella: incluye hardware y software, sstá orientada a diversas amenazas y pretende evitar que se propaguen por la red. “La microsegmentación es cada vez más común —nos explica Blázquez—. Es la práctica de dividir el centro de datos en zonas seguras, para mayor control sobre la comunicación lateral que se produce entre servidores.
  • Seguridad de las Comunicaciones: se deben asegurar las líneas de comunicación y conexiones entre los distintos centros de datos del proveedor dispersos geográficamente y entre estos y los clientes que acceden a ellos. La seguridad de las comunicaciones tiene que enfocarse a impedir la interceptación de los datos transmitidos y el acceso a las líneas de comunicación. Para ello se utilizan la criptografía, las Redes Privadas Virtuales (VPN) y la autenticación reforzada.

Aunque la teoría está muy clara, desde el Incibe, Lozano insiste en recordar que “las organizaciones deben tener en consideración que los problemas de seguridad en la nube, al igual que ocurre cuando la arquitectura en instalaciones propias, requieren un proceso que tiene que implementarse, con un ciclo de mejora continua. No es algo que se implemente una vez, y ahí se queda. Las tecnologías, los sistemas, las amenazas, los atacantes… evolucionan. Tenemos que mantenernos al día a la hora de prevenir y disponer de esas soluciones y tecnologías que nos van a prevenir de esos ataques, o que nos permitan ponernos en marcha lo antes posible si se materializan”.

Según su consejo, todo lo que contratemos como servicios en la nube relacionados con la ciberseguridad tiene que cubrir nuestras necesidades y tener opciones de reclamación o incluir algún tipo de indemnización.

Y nos tranquiliza al afirmar que las empresas y organizaciones españolas “estamos en el tercer o cuarto lugar entre los países mejor concienciados y asegurados, y contamos con un nivel de profesionales impresionante”.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper