¿Qué es Cloud Security?

Cloud security recomendaciones

Cloud Security o “seguridad en la nube” se refiere a una forma más ágil de realizar actividades de prevención, detección y resolución de las diferentes temáticas relacionadas con seguridad de la información en ambientes “Cloud”. Esto, gracias a que la gran mayoría de infraestructura física se encuentra localizada en centros de datos en todo el mundo, lo que permite a las organizaciones enfocarse en temas más sensibles como la protección de información ante robos, filtración de datos o eliminación y no centrarse en mantener y sostener complejos esquemas de Hardware.

Cloud security

¿Cómo se brinda el “Cloud Security”?

La seguridad en la nube posee varios métodos de despliegue:

  • Firewalls
  • Penetration testing
  • “Data obfuscation” o Anonymizadores
  • Tokenización
  • VPN
  • Limitación de uso de canales públicos de Internet
  • Análisis exhaustivo de datos
  • Entre otros…

Pero también se debe tener en cuenta que existen amenazas, tales como violación de datos (Data Breaches), Pérdida de información o Data Loss, Account hijacking (secuestro de cuentas), Service traffic hijacking, APIs inseguras, mala elección de proveedores de Cloud y ataques DDoS. Por esto, las organizaciones deben implementar completos y adecuados esquemas de seguridad, haciendo uso de todos los métodos existentes de despliegue de Cloud Security.

Cloud en Colombia y Latinoamérica

En los últimos años se ha visto un mayor auge en el crecimiento que las organizaciones de América Latina han tenido con respecto a temas de Nube. Muchas empresas del sector bancario, por ejemplo, han comenzado a pasar muchos de sus servicios críticos a infraestructuras de nube con diferentes proveedores, principalmente AWS de Amazon o Azure de Microsoft. Sin embargo, esta no es una tarea que sea fácil de seguir; por ejemplo, según el MINTIC en Colombia deben tenerse en cuenta diferentes aspectos que se adhieren a la filosofía, objetivos y funciones de cada entidad, además de seguir las instrucciones plasmadas en la circular 005 de 2019 “Uso de servicios de computación en la Nube”. Es necesario para las empresas realizar un buen análisis de riesgos y revisar la estrategia de TI para definir de la siguiente lista, lo que puede o no migrarse a este tipo de ambientes:

  • Datos
  • Servicios
  • Aplicaciones
  • Funcionalidades o procesos

Adicional, se debe hacer un análisis en cuanto a integridad, disponibilidad y confidencialidad de la información que se subiría parcial o totalmente a la nube. Para esto es necesario que las entidades hagan una auto-evaluación donde se pregunten qué impacto tendría la entidad si:

  • El activo estuviera expuesto públicamente
  • Un funcionario del tercero o proveedor accediera al activo
  • Un proceso fuera modificado por un externo
  • Un proceso o alguna de sus funciones entregaran resultados erróneos
  • Si la información o datos fueran modificados de manera inesperada
  • Si se presentaran fallas de disponibilidad

La respuesta a cada una de estas preguntas, permitirá una definición y segmentación específica de la información para tener muy claro que debe migrarse. Sin embargo hay muchos más aspectos que se deben tener en cuenta, no solo datos, servicios, aplicaciones o información hace parte del proceso. Se debe tener muy claro el concepto de Cloud Computing, al que el NIST (National Institute of Standards and Technology) define como un conjunto de características, 3 modelos de servicio Cloud y cuatro modelos de despliegue para Cloud:

Modelos servicio cloud

Además, se deben validar puntos claves como el ciclo de vida de la seguridad de los datos, localización y acceso de los datos, funciones – actores – controles de la información, Subcontratación, gobierno de la información, protección de los datos (cifrado, Data loss prevention, monitorización en BD, almacenamiento con privacidad, DRM [Digital Rights Management]) y aspectos generales de la seguridad de la información.

Para finalizar

En definitiva, la Nube pasó de ser un futuro muy cercano a ser una realidad del presente para la mayoría de las entidades a nivel global. Pero supone nuevos retos y riesgos que asumir, así como un cambio radical en la forma en que los grandes fabricantes y proveedores venden y ofrecen sus servicios, ya que la visión se enfoca en el servicio y no en el producto como tal.

Sin embargo, la transición no es fácil. La exposición de la información, dependiendo del modelo de despliegue y los modelos de servicio elegidos por cada compañía, puede llegar a ser crítica. Adicional, es necesario que cada entidad entienda la importancia de elegir un buen proveedor de Nube, que cumpla con todos los requisitos físicos, lógicos y de gobierno para sostener todo lo que un servicio, grupo de servicios y/o grupos de aplicaciones requiere.

Además, es necesario que las empresas conozcan el detalle técnico y entiendan completamente las regulaciones, estándares y obligaciones a las que están expuestas cuando se migran a una Nube. Es por esto por lo que es necesario que se asesoren con los mejores canales y proveedores disponibles en sus respectivas regiones.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.