Siguiendo con los artículos de ciberseguridad de los entornos Cloud, vamos a hablar del modelo de responsabilidad, que en el fondo en lo mismo de lo que ahora somos responsables on premise, pero en el Cloud, aunque con grandes diferencias, comentar que no solo hablamos de la ciberseguridad sino también del cumplimiento.
Este modelo de responsabilidad compartida, como se llama comúnmente, entre los proveedores de servicios Cloud y el cliente de estos servicios está asociado al tipo de servicio Cloud contratado, en el que el SAAS tendrá menos responsabilidad en ciberseguridad y cumplimiento que el IAAS.
Según los servicios contratados será:
- SAAS: casi toda la responsabilidad cae en el proveedor de servicios, ya que el usuario solo puede acceder al servicio y “consumirlo”, la ciberseguridad del perímetro, trazabilidad, auditoría… será responsabilidad del proveedor.
- PAAS: en este servicio la responsabilidad en ciberseguridad de la plataforma es del proveedor y lo que se instale en la plataforma corresponde al cliente.
- IAAS: Aquí, el proveedor es responsable de la ciberseguridad de la infraestructura y el cliente de todo lo demás.
Evidentemente todo lo que implica a la ciberseguridad del CPD corresponde al proveedor de servicios Cloud.
Por tanto, es muy importante tener claro quién es responsable de la ciberseguridad de los servicios que hemos contratado y aplicar los controles y el cumplimiento necesario para evitar problemas.
Como recomendaciones en el ámbito que nos aplica, la ciberseguridad en el Cloud:
•Es importante seleccionar un proveedor que tenga claramente documentado y definido los controles internos en ciberseguridad y las diferentes herramientas o servicios en ciberseguridad que poseen, para poder seleccionar el proveedor que más nos conviene y si fuera necesario, validar que esos controles están bien diseñados y aplicados en el proveedor.
• Los clientes de estos servicios en la Cloud también deben, para todos los proyectos en el Cloud, crear una matriz de responsabilidades para documentar quién está implementando qué controles y cómo, para saber de quién son responsabilidad y validar que todo es correcto según las necesidades en ciberseguridad que nos marca el proyecto, alineándose con los estándares de cumplimiento necesarios para el cliente y sus datos.
A continuación os voy a adjuntar los modelos de relación de Ciberseguridad y Cumplimiento de los dos principales proveedores Cloud, AWS (Amazon) y Azure (Microsoft).
Modelo de responsabilidad cloud ciberseguridad de Microsoft
Modelo de responsabilidad en Ciberseguridad y Cumplimiento de AWS
Actualmente, hay herramientas y guías que nos ayudan a gestionar y cumplir con estos requisitos de ciberseguridad de nuestros proyectos en el Cloud, hay modelos o frameworks conceptuales que nos ayudan a adaptar nuestras necesitadas, modelos de control, en los que se detallan controles de ciberseguridad que tengamos que aplicar según nuestro proyecto, arquitecturas de referencia en el Cloud a seguir o patrones de diseño, que nos pueden ayudar a definir el diseño de nuestro proyecto.
Ejemplos de esto podría ser:
- De Cloud Security Alliance destacamos la “Arquitectura Empresarial” y la matriz de controles en el Cloud.
- De NIST la arquitectura de referencia de seguridad de Cloud Computing (NIST Special Publicación 500-299), que incluye modelos conceptuales, arquitecturas de referencia y un marco de control.
- Y para finalizar la ISO/IEC FDIS 27017 Tecnología de la información – Técnicas de seguridad – Código de práctica para controles de seguridad de la información basado en ISO/IEC 27002 para servicios en el Cloud.
fuentes:
Arquitectura de Referencia Nist
ISO/IEC FDIS 27017 Tecnología de la información – Ciberseguridad
Matriz de controles en en Cloud de CSA
Si necesita más información, contacte con nosotros y le recomendaremos lo que necesita para su ciberseguridad.