Implementación de un marco de ciberseguridad para la nube
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
La nube es el futuro de la arquitectura empresarial. Es relativamente económica, es escalable, es flexible y ofrece responsabilidad compartida. Sin embargo, la nube viene con su propio conjunto de desafíos de seguridad y gobernanza.
¿Cuáles son algunos de los retos que presenta la nube en seguridad?
Crecimiento acelerado: Un empleado promedio usa alrededor de 52 servicios basados en la nube diariamente, mientras que las empresas almacenan alrededor del 78.3% de sus datos en la nube. Controlar esta expansión repentina del uso de la nube puede representar un gran desafío y a menudo se traduce en mayores costos, menor eficiencia y mayores problemas de seguridad. Además, debemos tomar en cuenta que cualquier elemento externo que esté involucrado en el procesamiento de datos o el mantenimiento de la infraestructura, siempre agregará una capa adicional de riesgo. Si las organizaciones no invierten lo suficiente en administrar, monitorear y asegurar esta expansión, estos riesgos tienden a amplificarse.
Otro punto importante es gestionar de manera adecuada el control y propiedad de los datos que la empresa cede a los proveedores de servicios en la nube, pues cada una de estas empresas implementará la seguridad de manera diferente y cada modelo de nube (software como servicio, infraestructura como servicio, plataforma como servicio, etc.) tendrá diversos grados de propiedad del control de seguridad, razón por la cual puede ser difícil para ellos cumplir con todos los requisitos de seguridad.
También, algo crítico, es que la empresa pueda realizar una investigación previa sobre los protocolos de seguridad que ofrece el proveedor de servicios en la nube y establecer parámetros para tener acceso a los recursos internos. Los clientes deben ser conscientes del modelo de responsabilidad compartida y deben comprender qué hay debajo de la plataforma en la nube: qué controles de seguridad existen y si se requieren protecciones adicionales.
Como organizaciones debemos entender que no podemos asumir que todos los controles están siendo administrados por el proveedor de servicios en la nube. Las organizaciones deben hacer su propia tarea, seleccionando los controles correctos después de tener claro el contexto de seguridad, de lo contrario, es posible que no aborden el perfil de riesgo de la manera correcta.
En estos casos la recomendación es implementar un marco de control de ciberseguridad en la nube que proporcione un enfoque sistemático para identificar, evaluar y mitigar los riesgos de seguridad, al mismo tiempo que proporcione una guía, paso a paso, sobre qué controles de seguridad deben implementarse y en qué partes dentro de la cadena de suministro de la nube.
Este marco de control de ciberseguridad en la nube puede estar basado en las buenas prácticas del estándar ISO 27001 o el marco de ciberseguridad del NIST.
Por ejemplo entre los beneficios que ofrece el estándar ISO 27001 están:
Mejora de la seguridad de la información: La implementación de la norma ISO 27001 ayuda a mejorar la seguridad de la información en una organización. Al seguir los requisitos establecidos en el estándar, se establecen controles y medidas de seguridad eficaces para proteger la información confidencial y sensible. Esto incluye aspectos como la gestión de riesgos, la identificación de amenazas y vulnerabilidades, la implementación de políticas de seguridad y la capacitación del personal. Como resultado, la organización puede reducir los riesgos de incidentes de seguridad, como fugas de datos, intrusiones o ciberataques.
Cumplimiento normativo y legal: La ISO 27001 ayuda a las organizaciones a cumplir con las obligaciones normativas y legales relacionadas con la seguridad de la información. Al seguir las directrices y requisitos establecidos en el estándar, las organizaciones pueden demostrar a las partes interesadas y a los reguladores que se están tomando medidas adecuadas para proteger la información confidencial y cumplir con las leyes y regulaciones aplicables. Esto puede ser especialmente importante en sectores altamente regulados, como la salud, las finanzas o el gobierno, donde se requiere un cumplimiento estricto de las normas de seguridad de la información.
Mejora de la confianza de los clientes y socios comerciales: La implementación de la ISO 27001 puede aumentar la confianza de los clientes y socios comerciales en una organización. Al obtener la certificación ISO 27001, una organización puede demostrar de manera independiente que tiene un sistema de gestión de seguridad de la información sólido y confiable. Esto puede ser un factor decisivo para que los clientes decidan hacer negocios con la organización, ya que les brinda la tranquilidad de que su información estará protegida adecuadamente. Además, en el ámbito de las licitaciones y las relaciones comerciales, la certificación ISO 27001 puede ser un requisito previo para ser considerado como proveedor confiable de servicios o productos relacionados con la seguridad de la información.
Por su parte, el NIST presenta las siguientes ventajas:
Enfoque integral de gestión de riesgos: El marco del NIST aborda la ciberseguridad desde una perspectiva de gestión de riesgos. Ayuda a las organizaciones a identificar, evaluar y mitigar los riesgos de seguridad de la información a los que se enfrentan. Proporciona un conjunto de controles y mejores prácticas basados en la evaluación de riesgos, lo que permite a las organizaciones personalizar su enfoque según sus necesidades y prioridades específicas. Al utilizar este marco, las organizaciones pueden tomar decisiones informadas y estratégicas para gestionar los riesgos de ciberseguridad de manera eficaz.
Enfoque basado en estándares y buenas prácticas: El marco del NIST se basa en estándares y buenas prácticas reconocidos a nivel nacional e internacional. Incorpora y se alinea con otras normas y marcos de ciberseguridad ampliamente utilizados, como ISO 27001, COBIT y CIS Critical Security Controls, entre otros. Esto significa que al seguir el marco del NIST, una organización puede aprovechar la experiencia y los conocimientos acumulados en el campo de la ciberseguridad, adoptando las mejores prácticas establecidas y evitando la necesidad de comenzar desde cero. Esto proporciona una base sólida y confiable para abordar los desafíos de ciberseguridad.
Comunicación y colaboración mejoradas: El marco del NIST promueve la comunicación y colaboración efectivas entre las diferentes partes interesadas de una organización, tanto internas como externas. Proporciona un lenguaje común y una estructura clara para la discusión y el intercambio de información sobre ciberseguridad. Esto facilita la alineación de los objetivos y actividades de seguridad de la información en toda la organización y fomenta la colaboración con socios comerciales, proveedores y otras entidades externas. Al utilizar este marco, las organizaciones pueden mejorar la coordinación y la respuesta conjunta a incidentes de seguridad, así como fortalecer la conciencia y la cultura de ciberseguridad en general.
Al implementar un marco de ciberseguridad específico para nube, las organizaciones pueden fortalecer la seguridad de sus datos almacenados y procesados en ella. El marco proporcionará directrices y controles específicos que ayudarán a proteger la información confidencial y sensible contra amenazas cibernéticas, como accesos no autorizados, fugas de datos o ataques de denegación de servicio. Esto implica la adopción de medidas de seguridad tales como autenticación y control de acceso, encriptación de datos, monitoreo y detección de intrusiones, y una gestión adecuada de las vulnerabilidades.
Al implementar estas medidas de seguridad, las organizaciones pueden mitigar los riesgos asociados con el uso de la nube y garantizar la protección de sus activos de información.
Es importante destacar que la implementación exitosa de un marco de ciberseguridad para la nube requiere una comprensión clara de los riesgos y desafíos específicos asociados con esta tecnología, así como una colaboración estrecha con los proveedores de servicios en la nube para garantizar una implementación adecuada de las medidas de seguridad.
Para más información, visite: https://www.silikn.com/