Seguridad en la nube
En el mundo actual de la tecnología de la información la mayoría de las personas están familiarizadas con «la nube o cloud». Saben que es una forma de almacenar datos como imágenes, archivos de audio… en línea con un proveedor que los gestiona y almacena en sus servidores.
Con sus credenciales de acceso únicas, pueden acceder a este almacenamiento, descargarlo, borrarlo, modificarlo, etc. Lo que la mayoría de la gente no se plantea es si sus datos están seguros.
¿Sabes lo qué es la seguridad en la nube? A continuación te lo explicamos.
¿Qué es la seguridad en la nube?
La seguridad en la nube o ciberseguridad en la nube se define como el método o la práctica de proteger los datos que se almacenan en línea a través de aplicaciones en la nube para que no sean robados, filtrados o eliminados.
Según el INCIBE “suele regirse por un modelo de responsabilidad compartida en el que el proveedor de servicios en la nube es responsable de gestionar la seguridad de la infraestructura subyacente y el cliente es responsable de gestionar la seguridad de sistemas operativos, usuarios, aplicaciones, datos, etc”.
Cuando una empresa decide la nube como lugar para guardar sus datos está delegando en parte el control de sus servicios al proveedor cloud, ya que está compartiendo información sensible y confidencial que es susceptible de sufrir riesgos si no se toman precauciones de seguridad.
El INCIBE recomienda que una forma de obtener las garantías de seguridad del proveedor es revisando los contratos y los acuerdos de nivel de servicio.
En ellos se ha de especificar, además de certificados y sellos que ha de tener el proveedor, otros aspectos operativos, como qué tipo de monitorización de seguridad realiza el proveedor o los chequeos de control de acceso, las garantías de aislamiento de datos y quién hace las copias de seguridad o las actualizaciones del software y en qué momento.
Los servicios de la nube se ofrecen en diferentes modalidades: software como servicio, plataforma como servicio e infraestructura como servicio. Además, existen nubes privadas, públicas, híbridas y comunitarias.
Nube privada
Las nubes privadas suelen ser propiedad de una organización privada, como una sola empresa, y son mantenidas por ella. En algunos casos, su nube estará ubicada físicamente en un centro de datos in situ. Sin embargo, en otros, pagarán a un tercero para que la aloje y la gestione.
En este caso, la responsabilidad de la ciberseguridad de la nube recae en el anfitrión externo.
Nube pública
La nube pública es propiedad de un tercero, al que se suele denominar proveedor de servicios en la nube, y se encarga de su mantenimiento.
Los clientes pagan para que estos proveedores almacenen sus datos en Internet. A cambio, los proveedores mantienen los servidores y las instalaciones de almacenamiento, y son responsables de la ciberseguridad de la nube. Los proveedores de servicios en la nube pública pueden clasificarse como software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS).
SaaS
Considerado el tipo más común de proveedor de servicios en la nube. Los proveedores de SaaS gestionan y alojan la infraestructura y las aplicaciones de software necesarias. El usuario final no tiene que descargar o instalar ninguna aplicación o programa para utilizarlo, ya que el SaaS utiliza Internet para suministrarlos.
PaaS
El proveedor de servicios en la nube suministra el tiempo de ejecución, los servidores, el almacenamiento, la red, el sistema operativo y la infraestructura.
IaaS
También conocido como autoservicio, en este modelo el usuario gestiona las aplicaciones, los datos, los sistemas operativos entre otros , y el proveedor de servicios en la nube gestiona los servidores, el almacenamiento, la red, etc.
Nube híbrida
Tal y como suena, se trata de un híbrido o una combinación de tipos de nube privada y pública.
Con los proveedores de nube híbrida, los datos y las aplicaciones pueden compartirse entre un centro de datos in situ (privado) y un proveedor de servicios de nube pública.
¿Cómo es la seguridad en una nube híbrida? La responsabilidad se comparte entre los socios que la utilizan y las organizaciones que almacenan los datos.
Algunas de las razones por las que una persona u organización puede elegir una nube híbrida es para aumentar las capacidades de computación y procesamiento, y/o para ahorrar tiempo o costes relacionados con la instalación y el mantenimiento de los servidores.
¿Por qué es importante la seguridad en la nube?
Cuando pensamos porque es importante la ciberseguridad en la nube lo primero que se nos viene a la cabeza es para proteger los datos de ser borrados o robados pero, no solo son los datos lo que está en riesgo si no también la reputación, el tiempo y el dinero.
Los recursos en la nube están expuestos a amenazas de ciberseguridad: filtraciones de datos, ransomware, ataques DDoS (denegación de servicio distribuida) o phishing.
Por este motivo, todo lo que se almacena en la nube tiene que estar protegido para que no sea interceptado, manipulado o filtrado por personas malintencionadas. Los ciberdelincuentes que vulneren un entorno en la nube podrían acceder al software y a las aplicaciones causando una interrupción del servicio
Recomendaciones de seguridad en la nube
El INCIBE dice que “las prácticas de seguridad en la nube son similares en muchos aspectos a las prácticas en redes y sistemas tradicionales, incluyendo aspectos específicos relativos al proveedor”:
- Clasificar y cifrar la información.
- Contar con protección contra el malware.
- Tener una política de permisos.
- Definir los servicios cloud permitidos.
- Utilizar una contraseña robusta y doble factor de autenticación.
- Conocer la política de seguridad y privacidad del proveedor.
- Comprobar que el proveedor incorpora mecanismos que permitan la trazabilidad de los accesos y las modificaciones de la documentación almacenada.
- Disponer de mecanismos que permitan realizar copias de seguridad.
¿Cómo funciona la seguridad en la nube?
La computación en nube o cloud computing se refiere a la prestación de diversos servicios a través de Internet. Estos servicios incorporan herramientas y aplicaciones como el almacenamiento de datos, servidores, bases de datos, redes y software.
En lugar de guardar los archivos en una unidad de disco propia o en un dispositivo de memoria local, el almacenamiento en la nube permite guardar muchos de ellos en una base de datos remota.
Siempre que un dispositivo tenga acceso a la red, tendrá acceso a la información y, por tanto, a los programas de software para ejecutarla.
La cloud computing es una excelente opción para las empresas por numerosas razones, como el ahorro de costes, el aumento de la productividad, la velocidad y la eficiencia, el rendimiento y la seguridad.
Desde Ciberseguridad Global queremos concienciarte con este post de lo importante que es mantener la seguridad en la nube tanto a nivel personal como si tienes un negocio.
Para cualquier consulta no dudes en ponerte en contacto con nuestros expertos en ciberseguridad, ¡estaremos encantados de poder ayudarte!