La Seguridad en la Nube
Hugo Angel González Rosas
IT Manager ǀ IT Advisor & Consultant ǀ PMP ǀ CIO ǀ SDM ǀ DPO ǀ Seguridad TI ǀ Ciberseguridad | Agile Manager ǀ Leader IT & SAP | Leader Auditor | Scrum Máster | Académico en TI | Speaker
“Cuantas más soluciones de seguridad se integren de forma nativa con los servicios basados en la nube, más segura será la organización”.
Seguridad en la nube | Cloud | Tecnologías | Riesgos
La seguridad en la nube hace referencia a la práctica de proteger la integridad de las aplicaciones, los datos y la infraestructura virtual basados en la nube. El término se aplica a todos los modelos de despliegue en la nube (nube pública, nube privada, nube híbrida, multinube) y a todos los tipos de servicios y soluciones a la carta basados en la nube (IaaS, PaaS, SaaS). En términos generales, con los servicios basados en la nube el proveedor de esta es el responsable de proteger la infraestructura subyacente, mientras que el cliente es el responsable de proteger las aplicaciones y los datos en la nube.
La seguridad en la nube es toda la tecnología, los protocolos y las buenas prácticas que protegen los entornos informáticos en la nube, las aplicaciones que se ejecutan en la nube y los datos almacenados en ella. Dado que hoy en día más del 90 % de las grandes empresas utilizan la computación en la nube, la seguridad en la nube se ha convertido en un aspecto esencial de la ciberseguridad corporativa.
Los riesgos de seguridad que afectan a la computación en la nube también afectan a los usuarios individuales, aunque no siempre sean conscientes de ello. Los usuarios pueden utilizar la nube para guardar archivos y copias de seguridad (en servicios como Dropbox), así como para servicios como el correo electrónico y aplicaciones de ofimática, o para rellenar formularios de impuestos y llevar a cabo su contabilidad.
Y aunque las empresas insistan en tener una nube privada, el equivalente en Internet de tener tu propio campus o edificio de oficinas, las personas, a título individual, y las pequeñas empresas tienen que trabajar con servicios en la nube pública. Vendría a ser como compartir una oficina o vivir en un edificio con centenares de vecinos. De ahí que tu seguridad deba ser una de tus principales preocupaciones. Tienes que asegurarte de que tus datos estén separados de los de otros usuarios, ya sea cifrados por separado o segmentados lógicamente para un almacenamiento aparte.
Nube pública Una oferta multiinquilino pública como Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP).
Nube privada Un entorno en la nube dedicado a una sola entidad empresarial (pero normalmente compartido por muchas organizaciones dentro de esa entidad).
Nube híbrida Una combinación de servicios en la nube pública y privada a nivel local.
Multinube Una combinación de servicios en la nube; suele incluir múltiples tipos de servicios (informática, almacenamiento, etc.) alojados en múltiples nubes públicas y privadas.
Tipos de servicios en la nube
Infraestructura como servicio (IaaS): Servicios de informática, almacenamiento y redes subyacentes bajo demanda.
Plataforma como servicio (PaaS): Entornos y marcos de desarrollo de aplicaciones basadas en la nube.
Software como servicio (SaaS): Soluciones bajo demanda como Salesforce u Office 365 que se ofrecen como aplicaciones basadas en la nube con modelos de licencia basados en suscripciones.
Riesgos para la seguridad en la nube
El mayor riesgo que plantea la nube es que no existe un perímetro. La ciberseguridad tradicional se centraba en proteger el perímetro, pero los entornos en la nube están altamente conectados, lo que conlleva que las interfaces de programación de aplicaciones (API) inseguras y los secuestros de cuentas puedan plantear problemas reales. Frente a los riesgos para la seguridad que afectan a la computación en la nube, los profesionales de la ciberseguridad deben adoptar un planteamiento más centrado en los datos.
La interconexión también plantea problemas para las redes. Una vez que un hacker consigue acceder a una red, a menudo usando unas credenciales vulneradas o débiles, puede propagarse fácilmente y utilizar las interfaces mal protegidas de la nube para localizar datos en distintas bases de datos y nodos. Incluso puede utilizar sus propios servidores en la nube como destino donde exportar y almacenar los datos robados. Tiene que haber seguridad en la nube, no utilizarse meramente para proteger el acceso a los datos que almacenas en ella.
Depender de que un tercero guarde tus datos y de una conexión a Internet para acceder a ellos también entraña riesgos. Si, por algún motivo, estos servicios se interrumpen, podrías perder el acceso a los datos. Un corte en la red telefónica podría impedirte acceder a la nube. Y un corte del suministro eléctrico podría afectar al centro de datos donde está almacenada tu información.
Tales interrupciones podrían tener repercusiones a más largo plazo. Un reciente corte del suministro eléctrico en una instalación de datos en la nube de Amazon comportó la pérdida de los datos de algunos clientes debido a los desperfectos que se ocasionaron en el hardware de los servidores. Es un buen ejemplo de por qué conviene tener copias de seguridad locales de al menos algunos de tus datos y aplicaciones.
Verifica la seguridad que ofrece tu proveedor de servicios en la nube
Teniendo en cuenta los riesgos para la seguridad que comporta la nube, la seguridad debe ser uno de los aspectos fundamentales a la hora de elegir un proveedor de servicios en la nube. La ciberseguridad de tus datos no es solo asunto tuyo; un proveedor de servicios en la nube debe velar por crear un entorno seguro en la nube y compartir la responsabilidad por la seguridad de los datos.
Y eso te obliga a formularte preguntas como: si el proveedor de servicios en la nube somete a auditorías externas periódicas su seguridad; si los datos de los usuarios se segmentan lógicamente y se guardan por separado; si los datos están cifrados; cuál es la política de conservación de datos de los usuarios aplicable; si los datos se borran debidamente si abandonas el servicio en la nube y cómo se controlan los derechos de acceso.
Y también implica leer los Términos y condiciones del servicio. A fin de cuentas, si no los lees, no puedes quejarte si no obtienes exactamente lo que querías.
Por descontado, las empresas de servicios en la nube no te van a facilitar los modelos de su seguridad en la red, de la misma manera que un banco no te da los planos de su cámara acorazada y la combinación numérica de la caja fuerte. Aun así, obtener las respuestas oportunas a preguntas como estas te dará más confianza en que tus activos en la nube están seguros y tu proveedor tiene controlados los riesgos más evidentes para la seguridad en la nube.
También deberías verificar que conoces toda la cadena de suministros. Si tus archivos están en Dropbox o guardas una copia de seguridad en iCloud (el almacenamiento en la nube de Apple), podría significar perfectamente que se almacenan en servidores de Amazon. De manera que te convendría comprobar AWS, además del servicio que utilizas directamente.
Cómo protegerte en la nube
Por suerte, tienes muchas opciones para proteger tus propios datos en la nube. Una de las mejores maneras de hacerlo es utilizar el cifrado como método de seguridad.
Existen diversas maneras de usar el cifrado, y puede ofrecerlas el proveedor de servicios en la nube o un proveedor de soluciones de seguridad en la nube aparte: puedes cifrar tus comunicaciones con la nube en su totalidad; puedes cifrar únicamente los datos especialmente sensibles, como las credenciales de tus cuentas; también es posible asegurar el cifrado de extremo a extremo de todos los datos que se cargan en la nube y encriptar incluso las descargas para que nadie de fuera pueda acceder a ningún punto de tu comunicación sin tu clave de cifrado; puedes cifrar los datos tú mismo antes de guardarlos en la nube o usar un proveedor de servicios en la nube que los cifre como parte de los servicios que te ofrece.
El cifrado codifica tus datos para que solo los pueda leer alguien que tenga la clave de cifrado. Si te roban o pierdes los datos, serán ilegibles y carecerán de significado. Sin embargo, si solo utilizas la nube para almacenar tus datos no sensibles, como el material gráfico o los vídeos de tu empresa, el cifrado de extremo a extremo podría ser excesivo. Por otro lado, en el caso de la información financiera, confidencial o comercialmente sensible, es vital.
En la nube, los datos corren más riesgo de ser interceptados cuando están en movimiento. Cuando se están trasladando entre dos ubicaciones de almacenamiento o cuando se transmiten a tu aplicación local, son vulnerables. Por este motivo, el cifrado de extremo a extremo es la mejor solución de seguridad en la nube para los datos esenciales.
Si utilizas el cifrado, recuerda que manejar de manera segura tu clave de cifrado es fundamental. Guarda una copia de seguridad de la clave y, si es posible, no lo hagas en la nube. Asimismo, puede convenirte cambiar las claves de cifrado de manera periódica para que, si alguien consigue acceder a ellas, quede desconectado del sistema cuando hagas el cambio.
Hay algunos consejos básicos de ciberseguridad que deberías considerar al subir cualquier dato a la nube. Muchas brechas de datos en la nube se deben a vulnerabilidades básicas, como errores de configuración: evítalas y estarás reduciendo enormemente tus riesgos de seguridad en la nube.
No conserves los ajustes por defecto. Utilizar los ajustes por defecto permite al hacker entrar por la puerta principal: es como dejarte la llave puesta en la puerta de casa.
Nunca dejes un sector de almacenamiento en la nube abierto. Los hackers podrían ver el contenido con solo abrir la URL del sector de almacenamiento.
Si el proveedor de servicios en la nube te proporciona controles de seguridad que puedes activar, utilízalos. No seleccionar las opciones de seguridad correctas podría ponerte en riesgo.
Si no te sientes seguro haciéndolo solo, plantéate usar un proveedor de soluciones de seguridad en la nube aparte.
Merece la pena tener en cuenta los siguientes aspectos si quieres contar con la máxima seguridad en Internet:
Usa contraseñas seguras. Combinar letras, números y caracteres especiales hará que resulte más difícil descifrar tu contraseña. Procura evitar opciones previsibles, como reemplazar una S por el símbolo del dólar ($). Cuanto más aleatoria sea la secuencia de una contraseña, mejor.
Utiliza un administrador de contraseñas. De este modo, podrás asignar a cada aplicación, base de datos y servicio que utilices una contraseña propia, sin necesidad de recordarlas todas. No obstante, es esencial que te asegures de proteger tu administrador de contraseñas con una clave maestra robusta.
Protege todos los dispositivos que utilizas para acceder a tus datos en la nube, incluidos tus smartphones y tablets. Si tienes los datos sincronizados en varios dispositivos, cualquiera de ellos podría ser un eslabón débil que ponga toda tu huella digital en riesgo.
Haz una copia de seguridad de tus datos periódicamente para que, en caso de producirse un apagón en la nube o una pérdida de datos en tu proveedor de servicios en la nube, puedas restaurarlos completamente. Puedes guardar la copia de seguridad en el PC de casa, en una unidad de disco duro externa o incluso en una nube en la nube, siempre que estés seguro de que los dos proveedores de servicios en la nube no comparten infraestructura.
Utiliza los permisos para evitar que ningún dispositivo o persona acceda a todos tus datos a menos que sea necesario. A título de ejemplo, las empresas lo hacen configurando los permisos de sus bases de datos. Si tienes una red doméstica, utiliza redes de invitados para tus hijos, para tus dispositivos IoT y para la televisión. Guarda tu pase de «acceso a todas las zonas» para uso personal.
Protégete con un buen software antivirus y antimalware. Los hackers pueden acceder fácilmente a tu cuenta si el malware se abre camino en tu sistema.
No accedas a tus datos a través de una Wi-Fi pública, sobre todo si no está protegida por una autenticación segura. Utiliza una red privada virtual (VPN) para proteger tu acceso a la nube.
La autenticación multifactor (MFA) es una manera inteligente de proteger tu acceso. Estos múltiples factores pueden ser desde huellas dactilares hasta una contraseña y un código aparte que se envía a tu dispositivo móvil. Lleva más tiempo, pero es útil para proteger los datos más sensibles.
Gestiona de manera activa tus servicios. Si ya no utilizas un servicio o un software, ciérralo adecuadamente. A los piratas informáticos les encanta utilizar como puertas traseras cuentas antiguas que se han dejado abiertas aunque estén inactivas.
Almacenamiento en la nube e intercambio de archivos
También te conviene pensar en cómo compartes los datos en la nube con los demás, sobre todo si trabajas como asesor o por cuenta propia. Si bien compartir archivos en Google Drive u otro servicio puede ser un modo fácil de trabajar con clientes, conviene comprobar que estás gestionando correctamente los permisos. Por ejemplo, ¿pueden los distintos clientes ver los nombres o las carpetas de los demás o, algo incluso peor, modificar sus archivos?
Recuerda que muchos de estos servicios de almacenamiento en la nube de uso generalizado no cifran los datos. Si quieres mantener tus datos seguros mediante el cifrado, deberás usar un software específico para cifrarlos antes de cargar los datos. Y luego tendrás que facilitar a tus clientes una clave, ya que, de otro modo, no podrán leer los archivos.
Reseña: kaspersky - Hugogonzar