30 de noviembre de 2023
Por Claire Hatcher - Directora Regional de Ventas, Reino Unido, Skyhigh Security
La responsabilidad compartida es un concepto que todos entendemos intuitivamente pero que muchas organizaciones no comprenden del todo cuando se trata de asegurar la nube. O bien los marcos que lo explican son relativamente nuevos o las expectativas no han quedado lo suficientemente claras. Desgraciadamente, muchas organizaciones están dejando caer la pelota al no comprender plenamente sus propias funciones y responsabilidades, y el resultado final son lagunas y brechas en la seguridad.
Teniendo en cuenta que el 90% de los profesionales de TI han sufrido una brecha de ciberseguridad, la computación en nube -como toda la tecnología- no es infalible. Aunque los proveedores de servicios en la nube (CSP) proporcionan algunas herramientas y servicios de seguridad avanzados, es evidente que existe cierto malentendido por parte del cliente sobre lo que los CSP protegen realmente. Quizá una analogía pueda ayudar a aclarar quién hace qué y a disipar algunos mitos y confusiones.
Cómo un marco mental adecuado puede evitar una catástrofe
Veamos el alquiler de una propiedad vacacional en un mercado en línea. El mercado en línea proporciona la infraestructura subyacente para facilitar la transacción. Usted se pone en contacto con el propietario del inmueble a través de la plataforma. El mercado en línea es responsable de proporcionar una plataforma segura para realizar esta transacción. El propietario es responsable de la propiedad en sí. Por ejemplo, se espera que instalen cerraduras en las puertas y ventanas del alquiler, y usted es responsable de utilizar las cerraduras. No puede esperar que el mercado en línea sea responsable de garantizar que no le roben mientras se aloja en una propiedad, especialmente si no utiliza los mecanismos previstos -cerraduras en este caso- para asegurar la propiedad y sus pertenencias.
Otra analogía es comprar o alquilar herramientas en la ferretería. Los vendedores pueden tener cierta responsabilidad si la herramienta se rompe o no funciona, pero siempre depende de usted llevar protección ocular, garantizar un entorno de trabajo seguro y utilizar las herramientas de forma responsable.
Las organizaciones deben entender que no es tan diferente para ellas con respecto a las plataformas de servicios en la nube que utilizan. Los CSP no son responsables de cada fallo de seguridad. El cliente tiene un papel importante que desempeñar y comparte la responsabilidad de asegurar su entorno de nube pública.
Entre en el modelo de responsabilidad compartida
Los CSP han definido claramente sus responsabilidades en materia de seguridad. Tanto Amazon Web Services (AWS) como Microsoft Azure han publicado modelos de responsabilidad compartida de seguridad en la nube para delimitar quién es responsable de qué. Aunque los detalles dependen de si el modelo es software como servicio (SaaS), infraestructura como servicio (IaaS) o plataforma como servicio (PaaS), por lo general el cliente empresarial es responsable de estos aspectos de la seguridad en la nube:
- Seguridad de los puntos finales
- Seguridad de la red
- Configuraciones
- Gestión de identidades y accesos (IAM)
- Clasificación de datos y responsabilidad
- Control de la colaboración de datos
- Máquinas virtuales
- Seguridad de las cargas de trabajo y los contenedores
El proveedor de servicios en la nube, por su parte, es responsable de:
- Seguridad física y mantenimiento de sus propias instalaciones, incluida la alimentación y la conexión a Internet
- Infraestructura de host informático, incluidos servidores, sistemas operativos, parches, equilibrio de carga, escalado, almacenamiento y configuración de servicios de plataforma
- Controles de red y servicios de proveedores
Volviendo a nuestra analogía con las cerraduras de las puertas y ventanas del alquiler vacacional, los CSP tienen varias defensas de seguridad integradas en sus servicios, pero depende del cliente implementarlas para proteger sus propias redes, usuarios, datos vitales y aplicaciones.
Para comprender plenamente sus funciones y responsabilidades como cliente de cualquier servicio en la nube, es importante revisar detenidamente el acuerdo de nivel de servicio (SLA). No haga suposiciones. El SLA aclarará exactamente de qué aspectos de la seguridad es usted responsable y qué características y políticas debe configurar correctamente desde el principio para obtener todos los beneficios de la plataforma. En un mundo complejo de múltiples nubes, esto puede ser un reto desde el punto de vista administrativo, pero abordar sus responsabilidades por adelantado para garantizar que sus datos en la nube están seguros merece plenamente el tiempo y el esfuerzo que requiere.
La seguridad en la nube es un deporte de equipo, y cada uno tiene que llevar la pelota cuando le toca. Los modelos de responsabilidad compartida proporcionan un marco para ayudarle a comprender las reglas del juego.
Para saber cómo Skyhigh Security puede ayudarle a cumplir con sus responsabilidades y asegurar sus datos en plataformas de nube pública, visite nuestro sitio web.
Volver a Blogs