¿Qué es la seguridad cloud y por qué es importante?

UNIR Revista

El principal objetivo de esta disciplina es garantizar la confidencialidad, la integridad y la disponibilidad de toda la información que se gestiona a través de la nube.

El cloud computing o computación en la nube es un término que engloba a diferentes servicios y recursos informáticos que se prestan a través de Internet. En él se incluye desde el almacenamiento, gestión y procesamiento de datos hasta todo tipo de softwares, como correo electrónico o cobro de compras. El cloud computing se ha convertido en una cuestión básica en la transformación digital de las organizaciones la cual, a su vez, requiere de garantías y seguridad. La disciplina que lo garantiza es la seguridad cloud.

Ofrecer todos los beneficios del cloud computing (como almacenamiento ilimitado o actualización permanente) con las máximas garantías. Este es el gran reto de la seguridad cloud, ya que la concentración masiva de recursos de computación (sistemas, aplicaciones…) e información constituyen un objetivo muy atractivo para los atacantes.

La seguridad cloud consiste en la evaluación de los riesgos para la seguridad de la información de las organizaciones por el uso de la nube —así como la implementación de medidas de tratamiento de estos riesgos— con el fin de asegurar la confidencialidad, la integridad y la disponibilidad de esta información y los sistemas/aplicaciones que la soportan.

Riesgos derivados del uso del cloud computing

El principal objetivo de la seguridad cloud es dar una respuesta eficaz y eficiente a los riesgos de seguridad de la información que se derivan de la utilización del cloud computing. Por lo tanto, su importancia radica en asegurar la continuidad de negocio de las organizaciones en lo relativo a la información y las tecnologías de la información y las comunicaciones.

Los principales riesgos para la seguridad de la información por el uso del cloud computing son:

• Pérdida del gobierno. Con el uso de infraestructuras en la nube, el cliente cede el control al proveedor cloud en cuestiones que afectan a la seguridad de la información.
• Portabilidad. Actualmente hay pocas opciones de herramientas, procedimientos o formatos estándar de datos o interfaces que garanticen la portabilidad de datos, aplicaciones y servicios. Esto puede dificultar la migración a otro proveedor cloud o al Data Center interno. Esto produce una dependencia del negocio de las organizaciones del proveedor
• Fallos de aislamiento. Los recursos compartidos entre varias organizaciones son características definitorias de la computación en la nube. Esta categoría de riesgo consiste en el fallo de los mecanismos de aislamiento que separan el almacenamiento, la memoria y el enrutamiento. Sin embargo, se debe tener en cuenta que los ataques a los mecanismos de aislamiento de recursos (por ejemplo, contra los hipervisores) están poco generalizados y son mucho más complejos —y por lo tanto costosos de poner en práctica para los atacantes— en comparación con los ataques a los sistemas operativos tradicionales.
• Cumplimiento. La inversión para lograr la certificación (p. ej., estándares de la industria o requisitos regulatorios) puede verse comprometida por la migración a la nube:
  • Si el proveedor cloud no puede proporcionar evidencias del cumplimiento de los requerimientos.
  • Si el proveedor cloud no permite la realización de auditorías por parte del cliente o las terceras partes.
  • En ciertos casos, el uso de un cloud público implica que no se cumplen algunas normas (por ejemplo, PCI DSS).
• Compromiso de las interfaces de administración. Se utilizan para acceder a los sistemas y aplicaciones que provee el cloud y son accesibles a través de internet, por lo que tienen un mayor riesgo de ser objeto de ataques.
• Protección de datos. El cloud computing implica riesgos para la protección de los datos de las organizaciones. Es complicado verificar las actividades de tratamiento de los datos por parte del proveedor cloud y asegurar el cumplimiento de las regulaciones.
• Eliminación de datos. Cuando se solicita la eliminación o borrado de un recurso en el cloud es posible que no se haga de manera segura, debido a que puede ser imposible por la compartición de los recursos de computación con otros clientes.
• Insiders. El proveedor cloud dispone de administradores de sistemas o técnicos de ciberseguridad, que son extremadamente peligrosos si son malintencionados. Otros riesgos para la SI derivados de la utilización del cloud son:
• Políticos y organizacionales:
  • Fallo o terminación del servicio del proveedor cloud.
  • Pérdida de reputación por actividades de otras organizaciones con las que se comparten los recursos.
  • Fallos en la cadena de suministro.
• Técnicos:
  • Disponibilidad de recursos de computación.
  • Intercepción de los datos en tránsito.
  • Filtración de datos.
  • Ataques de DDoS.
  • Ataques de EDoS.
  • Pérdida de claves de encriptación.
  • Bastionado de las TIC del proveedor.
• Legales:
  • Disponibilidad de los datos necesarios para e-Discovery, forenses, etc.
  • Cambios en la jurisdicción.
  • Licenciamiento y propiedad intelectual.
• No específicos del cloud computing:
  • Mal funcionamiento de la red o indisponibilidad.
  • Escalado de privilegios.
  • Ingeniería social.
  • Pérdida o compromiso de logs.
  • Intercepción del tráfico de red.
  • Vulnerabilidades de las TIC.
  • Falta de copias de seguridad.
  • Acceso físico y/o lógico no autorizado.
  • Robo de equipos.
  • Desastres naturales.

Roles profesionales vinculados a la seguridad cloud

Los roles profesionales involucrados en la seguridad cloud son diferentes perfiles que existen habitualmente en los equipos responsables de la Seguridad de la información de cualquier organización. Su formación de base está vinculada a la informática, la ingeniería o las matemáticas, con especializaciones como las que brinda el Máster en Ciberseguridad online de UNIR.

• Responsable de Seguridad de la Información (CISO): se encarga del gobierno, la gestión de riesgos, el desarrollo y gestión del programa y la gestión de incidentes de Seguridad de la Información.
• Delegado de Protección de Datos (DPD): asegura y supervisa el cumplimiento del Reglamento General de Protección de Datos personales (RGPD).
• Consultores de Seguridad de la Información: definen y desarrollan el cuerpo normativo, realizan auditorías de cumplimiento normativo y análisis de riesgos y, en general, son los encargados de velar por el cumplimiento de la política de Seguridad de la Información.
• Técnicos de Seguridad de la Información: realizan revisiones técnicas, implantación y operación de medidas técnicas y, en general, las actividades relacionadas con la parte técnica de la Seguridad de la Información.

Funciones y competencias de los perfiles de seguridad cloud

Los principales requerimientos de seguridad cloud que deben implementar y asegurar los profesionales de las organizaciones son:

●      Personal:

• Políticas y procedimientos de contratación de administradores de TIC del proveedor cloud.
• Formación y concienciación en Seguridad de la Información del staff del proveedor cloud.

●      Cadena de suministro:

• Aseguramiento de los servicios clave de seguridad de la información prestados por el proveedor.
• Procedimiento de acceso seguro de terceros a la información y auditoría.
• Cumplimiento de SLA.
• Inclusión de requisitos de seguridad de la información en los contratos del cloud.

●      Operaciones:

• Política y procedimiento de control de cambios en los sistemas e infraestructura de las TIC del cloud, incluyendo la reevaluación de riesgos para la SI.
• Política de acceso remoto al cloud.
• Procedimientos operativos de los sistemas de información del cloud.
• Segregación de entornos cloud: operación, desarrollo, pruebas…
• Controles de seguridad de la información aplicados a los sistemas y la red y certificación (p. ej. ISO/IEC 27001) por parte del proveedor cloud.
• Controles antimalware aplicados en los sistemas del cloud.
• Bastionado/hardening de seguridad de la información de los sistemas proporcionados por el cloud.
• Política y procedimiento de realización de backups (copias de seguridad) de la información y los sistemas del cloud.
• Registros de auditoría de SI en los sistemas y aplicaciones del cloud, y monitorización por parte del proveedor.
• Controles de seguridad en el desarrollo de software y estándares aplicados (p. ej. OWASP) por el proveedor cloud.
• Revisiones de seguridad de la información y tests de intrusión (pentesting) en los nuevos desarrollos de software realizados por el proveedor.
• Actualización y parcheado de seguridad de la información de los sistemas y aplicaciones del cloud.
• Medidas de seguridad anti-DDoS del cloud.
• Controles de seguridad para asegurar el aislamiento (máquinas virtuales y físicas, almacenamiento, red, etc.).
• Continuidad de las operaciones de negocio si falla el cloud.
• Controles específicos de seguridad para PaaS, IaaS y SaaS.

●      Gestión de accesos e identidad:

• Autorización: gestión de privilegios, segregación de funciones, RBAC, etc.
• Provisión de identidades: mecanismos, políticas y procedimientos, etc.
• Cifrado de datos en almacenamiento y tránsito.
• Autenticación: mecanismos, políticas y procedimientos, etc.

●      Gestión de activos:

• Inventario.
• Clasificación y tratamiento de la información.

●      Portabilidad de datos y servicios:

• Procedimientos y mecanismos tales como API.
• Formatos estandarizados e interoperables.

●      Continuidad de negocio:

• Plan documentado que contemple los procedimientos de contingencia, RPO, RTO, etc.
• Procesos de restauración y comunicación a clientes de interrupciones.
• Roles y responsabilidades documentadas.

●      Respuesta ante incidentes:

• Procedimiento de respuesta y gestión.
• Capacidades.

●      Seguridad física:

• Procedimiento de acceso físico y registro.
• Controles de seguridad física implementados.

●      Controles medioambientales:

• Incendios.
• Inundación.
• Terremotos.
• HVAC en data centers.

●      Cumplimiento de normas y regulaciones de Seguridad de la Información: RGPD, ENS, etc.

La seguridad cloud trata de identificar, monitorizar y responder a los riesgos específicos de seguridad de la información derivados del uso del cloud computing, de una manera similar a cuando la información y los sistemas están en el Data Center de las organizaciones, adaptando normas (p. ej. ISO 27001) y asegurando el cumplimiento de las regulaciones (RGPD, ENS…).