Público en general
Público especializado

Servicios en la nube (cloud)

POR Unidad de Riesgos y Seguridad, urs.ci@ucr.ac.cr

Los Servicios en la Nube (cloud) ofrecen servidores virtuales, almacenamiento y tecnología fácil y funcional a diferentes organizaciones y empresas para sus procesos, con acceso a la información en forma más rápida, segura y confiable, con recursos que de otra forma podrían no estar al alcance de ellas. En los servicios en la nube, se permite almacenar y administrar datos en servidores remotos, el acceso desde cualquier lugar y cualquier dispositivo, la unificación de recursos, tener directorios compartidos o trabajar de forma colaborativa, con una implementación rápida, evitando construir o mantener infraestructuras propias en las organizaciones, abaratando los costos.

Al tener servicios en la nube, es importante una buena gestión de los recursos de almacenamiento, por lo que las organizaciones deben tener una política de clasificación de información que indique qué tipo de información puede subirse a la nube y cuál no, contando con una normativa interna para el tratamiento y cifrado de la información crítica, sensible y estableciendo procedimientos para aplicar otras medidas de seguridad, como respaldos o borrados seguros de información.

Normalmente los servicios ofrecidos son: software como servicio, plataforma como servicio e infraestructura como servicio, además de nubes privadas, públicas, híbridas y comunitarias, ofreciendo diferencias en beneficios y riesgos.

  1. Seguridad en la nube

Suele regirse por un modelo de responsabilidad compartida en el que el proveedor de servicios en la nube es responsable de gestionar la seguridad de la infraestructura subyacente y el cliente es responsable de gestionar la seguridad de sistemas operativos, usuarios, aplicaciones, datos, entre otros. Cuando una organización elige guardar datos o utilizar la nube para alojar su aplicación delega, en parte, el control de los servidores en el proveedor nube; como resultado, la información sensible y confidencial podría estar en riesgo si no se toman precauciones.

Una forma de obtener las garantías de seguridad del proveedor es revisando y teniendo claro los contratos y los acuerdos de nivel de servicio, donde se especifica, además de certificados y sellos que ha de tener el proveedor, otros aspectos operativos, como qué tipo de monitorización de seguridad realiza el proveedor o los chequeos de control de acceso, las garantías de aislamiento de datos y quién hace las copias de seguridad o las actualizaciones del software y en qué momento.

Los recursos en la nube están expuestos a amenazas de ciberseguridad como lo son: filtraciones de datos, ransomware, ataques DDoS (denegación de servicio distribuida) o phishing (correos electrónicos fraudulentos). Los ciberatacantes podrían explotar fallos de seguridad o malas configuraciones utilizando credenciales robadas o malware para perpetrar ataques, interrumpir servicios o robar datos confidenciales. Contar con sistemas y prácticas de seguridad en la nube sólidos es fundamental para mantener la disponibilidad de las aplicaciones vitales para la organización, proteger la información confidencial y garantizar el cumplimiento de la normativa.

 

  1. Recomendaciones de seguridad

 

Las prácticas de seguridad en la nube son similares en muchos aspectos a las prácticas en redes y sistemas tradicionales, incluyendo aspectos específicos relativos al proveedor:

  • Clasificar y cifrar la información.
  • Contar con protección contra el malware.
  • Tener una política de permisos.
  • Definir los servicios nube o cloud permitidos.
  • Utilizar una contraseña robusta y Múltiple Factor de autenticación (MFA).
  • Conocer la política de seguridad y privacidad del proveedor.
  • Comprobar que el proveedor incorpora mecanismos que permitan la trazabilidad de los accesos y las modificaciones de la documentación almacenada.
  • Disponer de mecanismos que permitan realizar copias de seguridad.

La seguridad en la nube debe proteger la integridad, confidencialidad y disponibilidad de las aplicaciones, los datos y la infraestructura contratada, con independencia del modelo de despliegue o del tipo de servicio, por lo que se recomienda tomar en cuenta:

  • Proteger la consola de gestión en la nube y las cuentas de administración de aplicaciones para administrar cuentas, configurar servicios, resolver problemas y monitorizar el uso y la facturación. Las empresas deben controlar y supervisar el acceso con privilegios a la consola de gestión en la nube para evitar los ataques y la filtración de datos.
  • Proteger la infraestructura virtual. Los servidores virtuales, los almacenes de datos, los contenedores y otros recursos en la nube también son un objetivo común de los ciberdelincuentes, por lo que las empresas deben establecer sistemas y prácticas de seguridad sólidos para evitar el acceso no autorizado a la serie de comandos para ejecutar tareas (scripts) de automatización y las herramientas de aprovisionamiento de la nube.
  • Formar y concienciar al personal de la organización en el uso seguro de la nube, para realizar un mejor uso de las aplicaciones y los programas de la nube, conociendo los riesgos que supone el uso inadecuado de esta tecnología.

Fuente: https://www.incibe.es/protege-tu-empresa/tematicas/cloud