Seguridad en la nube: qué preguntarse antes de establecer reglas

Por Lysa Myers, Security Researcher de ESET

Somos lo que comemos. Y la experiencia con los servicios en la nube reflejan esta misma realidad: son lo que haces de ellos. Esto requiere de cierta dedicación para evaluar riesgos, la misma que necesitas para los activos que se ubican en tu red.

¿qué tan seguro es?

¿Cómo reaccionarías si alguien te dijera que “La Nube” no puede ser vulnerada o que protege tu información de manera automática? Pues, mi reacción, ante todo, sería escéptica, como si algo no oliera bien. Pero independientemente de mi olfato entrenado para identificar cosas absurdas, sigue habiendo una gran cantidad de malos consejos dando vueltas, y cuando se trata de “la nube” … hay poco futuro.

La realidad es que los servicios en la nube no pueden ser vistos como alguna especie de fortaleza de seguridad mágica que puedes invocar cada vez que quieres profundizar la seguridad de tus datos. Solo pueden ser lo que tu hagas de ellos, es decir que deberías abordarlos con el mismo nivel de cuidado que lo harías con cualquier otra información localizada en tu red, a la hora de evaluar riesgos.

Cuando consultas a tus proveedores sobre qué es exactamente lo que hacen para asegurar sus servicios, deberás abordar la cuestión con tenacidad. Presta atención a sus políticas y procesos de seguridad. Sé específico acerca de cuáles son sus responsabilidades y que planeas hacer por tu parte para proteger tu compañía.  

Política de seguridad – dudas sobre la nube

 

 

  • ¿Qué tipos de servicios en la nube vas a utilizar?

¿Vas a hacer uso de la nube únicamente para almacenar archivos, para hospedar aplicaciones de software, o para hospedar máquinas virtuales?

  • ¿Cómo van a ser implementados estos servicios?

Tu nube puede desplegarse de manera pública, privada, o algo intermedio, dependiendo de tus necesidades específicas y tolerancia al riesgo.

  • ¿Qué tan sensible es la funcionalidad o información que hospedará?

Ten en cuenta que la nube es otra manera de decir “la computadora de un tercero”. Cuantifica el riesgo que significaría para tu organización si este proveedor experimentara una brecha o dejara de existir.

  • ¿Quién tendrá acceso a esta funcionalidad?

De acuerdo con el Principio del Menor Privilegio, puede suceder que no todos tus usuarios requieran acceso a la nube para realizar su trabajo de forma efectiva.

  • ¿Qué requisitos de cumplimiento regulatorio o legal debes considerar?

Cada industria mantiene su propia relación con el entramado de regulaciones nacionales e internacionales de seguridad de la información. Aquello que podría funcionar para una industria minorista quizá no sea suficiente para un negocio legal o financiero, por ejemplo.

  • ¿Qué necesita estar incluido en una política de uso aceptable para tus usuarios?

El entrenamiento y la educación son cruciales para asegurar que se están siguiendo las mejores prácticas. Éstas deberían ser clarificadas de forma explícita para los servicios en la nube, de manera que los usuarios conozcan qué constituye un comportamiento seguro.

  • ¿Cuáles serán las consecuencias de no adherir a las mejores prácticas?

Esto aplica tanto a los proveedores como a los usuarios de la nube. Si bien es probable que el proveedor sea penalizado como resultado de la existencia de acuerdos de nivel de servicio, debería también quedar en claro para todos los involucrados qué sucedería cuando no se adoptan las responsabilidades a seguir para salvaguardar la información.

Procedimientos de seguridad 

Una vez definidos tus objetivos de servicios en la nube, puedes comenzar a conversar con los proveedores acerca de sus políticas y procesos. Puede recabarse cierta inspiración de un documento sobre políticas en la tecnología de la nube, que también contiene una extensa lista de preguntas que se encuentran el sitio de Gulf Cooperation Council eGovernment. Aquí hay una lista de potenciales temas a considerar.

  • El proveedor, ¿realiza auditorías externas de manera regular?
  • ¿Cuál es su política sobre actualizaciones y parches?
  • ¿Cuentan con productos anti-malware o de detección de intrusiones en sus máquinas?
  • ¿Qué tipo de autenticación está disponible con su servicio?
  • ¿Qué tipo de controles están disponibles para administrar el control de accesos de sus cuentas de usuarios?
  • ¿Está disponible el cifrado del tráfico desde y hacia la nube, o en almacenamiento?
  • ¿Cómo se protegerán los derechos de propiedad intelectual relacionados a la información almacenada en sus servidores?
  • ¿Qué tipos de alertas y reportes de eventos están disponibles para ti?
  • ¿Cómo están segmentados los recursos para clientes entre sí?
  • ¿Con qué regularidad realizan y prueban copias de backup, y cómo se almacenan?
  • ¿Cuentan con alguna política de respuesta a incidentes establecida?
  • ¿Tienen publicada una política de revelación responsable?
  • ¿Tienen un registro de eventos que permita un análisis forense en caso de algún incidente de seguridad?
  • ¿En qué país están localizados sus servidores?
  • ¿Cuáles son sus políticas en relación a la movilidad y retención de los datos?
  • ¿Qué opciones hay disponibles para el borrado seguro o la destrucción de los datos?

Si haces tus deberes antes de lanzarte directamente a la fase de implementación, fácilmente podrás evadir la falta de claridad en el proceso, así como otras cuestiones. La capacidad de acceder a archivos y utilizar servicios desde cualquier lugar conectado a internet es significante, y puede llevar tanto a la llegada de nuevas amenazas a tu ecosistema, como a convertirse en una oportunidad para adquirir servicios de un partner confiable, desembocando en una mejora general de tu desempeño.