Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Simplifica y gana, servicios en la nube

Fecha de publicación 05/09/2023
Autor
INCIBE (INCIBE)
personas bajo nubes

“El verdadero descubrimiento del viaje no consiste en buscar nuevos caminos, sino en tener nuevos ojos”. El novelista, Marcel Proust, con este mensaje inicial se plantea el viaje a la nube como una estrategia para contribuir al crecimiento, aumento de competitividad y continuidad de negocio de nuestra empresa.

Algunos factores clave y beneficios que una pyme puede adquirir a través de la contratación de servicios en la nube son:

  • Reducción de costes: habitualmente, se trabaja bajo un modelo de pago por uso, sin necesidad de adquirir ni mantener infraestructura y hardware propios.
  • Mejor seguridad: los proveedores de la nube suelen ofrecer soluciones de seguridad avanzadas y de última generación, como cifrado de datos, protección contra malware,..
  • Más innovación y agilidad: “renovarse o morir” es difícil resistirse a la adopción de esta tecnología, debido a que es la forma más eficiente y competitiva al alcance de las pymes para probar nuevas tecnologías y aplicaciones de forma más eficiente y con menos riesgos.
  • Flexibilidad: al permitir aumentar o disminuir el contrato de servicios en la nube en función de las necesidades de nuestro negocio.
  • Acceso global: desde cualquier dispositivo conectado a Internet nuestros empleados podrán acceder a los datos y aplicaciones de la empresa.
  • Actualizaciones automáticas: a cargo del proveedor del servicio en la nube nos eliminará esta carga de trabajo y además garantizará a la empresa contar las últimas versiones y actualizaciones
  • Copias de seguridad y recuperación de datos: tanto las copias de seguridad que se realizarán de forma automática como diferentes opciones de recuperación de datos.
  • Mejor colaboración entre los equipos: las soluciones en la nube favorecen la compartición de documentos y mejora de comunicación y eficiencia interna.

Para hacer un buen uso de ellos es necesario plantearse una serie de preguntas relacionadas con la seguridad:

¿Está la empresa preparada para contratar servicios en la nube?

Para contratar servicios en la nube, una empresa deberá cumplir al menos con los siguientes requisitos:

  • Debe haber identificado cuáles son sus necesidades y objetivos a cumplir a través de la adopción de servicios en la nube.
  • Evaluar la compatibilidad de la infraestructura tecnológica actual con la adopción de servicios en la nube.
  • Cumplimiento de las normativas europeas y nacionales en materia de protección de datos.
  • Implantar un plan director de seguridad.
  • El equipo o personal de Tecnología de la Información de la empresa debe contar con conocimientos sobre cómo gestionar los servicios en la nube. Si no es así, se deberá proporcionar formación.
  • La cultura de la empresa debe ser flexible y con disposición para abordar cambios.

En la ‘Guía de Aproximación al empresario: Cloud computing’ de INCIBE, puedes ampliar información sobre las opciones de contratación, modelos de despliegue en la nube y los pasos necesarios para dar el salto a la misma

Entonces, ¿Cómo elegir un proveedor de nube adecuado para nuestro negocio?

Siguiendo las recomendaciones del National Cyber Security Centre de UK, hay dos enfoques para determinar si un servicio en la nube es totalmente seguro para tu negocio:

  • Una visión completa de 14 principios
  • Una versión ligera de estos mismos principios

Este organismo recomienda a través de un cuestionario, recoger evidencias de cómo responderían los potenciales proveedores en la nube. En este blog, enumeramos estos principios como punta de partida riguroso para evaluar y seleccionar al proveedor de la nube más adecuado y seguro de las necesidades de cada empresa:

Principio 1: Protección de datos en tránsito

¿Cómo estarán los datos protegidos frente a la manipulación o espionaje mientras “viajan” por las redes internas y externas a la nube? Debe protegerse esta información mediante una combinación de:

  • Cifrado
  • Autenticación de servicios
  • Protecciones a nivel de red

Principio 2: Protección de datos y resiliencia

¿Cómo estarán protegidos todos los datos (credenciales, datos de configuración, metadatos derivados y registros) y los activos de almacenaje de estos datos frente a la manipulación física, pérdida, daño o robo? Las protecciones deben al menos:

  • Cumplir con la normativa legal de protección de datos
  • Considerar la ubicación física, su seguridad, resiliencia
  • Incluir medidas de protección de datos como el cifrado, borrado seguro y disponibilidad.

Principio 3: Separación entre clientes

¿Se garantizan límites de seguridad efectivos para cada cliente? El proveedor debe garantizar al menos límites de seguridad efectivos tanto:

  • En la forma en que ejecuta el código
  • Almacena datos
  • Administra la red

Principio 4: Marco de gobernanza

¿Cuál es el marco de gobierno de seguridad que supervisa la gestión del servicio en la nube? Este principio nos dará confianza de cuáles son los controles efectivos durante el ciclo de vida útil del servicio. Garantizará que los controles de procedimientos, de personal, físicos y técnicos sigan funcionando durante la vida útil del servicio. Así como responder a cambios en el servicio, nuevos desarrollos tecnológicos y nuevas amenazas. A través de un marco documentado para:

  • El gobierno de la seguridad
  • La gestión de riesgos
  • Con políticas que rigen los aspectos clave de la seguridad de la información, relevantes para el servicio

Principio 5: Seguridad operativa

¿El servicio en la nube permitirá prevenir, detectar e impedir ataques? No debería ser a través de procesos complejos, burocráticos, lentos o costosos. Los aspectos a considerar son:

  • Gestión de vulnerabilidades
  • Supervisión de protección
  • Gestión de incidentes
  • Gestión de cambios y configuración del servicio

Principio 6: Personal de seguridad

¿Cómo auditar y restringir las acciones del personal del proveedor? Cuando el personal del proveedor tenga acceso a los datos y sistemas de la empresa, será necesario contar con la suficiente confianza en las medidas técnicas implementadas por el proveedor para minimizar la probabilidad y el impacto de un compromiso accidental o malicioso por parte del personal del proveedor.

Principio 7: Desarrollo seguro

¿Cuáles son las medidas de seguridad utilizadas para un diseño, desarrollo e implementación seguro? La seguridad en el desarrollo del software debe ser considerada para evitar vulnerabilidades, brechas de seguridad o incluso puede ser la puerta de entrada a actividades maliciosas. 
El proveedor debe aportar estándares y certificaciones de seguridad utilizados que generen confianza en la seguridad del software en todo el ciclo de vida del producto (por ejemplo, ISO/IEC 27034, ISO/IEC 30111:2019 y CSA CCM v3.0.1).

Principio 8: Seguridad de la cadena de suministro

¿La cadena de suministro del proveedor cumple con los mismos estándares de seguridad que el proveedor establece para sí mismo? Los servicios en la nube también dependen de terceros tanto a nivel producto como de servicios. De esta forma, si este principio no lo tiene implementado, su cadena de suministro puede afectar la seguridad de su servicio.

Principio 9: Gestión segura de usuarios

¿El proveedor incluye herramientas para gestionar de forma segura el uso de los servicios en la nube, evitando el acceso no autorizado y garantizar la no alteración de recursos, aplicaciones y datos? El modelo de gestión de accesos debe permitir al menos:

  • Un único modelo de cuenta de usuario bien definido para autorizar el acceso a datos y servicios;
  • Un control de acceso granular, de acuerdo con el ‘principio de privilegio mínimo’ y fácil de administrar a escala;
  • Un control de acceso basado en permisos individuales aplicados a la identidad humana o a una máquina, como sucede en el control de acceso basados en roles.

Principio 10: Identidad y autenticación

¿Están todos los interfaces del servicio limitados a través de identidad autorizada y autenticada de forma segura? Los servicios y datos solo deben ser accesibles para una identidad autenticada y autorizada, que puede ser un usuario o una identidad de servicio. Tener en cuenta que la autenticación debe ser siempre a través de canales seguros con:

  • Una política de contraseñas moderna,
  • Autenticación multifactor para el acceso de los usuarios,
  • Medidas activas para identificar y cancelar credenciales violadas.

Principio 11: Protección de interfaz externa

¿Están todas las interfaces externas configuradas para ser identificadas y defenderse adecuadamente? Esto incluye API externas. Se debe identificar y defender todas las interfaces externas a través de:

  • Medidas defensivas que incluyan programación de aplicaciones (API)
  • Consolas web
  • Interfaces de línea de comandos
  • Servicios de conexión directa
  • Si alguna de las interfaces expuestas son privadas (por ejemplo, la de administración), hay que reforzar aun más las medidas de seguridad, puesto que el impacto del compromiso puede ser mayor.

Principio 12: Administración de servicios seguros

¿Cómo es el diseño, implementación y gestión de los sistemas de administración del proveedor de servicios en la nube? Para ganar confianza en el proveedor en este aspecto, se recomienda al menos:

  • Mantener evaluaciones periódicas y exhaustivas en el servicio
  • Proteger sus interfaces de administración, gestionando riesgos por niveles
  • Utilizar interfaces de administración que producen información de auditoría detallada, que se revisará periódicamente para detectar comportamientos anómalos.

Principio 13: Información de auditoría y alertas para los clientes

¿Contará con servicio de identificación de incidentes de seguridad y recogerá información necesaria para saber cómo y cuándo ocurrieron? ¿El servicio proporcionará información de auditoría y emitirá alertas de seguridad cuando se detecten intentos de ataque? Se recomienda al menos:

  • El tipo de información de auditoría disponible para usted tendrá un impacto directo en la capacidad para responder a incidentes dentro de plazos razonables.
  • Dará confianza saber cómo y cuándo estará disponible esta información, formato de los datos y el período de retención asociado a ellos, para que estos datos no sean eliminados por el proveedor ni por el cliente.
  • Información de alertas debe ser su primera línea de defensa para identificar y prevenir ataques comunes.

Principio 14: Uso seguro del servicio

¿Cómo facilita el cumplimiento de la normativa legal en protección de datos? ¿El servicio es seguro por diseño y facilita el cumplimiento de las responsabilidades en protección de datos? Se recomienda al menos: 
El proveedor debe facilitar la protección adecuada de los datos y facilitar el cumplimiento de la responsabilidad de la empresa de proteger adecuadamente sus datos.

  • Averiguar si el servicio es seguro por diseño y por defecto
  • Qué ayuda ofrece al cliente para cumplir con las responsabilidades de protección de datos

Conclusiones

Con este blog, se ha pretendido cubrir cuáles son las preguntas más relevantes a realizar antes de contratar servicios en la nube. Teniendo en cuenta el grado de madurez actual de adopción de servicios en la nube en España y sin tener en cuenta la amplitud de servicios para los que se pueden contratar, por lo tanto, debe ser tomado como una guía generalista de factores a tener en cuenta previa la selección de proveedor de servicios en la nube.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

 

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).