Ciberseguridad en el Cloud

Feb 10, 2022

A continuación, después de lo que hemos detectado en nuestros clientes de BCNSoluciona, queremos hablar de la ciberseguridad en el Cloud, sabiendo que las empresas, y más con la pandemia que estamos viviendo, se están sumando al carro del Cloud de manera masiva por sus bondades, pero no hay que olvidar la ciberseguridad del Cloud, que, aunque parezca que todo es automático y con un click, también hay que hacer pensar en la ciberseguridad de los datos y en consecuencia de la empresa antes de ir al Cloud.

Hoy en día, cada vez más empresas se van la Cloud por el pago por uso, flexibilidad y escalabilidad, facilidad de administración del entorno según el tipo de Cloud contratado…, pero no hay que olvidar la ciberseguridad del Cloud y el modelo de responsabilidad que se establece con los diferentes proveedores del Cloud según el tipo de Cloud contratado, este modelo de responsabilidad impacta directamente en la protección de los datos de la empresa alojados en el Cloud.
También hay que destacar que hay las leyes actuales, como puede ser el RGPD, que afectan y condicionan la ciberseguridad de los datos personales alojados en el Cloud.

Antes de empezar a entrar en la ciberseguridad en el Cloud, vamos a explicar que es el Cloud según NIST:

“La computación en la nube es un modelo para permitir un acceso de red ubicuo, conveniente y bajo demanda a un grupo compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden aprovisionarse y liberarse rápidamente con un mínimo esfuerzo o interacción del proveedor de servicio”

Una vez hemos definido lo que es el Cloud, vamos a describir los diferentes modelos de servicios de Cloud y que cada uno tendrá sus requerimientos en ciberseguridad.

El NIST define tres modelos de servicio que describen los diferentes tipos fundamentales de servicios que actualmente ofrece el Cloud:

  • Software como servicio (SaaS) es una aplicación completa administrada, soportada y alojada por el proveedor Cloud. Los usuarios acceden al servicio con un navegador web, una aplicación móvil o una aplicación de cliente básica.
  • Plataforma como Servicio (PaaS) proporciona plataformas de desarrollo de aplicaciones, entornos de aplicaciones (por ejemplo, un lugar para ejecutar Java, PHP u otro código), almacenamiento/repositorio de ficheros y colaboración, o incluso, permite procesar de aplicaciones propietarias (como AI, Big Data o acceso directo a interfaces de programación de aplicaciones (API) a características de una aplicación SaaS completa). El diferenciador clave es que, con PaaS, no se gestiona los servidores “físicos”, redes u otra infraestructura necesaria.
  • Infraestructura como servicio (IaaS) ofrece acceso a un conjunto de recursos de infraestructura Hardware, como memoria, CPU, red o disco.Ciberseguridad-cloudExisten 4 modelos de implementación: 
    • Nube pública. La infraestructura en la nube que está disponible para el público en general.
    • Nube privada. La infraestructura como su nombre indica es privada, para una organización o empresa. Puede ser administrada por la misma organización o empresa o por un tercero y puede estar ubicado en sus instalaciones o fuera de su propiedad.
    • Nube comunitaria. La infraestructura en la nube es compartida por varias organizaciones que aloja a una comunidad específica que tienen intereses afines. Puede ser administrado por las mismas organizaciones o por terceros y puede estar ubicado en sus instalaciones o fuera de ellas.
    • Nube híbrida. La infraestructura de la nube está formada por dos o más nubes, privada, comunitaria o pública.

Una vez explicado brevemente lo que sería el Cloud, vamos a entrar en materia de ciberseguridad del Cloud, y uno de los puntos más importantes a tener en cuenta es el modelo de responsabilidad compartida del Cloud, este modelo de responsabilidad lo que nos dice, dentro del ámbito de ciberseguridad, la responsabilidad que tiene el proveedor y la responsabilidad que asume el cliente sobre los riesgos del Cloud de ciberseguridad, como mostramos en la siguiente imagen, dependiendo del tipo de Cloud usado , hay más o menos responsabilidades por ambas partes en el ámbito de la ciberseguridad de los datos.

Ciberseguridad-cloud

Con la introducción de este punto vital para gestionar el riesgo en ciberseguridad en el Cloud finalizamos este artículo, avanzando que el siguiente artículo de Ciberseguridad en el Cloud entrará más en el detalle del modelo de responsabilidad de los principales proveedores Cloud y más aspectos de la ciberseguridad en el Cloud.

 fuentes: 

Nist

Ciberseguridad en Cloud 

Cloud Security Alliance

Si necesita más información, póngase en contacto con nosotros y le recomendaremos lo que necesita para su ciberseguridad.

Phishing, la gran amenaza de la ciberseguridad de las empresas.

El phishing está siendo muy explotado para vulnerar la ciberseguridad de las empresas, por su facilidad, este tipo de ataque se aprovecha de la legitimidad de un email o acceso a una web, para obtener información relevante mediante el factor humano, pudiendo facilitar, por error, al atacante el usuario y password de la cuenta de la empresa, por tanto el “acceso” a la empresa, por eso es tan importante la concienciación de los usuarios y habilitar doble factor de autenticación para los accesos remotos de la empresa o a sitios web críticos.