Mejores prácticas de seguridad en la nube
Seguridad en la nube
A la hora de implementar y operar en un entorno en la nube, las organizaciones y empresas deberán tener en cuenta una serie de riesgos que pueden aparecer. Para eliminar en la medida de lo posible estos eventos no deseados, existen una serie de buenas prácticas a través de las cuales mantener la seguridad en la nube, también denominada cloud.
Modelos destacados de servicios cloud
- Software como servicio, también conocido como SaaS. Los proveedores de SaaS ofrecen aplicaciones de software con las que operar a través de internet.
- Infraestructura como servicio o IaaS. Los proveedores de IaaS ofrecen servicios de infraestructura de TI. Entre ellos se incluyen servidores, centros de datos, almacenamiento y redes a través de Internet.
- Plataforma como servicio, también denominado PaaS. Los proveedores de PaaS ofrecen la plataforma y las herramientas necesarias para desarrollar aplicaciones de software.
Modelos de implementación cloud
- Público. Este modelo, como su nombre indica, está disponible para el público. Los datos se crean y se almacenan en la infraestructura del proveedor de servicios, que será el que administre los recursos del grupo. Estos recursos pueden ser gratuitos o de pago y podrán utilizarse a través de internet.
- Privado. Como sugiere su nombre, esta opción consiste en recursos disponibles en la nube utilizados exclusivamente por una empresa u organización concreta. Puede estar alojado en las propias instalaciones o por un proveedor, pero los servicios y la infraestructura siempre se mantienen en una red privada. Las nubes privadas suelen ser utilizadas por instituciones financieras, agencias gubernamentales y otras organizaciones que requieren un mayor control.
- Híbrido. Esta tercera opción de implementación cloud combina tanto recursos informáticos privados como servicios públicos.
Riesgos potenciales
Estos nuevos modelos comerciales basados en la nube ofrecen un elevado número de beneficios. No obstante, hay que tener en cuenta que también conllevan una serie de riesgos potenciales como los que se enumeran a continuación:
- Financieros, como los sobrecostos y el posible impacto en el retorno de la inversión empresarial (ROI).
- Riesgos de privacidad al confiar datos confidenciales de la organización a un tercero.
- De cumplimiento, ante la incapacidad para cumplir con las obligaciones contractuales, legales y reglamentarias.
- De seguridad, como pueden ser en el acceso y una mala configuración.
- Riesgos relacionados con el rendimiento y la calidad.
- Técnicos, como la incapacidad de la empresa para adaptarse a las nuevas tecnologías, incompatibilidad y otras limitaciones relacionadas con la personalización.
Mejores prácticas de seguridad cloud
Existen una serie de buenas prácticas que pueden ayudar a su empresa u organización a administrar y mitigar los posibles riesgos en la nube. A continuación, se describen las más relevantes:
- La estrategia cloud que se desarrolle tendrá que estar alineada con la estrategia comercial de la organización.
- Elegir de manera razonada al proveedor de servicios en la nube que mejor se adapte a las necesidades de la organización. Para ello, se pueden realizar evaluaciones de riesgo de proveedores en relación a la claridad contractual, ética, responsabilidad legal, viabilidad, seguridad, cumplimiento, disponibilidad, resiliencia comercial, etc.
- Adoptar el modelo de implementación y entrega de servicios cloud que facilite la consecución de los objetivos comerciales de la organización. Esto optimizará el valor de la inversión en la nube.
- Comprender el modelo de responsabilidad de seguridad compartida que divide dicha responsabilidad entre la propia organización y el proveedor de servicios cloud. El modelo difiere según el proveedor, por lo que es necesario definir los límites de cada uno en materia de seguridad.
- No almacenar las claves de cifrado en el mismo lugar en que se encuentren los datos. Como alternativa pueden considerarse varios métodos. Una de las opciones más extendidas es almacenar las claves en las instalaciones mientras que los datos están en la nube.
- Establecer una evaluación de riesgos de manera cíclica y de extremo a extremo del proyecto de nube a lo largo de todo su ciclo de vida.
En último término puede decirse que para mitigar los posibles riesgos cloud, además de tener en cuenta los elementos anteriormente descritos, será necesario supervisar y probar de manera continua.
Software para ISO/IEC 27001
La norma ISO/IEC 27001 para la gestión de la seguridad de la información es un estándar internacional. Dicha norma, junto al resto de la familia que la componen, proporciona todos los requisitos necesarios para implementar un Sistema de Gestión de Seguridad de la Información en el interior de su empresa u organización.
Podrá hacerlo de forma intuitiva y segura gracias al Software ISOTools. Esta plataforma tecnológica para ISO/IEC 27001 proporciona la información necesaria acerca de las cuestiones que nos evocan al implementar un Sistema de Gestión de Seguridad de la Información en la compañía.