Hace tiempo que la posibilidad de migración a la nube por parte de las empresas es más que una posibilidad. Es complicado no encontrar una empresa que no se haya planteado a estas alturas la migración total o parcial de su entorno IT, pero este planteamiento, debe ir acompañado de unos principios básicos de seguridad en cloud. Hoy hemos amanecido con la noticia de que la Sweden’s Transport Agency ha expuesto todos sus datos con la migración realizada a la cloud, por ello, que mejor que hoy para hablaros de los principios de seguridad en Cloud.
-
Protección de los datos en la comunicación:
Las redes de tránsito de datos de usuario deben estar adecuadamente protegidas contra la manipulación indebida y posibles "espionaje". -
Protección de activos y resiliencia:Los datos del usuario y los activos que lo almacenan o procesan deben protegerse contra manipulación física, pérdida, daño o incautación.
-
Segmentación entre usuarios: Un usuario malintencionado o comprometido del servicio no debe ser capaz de afectar el servicio o los datos de otro.
-
Marco de gobierno: El proveedor de servicios debe tener un marco de gobierno de la seguridad que coordine y dirija su gestión del servicio y la información dentro de él.
-
Seguridad operativa: El servicio debe ser operado y gestionado de forma segura para impedir, detectar o prevenir ataques. Una buena seguridad operativa no debe requerir procesos complejos o burocráticos, que consumen mucho tiempo o sean caros.
-
Seguridad del personal: Donde el personal del proveedor de servicios tenga acceso a sus datos y sistemas necesita un alto grado de confianza en su confiabilidad. La evaluación minuciosa, apoyada por un entrenamiento adecuado, reduce la posibilidad de compromiso accidental o malicioso por parte del personal del proveedor de servicios.
-
Desarrollo seguro: Los servicios deben ser diseñados y desarrollados para identificar y mitigar las amenazas de seguridad. Aquellos que no lo sean pueden ser vulnerables a problemas de seguridad que podrían comprometer sus datos, provocar la pérdida de servicio o permitir otras actividades maliciosas.
-
Seguridad de la cadena de suministro: El proveedor de servicios debe asegurarse de que su cadena de suministro apoya satisfactoriamente todos los principios de seguridad que el servicio pretende implementar.
-
Gestión segura de usuarios: El proveedor debe poner a disposición las herramientas adecuadas para poder administrar con seguridad el servicio. Interfaces de gestión y procedimientos adecuados son una parte vital de la seguridad, la prevención de acceso no autorizado y la alteración de recursos, aplicaciones y datos.
-
Identidad y autenticación:Todas las interfaces de acceso a servicios deben restringirse a personas autenticadas y autorizadas.
-
Protección de la interfaz externa: Todas las interfaces externas o menos confiables del servicio deben ser identificadas y debidamente securizadas.
-
Administración de servicios seguros: Los sistemas utilizados para la administración de un servicio en la nube tendrán acceso privilegiado a ese servicio. Su compromiso tendría un impacto significativo, incluyendo los medios para evitar los controles de seguridad y robar o manipular grandes volúmenes de datos.
-
Auditoría en usuarios:Se le deben proporcionar los registros de auditoría necesarios para supervisar el acceso a su servicio y los datos que contiene en el mismo. El tipo de información de auditoría disponible tendrá un impacto directo en la capacidad de detectar y responder a actividades inapropiadas o maliciosas dentro de plazos razonables.
-
Uso seguro del servicio: La seguridad de los servicios en la nube y los datos contenidos en ellos pueden verse comprometidos si se utiliza mal el servicio. En consecuencia, el propietario tendrá ciertas responsabilidades al utilizar el servicio para que los datos estén adecuadamente protegidos.
Ante la gran variedad de opciones de despliegues de Cloud (tanto SaaS, PaaS o IaaS; pública o privada; alojamiento interno y externo e híbridos ), ningún conjunto de controles de seguridad pueden cubrir cualquier tipo de circunstancias. Y como en cualquier otra situación, será cada organización la que debería adoptar una estrategia de migración a Cloud basada en un análisis de riesgos adecuado.
Todos estos principios podrían llevar un capitulo a parte, teniendo entidad propia para cada uno de ellos, debiendo darlos la importancia que cada uno se merece, pero creo que esta primera aproximación de los principios de seguridad en Cloud, nos da una visión a grandes rasgos de las necesidades que debemos ofrecer o demandar a la hora de buscar una estrategia Cloud en nuestra organización. Tenemos mucho que aprender en relación a una estrategia cloud adecuada, pero lo que si que esta claro, es que debemos plantearnos todo esto, de forma anterior a adoptarla, para no llevarnos sustos imprevistos, como le ha pasado a la Agencia de Transportes Sueca.