Continuamos con la segunda parte de este análisis que aborda el tema de la nube y desarrolla conceptos sobre la seguridad e implementación de esta clase de herramientas tecnológicas.
Por Gigi Agassini, CPP*
En la primera parte de este artículo, publicado en la edición anterior, destacamos el nacimiento de la nube, su desarrollo, los modelos de servicio y algunos conceptos actuales. Ahora es tiempo de ver los modelos de implementación para la computación en la nube y los riesgos a tener en cuenta en la adopción de esta tecnología.
Como se menciona en la definición del NIST (Instituto Nacional de Estándares y Tecnología), existen cuatro modelos de implementación para la computación en la nube:
1. Nube privada. En este modelo de implementación, la infraestructura de la nube se aprovisiona para que la use una sola organización, compuesta por muchos consumidores, por ejemplo, unidades comerciales.
2. Nube pública. Esta infraestructura en la nube está aprovisionada para uso abierto por parte del público. El proveedor de la nube pública puede ofrecer un número limitado de opciones de configuración, como ubicación de datos, niveles de servicio y rendimiento, copias de seguridad y recuperación ante desastres.
3. Nube comunitaria. Este modelo de implementación en la nube sirve a una comunidad de consumidores de organizaciones que comparten intereses. Puede ser alojado y administrado por un miembro de la comunidad o por un tercero.
4. Nube híbrida. Una nube híbrida es simplemente una combinación de dos o más infraestructuras de nube distintas (privada, pública, comunitaria) unidas para lograr la portabilidad de datos o procesamiento entre el elemento.
Aunque la nube privada virtual no se menciona específicamente en la lista del NIST como modelo de implementación, existe el concepto de nube privada virtual (VPC) que vale la pena definir. VPC es un conjunto de recursos asignados dentro de una infraestructura de nube pública, pero con suficiente aislamiento de otros usuarios de la nube pública como para imitar las características de la infraestructura de nube privada.
Riesgos en la Nube
Si bien la nube ofrece numerosos beneficios, también conlleva ciertos riesgos que las organizaciones y los individuos deben tener en cuenta al adoptar esta tecnología, en los que se encuentran:
- Seguridad y privacidad de los datos
- Disponibilidad y tiempo de inactividad
- Cumplimiento normativo y legal
- Fugas de datos y pérdida de control
- Costos imprevistos
- Bloqueo de proveedor
- Latencia y rendimiento
- Gobernanza y control
Todos los riesgos mencionados pueden mitigarse con una planificación y gestión adecuadas, incluyendo la elección cuidadosa de proveedores de servicios en la nube, la implementación de medidas de seguridad sólidas y la comprensión completa de los términos del contrato. Sin embargo, aún existen muchas dudas sobre la seguridad que ofrece la nube, lo que merma la confianza en la misma.
Lo cierto es que la seguridad en la nube se refiere a las capas de protección y medidas que se implementan para salvaguardar los datos, las aplicaciones, los recursos, su entorno, certificaciones y todo esto tendrá variaciones según el proveedor, tipo de servicio entre otros. No olvidemos que la seguridad en la nube es una responsabilidad compartida entre el proveedor de servicios en la nube y el cliente.
Pero ¿qué hay acerca de la nube y la ciberseguridad? Tantos reportes que hablan de los diferentes ataques cibernéticos y brechas de seguridad que solo crecen desmedidamente a nivel mundial, lo que genera muchas dudas y poca confianza en la seguridad de migrar a la nube o comenzar con este proceso.
Implementar un programa de gobernanza, riesgo y cumplimiento (GRC por sus siglas en ingles) a veces se considera como burocracia que se interpone en el trabajo de ciberseguridad, sin embargo, ayuda a sentar las bases para el cumplimiento de objetivos de seguridad.
Los tres componentes de la ciberseguridad (personas, procesos y tecnología), con un enfoque programático y escalable son esenciales por lo que un programa eficaz de GRC ayudará a alcanzar el objetivo y garantiza se adopte una visión holística en la tan interminable misión de la ciberseguridad.
Aunque la gobernanza, el riesgo y el cumplimiento a menudo se consideran funciones separadas, existe una relación simbiótica entre ellas. El gobierno establece la estrategia y los barandales para cumplir con los requisitos específicos que alinean y respaldan el negocio. La gestión de riesgos conecta controles específicos con la gobernanza y los riesgos evaluados, y proporciona a los líderes empresariales la información que necesitan para priorizar los recursos y tomar decisiones informadas sobre los riesgos. El cumplimiento es la adhesión y el seguimiento de los controles a los requisitos de gobierno específicos y con un monitoreo continuo, se cierra el ciclo de retroalimentación con respecto a la gobernanza efectiva. La arquitectura, la ingeniería y las operaciones de seguridad se construyen sobre la base de GRC.
Sin un programa de GRC, la gente tiende a centrarse únicamente en la tecnología y los procesos básicos. La amplitud y profundidad de un programa GRC varía con cada organización. Independientemente de su simplicidad o complejidad existen oportunidades para transformar o escalar ese programa para la adopción de servicios en la nube, tecnologías emergentes y otras innovaciones futuras.
Sin embargo existen básicos que debe cumplir cada parte del programa de GRC, la gobernanza debe identificar los requisitos de cumplimiento, llevar a cabo la evaluación del programa y actualizar y publicar políticas, procesos y procedimientos; mientras que la gestión de riesgos debe realizar una evaluación de riesgos usando modelos de amenazas preestablecidos que pueden ayudar a simplificar el proceso de evaluación de estos, tanto inicial como de actualización, debe redactar planes de riesgo, autorizar sistemas e incorporar información sobre riesgos en las decisiones; por último el cumplimiento debe supervisar el cumplimiento de políticas, estándares y controles de seguridad, autoevaluarse continuamente, responder a eventos y cambios en el riesgo y comunicar eventos y cambios al riesgo.
La gobernanza debe estar basada en objetivos y capacidades, incluyendo el contexto de riesgo en la toma de decisiones y automatizar el monitoreo y la respuesta.
No olvides que la nube ha habilitado tecnologías emergentes como el Internet de las Cosas (IoT), el análisis de datos a gran escala, el aprendizaje automático y más, a medida que avanza el tiempo, es probable que la nube continúe evolucionando para abordar nuevos desafíos y oportunidades en el mundo de la tecnología y los negocios.
Ha ayudado a compañías e individuos a convertir los costos de infraestructura de un gran gasto de capital, por adelantado, a un costo operativo de “pago por uso”. Permitió que muchas nuevas empresas despegaran rápidamente mientras reducían la cantidad de efectivo requerida para configurar la infraestructura inicial. Las empresas que adoptan un modelo de computación en la nube cambiarán los costos de capital iniciales (CAPEX) por costos operativos recurrentes (OPEX).
En resumen, la computación en la nube es una alternativa a la instalación y mantenimiento de los recursos de tu infraestructura informática física. Existen diferentes modelos de servicio y diferentes modelos de implementación, cada uno de los cuales cumple con un conjunto distinto de requisitos y restricciones.
La ciberseguridad y la nube están inextricablemente unidas en el mundo digital actual. A medida que más empresas y personas adoptan servicios en la nube, es fundamental reconocer los riesgos y las oportunidades asociadas. La implementación de prácticas sólidas de ciberseguridad, como la autenticación multifactor, la encriptación de datos y la concienciación del usuario, es esencial para garantizar la integridad y la confidencialidad de nuestros datos en este entorno en constante cambio. Al abrazar la innovación tecnológica y mantener un enfoque proactivo hacia la ciberseguridad, podemos proteger mejor nuestro futuro digital en la nube.
Si aún sigues pensando en migrar a la nube, investiga e infórmate bien sobre los proveedores, servicios y niveles de seguridad que vayan acorde a las necesidades del negocio, o tuyas como individuo. Explora las soluciones en la nube y comienza a usarlas; siempre es un buen momento para hacerlo.
¡Hasta la próxima!
* Gigi Agassini, CPP
Consultora Internacional de Seguridad
GA Advisory
[email protected]
