Guía esencial para la seguridad en la nube: riesgos, estándares, políticas y prácticas recomendadas

By Andy Marker | 19 Julio 2019

La computación en la nube se ha convertido en la nueva normalidad, ya que proporciona disponibilidad bajo demanda y de bajo costo de recursos digitales a través de Internet. Conozca los consejos más útiles para minimizar los riesgos de seguridad en la nube y maximizar los beneficios de la computación en la nube.

En esta página encontrará detalles sobre los desafíos de seguridad de las soluciones en la nube, una comparación entre la seguridad en la nube y la seguridad de TI tradicional, información sobre la arquitectura de seguridad en la nube y mucho más.

¿Qué significa la seguridad en la nube?

La seguridad en la nube es similar a la seguridad de TI tradicional, pero se centra en las políticas y controles empleados para proteger los datos, las aplicaciones de software y la infraestructura de computación en la nube asociada.

La computación en la nube se remonta a la década de 1960. La adopción generalizada de servicios en la nube en la actualidad en la vida empresarial y personal ha impulsado la necesidad de prácticas y controles seguros sólidos.

¿Qué es un modelo de seguridad en la nube?

La computación en la nube se incluye en varias opciones de implementación (llamadas modelos), incluida la nube pública, privada e híbrida. En el diagrama siguiente, puede encontrar la información específica de gestión de la nube asociada a cada modelo de implementación:

Modelo de implementaciónDescripciónUsuarios objetivoCaso de usoBeneficios
Nube pública

Los proveedores de servicios en la nube de terceros (como Microsoft, Amazon y Google, los tres más populares) son propietarios de estos recursos (es decir, hardware, software e infraestructura). Las empresas comparten estos recursos con otras organizaciones.

Desarrolladores de software y evaluadoresSe utiliza comúnmente para correo electrónico, aplicaciones de oficina y almacenamiento

  • Bajo costo/asequible
  • Sin mantenimiento
  • Escalable
  • Bajo demanda
  • Altamente fiable
Nube privadaUna sola empresa es propietaria de estos recursos, que un proveedor de servicios de terceros o el centro de datos de la organización pueden hospedar.Instituciones gubernamentales y financierasSe utiliza comúnmente para cargas de trabajo sensibles en sectores altamente regulados
  • Flexible para satisfacer necesidades específicas de la empresa
  • Alta seguridad controlada
  • Nube híbrida escalable
Nube híbridaEste modelo de implementación distribuye las cargas de trabajo entre la infraestructura de nube pública y privada. Las aplicaciones comparten recursos y son interoperables entre la nube pública y privada, según las necesidades de seguridad y rendimiento.Entidades que sirven a varias organizaciones con diferentes regulaciones y requisitos de seguridadComúnmente utilizada por empresas emergentes que tienen requisitos inconsistentes y desconocidos y proveedores de servicios de TI con una variedad de clientes
  • Altamente controlada
  • Flexible para satisfacer la infraestructura privada y pública según sea necesario
  • Escalable

Para aquellos que usan diferentes nubes para diferentes tareas, también están disponibles modelos de múltiples nubes. A diferencia de la nube híbrida, las soluciones de múltiples nubes sirven a organizaciones que utilizan una variedad de servicios de nube pública diferentes de diferentes proveedores. Una organización también puede tener una infraestructura de nube privada e incluso una infraestructura en las instalaciones. Utilice cada uno de estos entornos para su propio propósito independiente y silo. La nube híbrida, por otro lado, siempre incluye la infraestructura de nube pública y nube privada que funcionan juntas y se entremezclan. 

Las personas u organizaciones de sectores empresariales específicos que tienen preocupaciones similares en lo que respecta a privacidad, seguridad y cumplimiento comparten lo que se conoce como nube de la comunidad. Tales organizaciones incluyen bancos, hospitales y agencias gubernamentales. 

La diferencia entre la seguridad en la nube y la seguridad de TI tradicional

La TI tradicional y la tecnología en la nube se enfrentan a la misma exposición al robo de datos, las filtraciones y las interrupciones. La principal diferencia entre las dos tecnologías es que los recursos de computación en la nube son más abstractos que el hardware, los servidores y el software tradicionales en las instalaciones. 

La infraestructura tradicional de TI abarca la compra, instalación y gestión interna de hardware, software y otros elementos de infraestructura dedicados. Con la infraestructura de TI tradicional, tiene un control local total de los datos, las aplicaciones y la infraestructura de su empresa, lo que crea un sistema aparentemente seguro. A medida que crezca su organización y aumenten los requisitos de almacenamiento de datos, comprará hardware adicional para satisfacer sus necesidades de capacidad. Los entornos de TI tradicionales permiten una conexión entre los dispositivos de hardware y los servidores ubicados en su centro de datos local y dependen de modelos de seguridad perimetral.

La computación en la nube es abstracta en comparación con la infraestructura tradicional de TI. Los recursos de computación en la nube no son físicamente accesibles ni en las instalaciones. La nube ofrece una solución virtual que permite a las empresas lograr un alojamiento externo alquilando espacio en el servidor de un proveedor de servicios en la nube. Este acuerdo pone al proveedor de servicios en la nube a cargo de la seguridad. Puede acceder a entornos de computación en la nube mediante las interfaces de programación de aplicaciones (API). Las API permiten la comunicación entre sus dispositivos y los servidores en la nube. El entorno de nube es tan seguro como estas API. Aunque la seguridad tradicional y en la nube dependen de métodos similares, la infraestructura de nube cada vez más compleja y las amenazas de seguridad cada vez más sofisticadas están forzando una transición fuera de la seguridad perimetral y hacia la informática en la nube que utiliza métodos de autenticación y cifrado más sólidos. 

Los contrastes entre la nube y la tradicional pueden hacer que la computación en la nube parezca injustamente insegura, pero con las precauciones adecuadas y el proveedor adecuado de servicios en la nube, los beneficios de la computación en la nube superan a los riesgos, lo que hace que la seguridad en la nube sea inconcebible para la mayoría de las organizaciones.

¿Qué tan segura es la nube?

Los servicios en la nube se han vuelto muy comunes, pero las preocupaciones de seguridad siguen siendo lo más importante. Mantener la seguridad, la disponibilidad y la privacidad es fundamental para las empresas. Los centros de datos en la nube suelen estar atendidos por expertos en seguridad en la nube, auditados por organizaciones de terceros y mantenidos según políticas y estándares estrictos. Muchos de estos centros cumplen con la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y la interconexión de componentes periféricos (PCI) y siguen las Declaraciones sobre los estándares para las contrataciones de certificación (SSAE). Estos proveedores de servicios en la nube se han comprometido con requisitos de seguridad sólidos y han probado su capacidad para proteger la información confidencial.

¿Por qué es tan importante la seguridad en la nube?

Dado que el gasto para la computación en la nube sigue aumentando, la seguridad en la nube es más importante que nunca. Según la encuesta State of the Cloud de RightScale, el 96% de los profesionales de TI utilizan la nube. Se espera que el gasto en nube pública de las empresas crezca de manera rápida y significativa. 

Los proveedores de servicios en la nube son un objetivo para los hackers. A continuación, se presentan las principales amenazas de seguridad en la nube a las que se enfrentan estos proveedores, según Cloud Security Alliance® (CSA):

  • Filtraciones de datos
  • Insuficiente gestión de identidad, credenciales y accesos
  • Interfaces y API inseguros 
  • Vulnerabilidades del sistema
  • Secuestro de cuentas
  • Información privilegiada malintencionada
  • Amenazas persistentes avanzadas (APT)
  • Pérdidas de datos
  • Debida diligencia insuficiente
  • Abusos y usos nefastos de los servicios en la nube
  • Ataques de denegación de servicio (DDoS)
  • Problemas de tecnología compartida

Otras amenazas de seguridad incluyen:

  • Ransomware, como BadRabbit 
  • Minería de monedas 
  • Criptojacking 
  • Troyanos, como Dridex, Trickybot, Zbot y Emotet 
  • Problemas de seguridad de Windows, como EternalBlue 
  • Grisware 
  • Hackers “viven de la tierra” 
  • Malware, como Petya/NotPetya, que aprovecha las actualizaciones de software y aprovecha los defectos de la CPU y el desglose de las medidas de seguridad, como los problemas de Meltdown, Spectre y un solo punto de falla 
  • Gusanos, como Ramnit 
  • Phishing con lanza 
  • Vulnerabilidades de software sin parchear (conocidas como días cero) 
  • Ataques de ingeniería social
  • Escuchas de red
  • Error humano
  • Credenciales robadas 
  • Abuso por parte de los empleados
  • Negligencia
  • Uso no autorizado
  • Datos no clasificados 
  • Pérdida de datos que se produce cuando un proveedor de servicios en la nube se sale del negocio
  • Personal de TI no capacitado o sobrecargado de trabajo
  • TI en la sombra

Beneficios de la seguridad en la nube

Seguir las prácticas recomendadas de seguridad en la nube e implementar medidas preventivas adecuadas puede proporcionar la tranquilidad de que sus datos y sistemas son seguros, garantizar la visibilidad de las medidas de seguridad, permitirle entregar alertas y prepararse para cuando se produzcan actividades inusuales. Comprometerse con estas prácticas también puede ayudarlo a asegurarse de que tendrá la disponibilidad, la fiabilidad y la seguridad para trabajar sin interrupciones.

¿Quién depende de la computación en la nube?

La flexibilidad, la rentabilidad y la fiabilidad de la computación en la nube lo convierten en un excelente candidato para empresas de todos los tamaños, en todos los sectores verticales. Los líderes y profesionales de TI en empresas, pequeñas y medianas empresas, empresas emergentes, así como en los sectores gubernamental, financiero y educativo, están avanzando hacia la nube a un ritmo rápido. Nombres familiares como Target dependen en gran medida de la computación en la nube. De hecho, Target experimentó un ataque cibernético a gran escala en 2013 debido a las brechas en la seguridad. Los atacantes secuestraron los datos bancarios de 40 millones de clientes y los datos personales de 70 millones de clientes utilizando una técnica llamada RAM scraping.

Responsabilidades del proveedor de seguridad en la nube

Con la rápida demanda de servicios de computación en la nube, los proveedores de servicios están apareciendo por todas partes, ofreciendo una amplia variedad de servicios, como capas de nube, infraestructura como servicio (IaaS), plataforma como servicio (PaaS), software como servicio (SaaS), almacenamiento en la nube, pruebas, integración y aplicaciones nativas de la nube. Los servicios en la nube más populares provienen de nombres conocidos como Amazon, Microsoft, Google e IBM.

La creciente demanda de servicios de computación en la nube está aumentando la demanda de seguridad en la nube. La mayoría de los proveedores de servicios en la nube tienen estándares normativos muy estrictos, herramientas de seguridad accesibles, prácticas para mantener la confidencialidad de los datos y protección contra los ataques DDoS. Al evaluar a los proveedores de servicios en la nube, asegúrese de preguntar a cada proveedor sobre las siguientes medidas de seguridad:

  • Gestión de identidades
  • Seguridad física 
  • Capacitación para el personal
  • Privacidad, confidencialidad, integridad de los datos y control de acceso
  • Continuidad del negocio y recuperación ante desastres
  • Método de cifrado, por ejemplo, basado en atributos (ABE), política de texto cifrado-ABE (CP-ABE), política clave-ABE (KP-ABE), totalmente homomórfico (FHE) o cifrado de búsqueda (SE)
  • Registros y rastros de auditoría
  • Requisitos únicos de cumplimiento, como HIPA

Desafíos de seguridad que conlleva proporcionar soluciones en la nube

Como se mencionó anteriormente, los hackers, el malware y el ransomware son amenazas que vienen con la computación en la nube. Junto con los problemas comunes de seguridad en la nube, surgen desafíos legales y de responsabilidad.

  • La afluencia de información almacenada por los proveedores de servicios en la nube los convierte en objetivos principales de la actividad malintencionada.
  • Los proveedores de soluciones en la nube son responsables de la propiedad intelectual y de los términos que rodean la pérdida de datos o los datos comprometidos.
  • Los requisitos para conservar o incluso proporcionar registros públicos a solicitud pueden poner a los proveedores de servicios en la nube en una posición incómoda.
  • La cantidad de implementaciones en la nube se puede salir de control fácilmente, ya que los requisitos para el almacenamiento de datos e información pueden limitar las oportunidades de cierre. 

La facilidad de acceso y la amplia disponibilidad de las soluciones en la nube también desafían a las empresas y organizaciones. Los empleados pueden aprovechar fácilmente las soluciones y aplicaciones en la nube, lo que hace que los departamentos internos de TI pierdan el control sobre los servicios de TI. La TI en la sombra deja a una organización en riesgo: la organización está en la oscuridad con respecto a los servicios que se utilizan, la ubicación de la información, las personas que tienen acceso y las políticas de seguridad. Estos factores dificultan la aplicación de las políticas de seguridad, lo que deja a una empresa en riesgo de incumplimiento de los mandatos normativos.

Arquitectura de seguridad de soluciones en la nube

El objetivo número uno de todos los proveedores de soluciones y servicios en la nube establecidos es mantener seguros los datos patentados y confidenciales. Los proveedores diseñan y crean soluciones basadas en los requisitos y protocolos para proteger sus datos y la necesidad de ofrecer flexibilidad. Tanto el proveedor de soluciones/servicios en la nube como el cliente son responsables de la seguridad. Los acuerdos a nivel de servicio del proveedor deben indicar el nivel de responsabilidad del cliente. El proveedor de servicios en la nube habrá desarrollado una arquitectura de seguridad en la nube que demuestre cómo está protegida su nube.

¿Cuáles son los estándares de seguridad en la nube?

Los estándares de seguridad en la nube son estándares, controles y instrucciones específicas relacionados con la seguridad que varias organizaciones del sector, incluida la Organización Internacional de Normalización (ISO), la CSA y otras, esbozan y definen para los proveedores de servicios en la nube y los clientes de servicios en la nube.

Estándares y controles de seguridad en la nube

El CSA se dedica a definir y dar a conocer las mejores prácticas de computación en la nube. Además de definir las principales amenazas de seguridad mencionadas anteriormente, han diseñado la matriz de controles en la nube (CCM) de Cloud Security Alliance para proporcionar orientación en todos los dominios de gestión y operaciones. Estos dominios incluyen lo siguiente:

  • Seguridad de aplicaciones e interfaz
  • Auditoría de garantía y cumplimiento
  • Gestión de la continuidad del negocio y capacidad de recuperación
  • Control de cambios y gestión de configuraciones
  • Seguridad de los datos y gestión del ciclo de vida de la información
  • Seguridad del centro de datos
  • Cifrado y gestión de claves
  • Riesgo de gobernanza y gestión de riesgos
  • Seguridad de los recursos humanos
  • Gestión de identidades y accesos
  • Infraestructura y virtualización
  • Interoperabilidad y portabilidad
  • Seguridad móvil
  • Gestión de incidentes de seguridad, disco electrónico y análisis forense en la nube
  • Gestión de la cadena de suministro, transparencia y responsabilidad
  • Gestión de subprocesos y vulnerabilidades

El CCM proporciona un marco de 133 controles que están alineados con los 16 dominios y se centran en disuadir, prevenir, detectar y corregir problemas de seguridad.

Además de la CSA, el Instituto Nacional de Estándares y Tecnología (NIST) es una agencia no reguladora establecida por el Departamento de Comercio de los Estados Unidos para desarrollar estándares del sector que fomentan la innovación. Las directrices de informática en la nube del NIST se publican en la serie 800 de publicaciones especiales (SP) y se aplican a las agencias federales. 

EL NIST proporciona un informe (NIST SP 500-322) que ayuda a calificar un servicio en la nube como alineado con la definición de computación en la nube del NIST (NIST SP 800-145). Este informe proporciona instrucciones para analizar las características esenciales de la computación en la nube, los modelos de servicio en la nube y los modelos de implementación en la nube.

Prácticas recomendadas de seguridad en la nube

La computación en la nube ofrece a las organizaciones muchos beneficios, pero las empresas deben implementar medidas de protección para defenderse de las amenazas. Además de implementar las prácticas recomendadas de CSA y NIST, las organizaciones pueden instituir controles de seguridad adicionales, como los siguientes:

  • Utilizar solo software conocido y de confianza.
  • Comprender las regulaciones de cumplimiento.
  • Administrar el ciclo de vida de las instancias en la nube, aplicando parches y actualizaciones.
  • Supervisar continuamente las filtraciones de seguridad en la nube. 
  • Elegir proveedores de nube calificados para evaluarlos según requisitos estrictos.
  • Asegurarse de que pueda llevar su carga de trabajo a otro proveedor si es necesario.
  • Implementar medidas de seguridad adicionales (además de lo que ofrece el proveedor de servicios en la nube) para protegerse de la infraestructura de la nube comprometida.
  • Utilizar el software de agente de seguridad de acceso a la nube (CASB) y realizar pruebas de vulnerabilidad en la nube utilizando productos de pruebas de exploración y penetración.
  • Reunir un plan de respuesta a incidentes en la nube.
  • Reemplazar cualquier solución de seguridad anterior, incluida la seguridad informática y de red.
  • Considerar DevOps y DevSecOps para integrar la seguridad en los proyectos del equipo de desarrollo.
  • Unificar y centralizar las prácticas de seguridad en todos los servicios en la nube.
  • Mantener una lista completa de todos los activos en la nube.
  • Comprender las mejores prácticas de seguridad en la nube.
  • Capacitar a los empleados sobre la seguridad en la nube.
  • Siga las prácticas recomendadas de seguridad.
  • Seguir para eliminar errores humanos.
  • Asegurar las API correctamente.

Al establecer estándares de seguridad en la nube, puede crear un plan de seguridad de datos para su organización. Esta plantilla personalizable proporciona instrucciones sobre cómo gestionar los datos en las instalaciones y en la nube.

 
Plantilla de plan de seguridad de datos

Descargar plantilla de plan de seguridad de datos

Word

¿Qué es la nube?

En pocas palabras, la nube es internet. La nube hace que los recursos, los programas de software, la información y los servicios estén disponibles a través de Internet en lugar de en su computadora local. Estos recursos se almacenan en servidores físicos en algún lugar de un centro de datos, pero la nube elimina la necesidad de infraestructura de hardware en las instalaciones. A continuación, se muestra una comparación de la tecnología en la nube con la tecnología tradicional

NubeTradicional
Las aplicaciones y los datos se almacenan en centros de datos de terceros (lo que reduce la administración).Las aplicaciones y los datos se almacenan en computadoras locales o en centros de datos internos.
Inversión mínima en infraestructuraInversión elevada en infraestructura
Fácil y rápido de escalarLento para escalar
Tarifas basadas en el uso (que pueden ser más rentables)Tarifas independientemente del uso

¿Cómo funciona la nube?

La nube funciona permitiendo a los usuarios acceder a datos y aplicaciones a través de Internet, independientemente de su ubicación y dispositivo.

¿Las nubes públicas son seguras?

Las nubes públicas son seguras si el proveedor de servicios lo es. Puede evaluar la seguridad de un proveedor de nube observando sus auditorías de cumplimiento, haciéndole preguntas en función de las prácticas recomendadas descritas anteriormente y visitando sus instalaciones.

El futuro de la seguridad en la nube

Para muchas organizaciones, los servicios en la nube han pasado de ser un lujo a una prioridad estratégica. La gran cantidad de datos almacenados en la nube la convierte en un enorme objetivo para hackers, estafadores y ciberdelincuentes. Las colosales ramificaciones de estas amenazas potenciales han hecho de la seguridad una de las principales prioridades del sector. Ya estamos experimentando métodos de autenticación más sólidos en las formas de autenticación multifactor y biométrica.

Mejore la seguridad de la información y los datos con Smartsheet

Empodere a sus empleados para que vayan más allá gracias a una plataforma flexible, diseñada para satisfacer las necesidades de su equipo y capaz de adaptarse cuando esas necesidades cambien. La plataforma Smartsheet facilita la planificación, la captura, la gestión y la creación de informes sobre el trabajo, desde cualquier lugar, lo que ayuda a su equipo a ser más eficiente y lograr más. Cree informes sobre las métricas claves y obtenga visibilidad en tiempo real acerca del trabajo en curso gracias a informes, paneles y flujos de trabajo automatizados diseñados para ayudar a su equipo a mantenerse conectado e informado. Cuando los equipos tienen claridad sobre el trabajo en curso, pueden lograr mucho más en el mismo tiempo. Pruebe Smartsheet gratis hoy mismo.

Todos los artículos, las plantillas o la información que proporcione Smartsheet en el sitio web son solo de referencia. Mientras nos esforzamos por mantener la información actualizada y correcta, no hacemos declaraciones ni garantías de ningún tipo, explícitas o implícitas, sobre la integridad, precisión, confiabilidad, idoneidad o disponibilidad con respecto al sitio web o la información, los artículos, las plantillas o los gráficos relacionados que figuran en el sitio web. Por lo tanto, cualquier confianza que usted deposite en dicha información es estrictamente bajo su propio riesgo. 

Estas plantillas se proporcionan solo como muestras. Estas plantillas no implican de ninguna manera un asesoramiento legal o de cumplimiento. Los usuarios de estas plantillas deben determinar qué información es necesaria para alcanzar sus objetivos.

Conecte a sus empleados, procesos y herramientas con una plataforma sencilla y fácil de usar.

Pruebe Smartsheet gratis Get a Free Smartsheet Demo