Modelo de responsabilidad de Ciberseguridad en el Cloud

Mar 28, 2022

Siguiendo con los artículos de ciberseguridad de los entornos Cloud, vamos a hablar del modelo de responsabilidad, que en el fondo en lo mismo de lo que ahora somos responsables on premise, pero en el Cloud, aunque con grandes diferencias, comentar que no solo hablamos de la ciberseguridad sino también del cumplimiento.

Este modelo de responsabilidad compartida, como se llama comúnmente, entre los proveedores de servicios Cloud y el cliente de estos servicios está asociado al tipo de servicio Cloud contratado, en el que el SAAS tendrá menos responsabilidad en ciberseguridad y cumplimiento que el IAAS.

Según los servicios contratados será:

  • SAAS: casi toda la responsabilidad cae en el proveedor de servicios, ya que el usuario solo puede acceder al servicio y “consumirlo”, la ciberseguridad del perímetro, trazabilidad, auditoría… será responsabilidad del proveedor.
  • PAAS: en este servicio la responsabilidad en ciberseguridad de la plataforma es del proveedor y lo que se instale en la plataforma corresponde al cliente.
  • IAAS: Aquí, el proveedor es responsable de la ciberseguridad de la infraestructura y el cliente de todo lo demás.

Evidentemente todo lo que implica a la ciberseguridad del CPD corresponde al proveedor de servicios Cloud.

Por tanto, es muy importante tener claro quién es responsable de la ciberseguridad de los servicios que hemos contratado y aplicar los controles y el cumplimiento necesario para evitar problemas.

Como recomendaciones en el ámbito que nos aplica, la ciberseguridad en el Cloud:

•Es importante seleccionar un proveedor que tenga claramente documentado y definido los controles internos en ciberseguridad y las diferentes herramientas o servicios en ciberseguridad que poseen, para poder seleccionar el proveedor que más nos conviene y si fuera necesario, validar que esos controles están bien diseñados y aplicados en el proveedor.
• Los clientes de estos servicios en la Cloud también deben, para todos los proyectos en el Cloud, crear una matriz de responsabilidades para documentar quién está implementando qué controles y cómo, para saber de quién son responsabilidad y validar que todo es correcto según las necesidades en ciberseguridad que nos marca el proyecto, alineándose con los estándares de cumplimiento necesarios para el cliente y sus datos.

A continuación os voy a adjuntar los modelos de relación de Ciberseguridad y Cumplimiento de los dos principales proveedores Cloud, AWS (Amazon) y Azure (Microsoft).

ms-responsabilidad-cloud-ciberseguridad

Modelo de responsabilidad cloud ciberseguridad de Microsoft

aws-responsabilidad-cloud-ciberseguridad

Modelo de responsabilidad en Ciberseguridad y Cumplimiento de AWS

Actualmente, hay herramientas y guías que nos ayudan a gestionar y cumplir con estos requisitos de ciberseguridad de nuestros proyectos en el Cloud, hay modelos o frameworks conceptuales que nos ayudan a adaptar nuestras necesitadas, modelos de control, en los que se detallan controles de ciberseguridad que tengamos que aplicar según nuestro proyecto, arquitecturas de referencia en el Cloud a seguir o patrones de diseño, que nos pueden ayudar a definir el diseño de nuestro proyecto.

Ejemplos de esto podría ser:

  • De Cloud Security Alliance destacamos la “Arquitectura Empresarial” y la matriz de controles en el Cloud.
  • De NIST la arquitectura de referencia de seguridad de Cloud Computing (NIST Special Publicación 500-299), que incluye modelos conceptuales, arquitecturas de referencia y un marco de control.
  • Y para finalizar la ISO/IEC FDIS 27017 Tecnología de la información – Técnicas de seguridad – Código de práctica para controles de seguridad de la información basado en ISO/IEC 27002 para servicios en el Cloud.

fuentes: 

Arquitectura de Referencia Nist

Ciberseguridad en Cloud 

ISO/IEC FDIS 27017 Tecnología de la información – Ciberseguridad

Cloud Security Alliance

Matriz de controles en en Cloud de CSA

Si necesita más información,  contacte con nosotros y le recomendaremos lo que necesita para su ciberseguridad.

Recomendaciones en RGPD y ciberseguridad para videoconferencias en el teletrabajo

Artículo sobre recomendaciones sobre elreglamento de protección de datos RGPD en ciberseguridad para el teletrabajo que parece que ha venido para quedarse y/o potenciarse. Para la empresa esto tiene unos cambios substanciales a nivel de ciberseguridad, dado que el perímetro de seguridad informática de los sistemas se amplia.

Recomendaciones técnicas en ciberseguridad para el teletrabajo

Artículo sobre recomendaciones técnicas en ciberseguridad para el teletrabajo que parece que ha venido para quedarse y/o potenciarse. Para la empresa esto tiene unos cambios substanciales a nivel de ciberseguridad, dado que el perímetro de seguridad informática de los sistemas se amplia.

Recomendaciones en ciberseguridad para el teletrabajo

Artículo sobre recomendaciones en ciberseguridad para el teletrabajo que parece que ha venido para quedarse y/o potenciarse. Para la empresa esto tiene unos cambios substanciales a nivel de ciberseguridad, dado que el perímetro de seguridad informática de los sistemas se amplia.

La ciberseguridad ya no puede ser un «gasto» sino una inversión

La ciberseguridad cada vez es más necesaria, ya empiezan a haber voces que piden que no se vea como un gasto sino una inversión, cada vez tenemos más ataques, más sofisticados que ocasionan más gastos a las empresas, ya sean con daños reputacionales, sin poder dar servicio a los clientes o perdiendo información.