La acción en accionistas e inversores

¿Cómo se relacionan la ciberseguridad y la nube?

Aunque no lo veamos, la ciberseguridad se encuentra presente de forma continua en nuestro día a día. Cada vez que usamos un dispositivo electrónico de cualquier índole, hay un proceso previamente estudiado y confeccionado al detalle por un grupo de profesionales, que hace nuestra vida digital más segura. La nube, más si cabe, sigue esta misma línea. No se puede entender toda la infraestructura que representa sin mantener procedimientos seguros. En este sentido, todo el potencial que representa el cloud tiene que estar monitorizado y controlado por la ciberseguridad, donde se gobierna y protege la información y aquellos procesos que se ejecutan.

Foto de Daniel Consentini

Daniel Consentini Seguir

Tiempo de lectura: 5 min

¿Cuáles son los aspectos clave para la ciberseguridad en la nube?

Antiguamente, cuando los servicios no se encontraban en la nube sino en los centros de datos propios de cada empresa, se podía pensar que el alcance estaba más acotado. Sabíamos lo que había que proteger dado que lo teníamos delimitado.

Con la nube el concepto cambia ligeramente. Ahora no tenemos tan marcado el terreno de juego y, además, en estos límites es necesario compartir cierta infraestructura, lo que hace más complejo aplicar ciertos controles de seguridad. Aunque son numerosos, se exponen tres de aspectos que me resultan más relevantes.

Uno de los principales puntos a tener en cuenta es la protección del dato. Normalmente el objetivo final de la ciberseguridad es la protección de la información, y en un entorno compartido como la nube esto es algo esencial. Se debe asegurar que la información mantenida en el cloud mantenga unos valores correctos de confidencialidad e integridad.

Otro factor a tener presente es la aplicación de técnicas de bastionado. Básicamente, trabajar en que los sistemas en nube sean lo más seguros posibles desde el punto de vista de la configuración del propio entorno.

El factor de la visibilidad y trazabilidad también lo considero de especial relevancia. En entornos en nube, dependiendo del escenario, es posible que se pierda cierta trazabilidad de la información debido a la infraestructura compartida. Esto es un problema, dado que cualquier proceso debe tener la capacidad de disponer de registros.

¿Cuáles son los objetivos principales?

En ciberseguridad el objetivo principal es tradicional, asegurar sus pilares básicos basados en confidencialidad, integridad y disponibilidad. En el contexto de la nube eso no cambia, pero si existen otros aspectos dependiendo de la forma en la que se llega a ello.

Dependiendo del entorno, la nube se puede convertir en un caos. Desde la ciberseguridad tenemos que asegurar y gobernar dicho caos para que no se convierta en un “monstruo ingobernable”. Es necesario levantar barreras automatizadas y tener la visibilidad completa.

Igualmente, uno de los posibles hándicaps de la nube es la agilizad. El equipo de ciberseguridad no puede convertirse en un “stopper” de proyectos, sino que tenemos que trabajar al mismo ritmo en esos ciclos de alta celeridad.

¿A qué riesgos de ciberseguridad se enfrenta la nube?

La inclusión de los sistemas en nube soluciona algunos problemas relacionados con la seguridad, pues, dependiendo del caso, es el proveedor de servicios quien se ocupa de gestionar el riesgo, pero a su vez incluye otras necesidades a tratar.

Podríamos discutir muchos puntos, aun así, los que creo que son más importantes a destacar:

  • Configuraciones por defecto inseguras. En la nube los servicios no “nacen” protegidos basándose en las mejores prácticas. Aunque se ha evolucionado mucho, los profesionales de ciberseguridad estamos obligados a revisar cada configuración evitando dejar las puertas abiertas a posibles ciberataques.
  • Accesos inseguros o no autorizados. En algunos casos, si no existe un control bien estructurado, en la nube se pueden repartir “llaves” a quien no las necesita. La mala gestión de autorizaciones puede resultar en ataques devastadores.
  • Ausencia de visibilidad y trazabilidad. Comparativamente hablando, las opciones de visibilidad que se tienen en un solución o sistema “en casa” son mayores que las propuestas en la nube. Esa pérdida de visibilidad tiene que estar contemplada en los diferentes escenarios.

¿En qué se diferencia con respecto a la ciberseguridad en otros entornos?

Existen varias diferencias a destacar, la primera y que considero más importante desde el punto de vista de la ciberseguridad, es el cambio o modificación del perímetro. Cuando teníamos un entorno tradicional con nuestro servicio “en casa”, delimitábamos muy bien toda nuestra línea de defensa, sabíamos hasta donde había que proteger. En los entornos en nube, esa línea que separaba el mundo exterior de nuestros sistemas cambia, se extiende, teniendo la necesidad de preguntarnos constantemente de dónde vienen las conexiones y si estas son legítimas.

Otro punto importante que destacar es la comprensión de la seguridad compartida con el proveedor de servicios de la nube. Pasamos de tener nuestros propios servidores y sistemas de seguridad, a compartirlos con terceros. Es decir, estamos delegando parte de la seguridad en un actor externo que propone una base, pero que no lo hace todo. En este tiene que existir una buena arquitectura de seguridad donde el diseño sea primordial.

¿Cómo ha ido evolucionando la ciberseguridad en el cloud?

La evolución de la nube ha sido increíble en todos los términos. En cuestión de muy poco tiempo, gran parte del Internet actual se encuentra en el cloud. Y como toda tecnología, ha sufrido grandes cambios tanto técnicos como conceptuales.

Al principio, la nube era esa gran desconocida y a su vez desconfiada. En parte sabíamos que el futuro pasaba por subirnos a este tren, pero seguíamos viendo los servicios mucho más seguros montado en nuestra propia infraestructura. Los primeros pasos fueron montar entornos no críticos replicando los sistemas de seguridad completos que ya conocíamos.

Según fue avanzando el cloud, vimos como la seguridad también aumentaba y algunos de los sistemas más tradicionales no eran estrictamente necesarios, pues parte de dicha seguridad era compartida. En este punto si identificamos la falta de configuraciones propias de seguridad, es decir, fácilmente se podían dejar puertas abiertas por una serie de errores en la configuración. No se trataba en este caso de una explotación de vulnerabilidades complejas, sino una falta de segurización previa, lo que hizo necesario tomar la seguridad desde el comienzo de la arquitectura.

Finalmente, todo ha seguido evolucionando hacia una automatización. En los días actuales, más si cabe con la incorporación de la Inteligencia Artificial, los procesos en la nube suelen estar precedidos de una automatización. No se despliegan tantos servicios manuales, sino que se da una plantilla, un plano, una guía al sistema, de como queremos que construya nuestro entorno, de forma que nosotros nos centremos en lo realmente importante.

Compártelo en tus redes sociales

#

La palabra de la semana

Blockchain

Lo más leído en la última semana :: TOP 5

  1. El aprendizaje de idiomas en la era digital: inmersión lingüística a un clic
    Fotografía de Nuria Vidal
  2. Historia de Internet: ¿cómo nació y cuál ha sido su evolución?  
    Fotografía de Telefónica
  3. 7 ventajas y desventajas de las TIC en la educación 
    Fotografía de Telefónica
  4. Tecnología y medio ambiente: una lucha entre daños y beneficios
    Fotografía de Yanina Chalup
  5. Control de Concentraciones UE: la Industria pide actualizar las Directrices
    Fotografía de Mónica Sánchez Soliva

Contenidos relacionados

Medios de comunicación

Contacta con nuestro departamento de comunicación o solicita material adicional.