Modelo de responsabilidad de Ciberseguridad en el Cloud

Mar 28, 2022

Siguiendo con los artículos de ciberseguridad de los entornos Cloud, vamos a hablar del modelo de responsabilidad, que en el fondo en lo mismo de lo que ahora somos responsables on premise, pero en el Cloud, aunque con grandes diferencias, comentar que no solo hablamos de la ciberseguridad sino también del cumplimiento.

Este modelo de responsabilidad compartida, como se llama comúnmente, entre los proveedores de servicios Cloud y el cliente de estos servicios está asociado al tipo de servicio Cloud contratado, en el que el SAAS tendrá menos responsabilidad en ciberseguridad y cumplimiento que el IAAS.

Según los servicios contratados será:

  • SAAS: casi toda la responsabilidad cae en el proveedor de servicios, ya que el usuario solo puede acceder al servicio y “consumirlo”, la ciberseguridad del perímetro, trazabilidad, auditoría… será responsabilidad del proveedor.
  • PAAS: en este servicio la responsabilidad en ciberseguridad de la plataforma es del proveedor y lo que se instale en la plataforma corresponde al cliente.
  • IAAS: Aquí, el proveedor es responsable de la ciberseguridad de la infraestructura y el cliente de todo lo demás.

Evidentemente todo lo que implica a la ciberseguridad del CPD corresponde al proveedor de servicios Cloud.

Por tanto, es muy importante tener claro quién es responsable de la ciberseguridad de los servicios que hemos contratado y aplicar los controles y el cumplimiento necesario para evitar problemas.

Como recomendaciones en el ámbito que nos aplica, la ciberseguridad en el Cloud:

•Es importante seleccionar un proveedor que tenga claramente documentado y definido los controles internos en ciberseguridad y las diferentes herramientas o servicios en ciberseguridad que poseen, para poder seleccionar el proveedor que más nos conviene y si fuera necesario, validar que esos controles están bien diseñados y aplicados en el proveedor.
• Los clientes de estos servicios en la Cloud también deben, para todos los proyectos en el Cloud, crear una matriz de responsabilidades para documentar quién está implementando qué controles y cómo, para saber de quién son responsabilidad y validar que todo es correcto según las necesidades en ciberseguridad que nos marca el proyecto, alineándose con los estándares de cumplimiento necesarios para el cliente y sus datos.

A continuación os voy a adjuntar los modelos de relación de Ciberseguridad y Cumplimiento de los dos principales proveedores Cloud, AWS (Amazon) y Azure (Microsoft).

ms-responsabilidad-cloud-ciberseguridad

Modelo de responsabilidad cloud ciberseguridad de Microsoft

aws-responsabilidad-cloud-ciberseguridad

Modelo de responsabilidad en Ciberseguridad y Cumplimiento de AWS

Actualmente, hay herramientas y guías que nos ayudan a gestionar y cumplir con estos requisitos de ciberseguridad de nuestros proyectos en el Cloud, hay modelos o frameworks conceptuales que nos ayudan a adaptar nuestras necesitadas, modelos de control, en los que se detallan controles de ciberseguridad que tengamos que aplicar según nuestro proyecto, arquitecturas de referencia en el Cloud a seguir o patrones de diseño, que nos pueden ayudar a definir el diseño de nuestro proyecto.

Ejemplos de esto podría ser:

  • De Cloud Security Alliance destacamos la “Arquitectura Empresarial” y la matriz de controles en el Cloud.
  • De NIST la arquitectura de referencia de seguridad de Cloud Computing (NIST Special Publicación 500-299), que incluye modelos conceptuales, arquitecturas de referencia y un marco de control.
  • Y para finalizar la ISO/IEC FDIS 27017 Tecnología de la información – Técnicas de seguridad – Código de práctica para controles de seguridad de la información basado en ISO/IEC 27002 para servicios en el Cloud.

fuentes: 

Arquitectura de Referencia Nist

Ciberseguridad en Cloud 

ISO/IEC FDIS 27017 Tecnología de la información – Ciberseguridad

Cloud Security Alliance

Matriz de controles en en Cloud de CSA

Si necesita más información,  contacte con nosotros y le recomendaremos lo que necesita para su ciberseguridad.

Ciberseguridad en el Cloud

Cada vez más empresas se van la Cloud, no hay que olvidar que debe ser seguro y por tanto se ha de analizar los riesgos en ciberseguridad.

Phishing, la gran amenaza de la ciberseguridad de las empresas.

El phishing está siendo muy explotado para vulnerar la ciberseguridad de las empresas, por su facilidad, este tipo de ataque se aprovecha de la legitimidad de un email o acceso a una web, para obtener información relevante mediante el factor humano, pudiendo facilitar, por error, al atacante el usuario y password de la cuenta de la empresa, por tanto el “acceso” a la empresa, por eso es tan importante la concienciación de los usuarios y habilitar doble factor de autenticación para los accesos remotos de la empresa o a sitios web críticos.