2El 1% de los datos en la nube se considera confidencial. Eso significa que los datos de los titulares de las tarjetas, la información de salud protegida, la información protegida por contraseña, la información de identificación personal – todo se procesa y se almacena en la nube. El mito que la mayoría de la gente cree es que todo en la nube es seguro simplemente porque está en la nube, que es como tantos datos confidenciales han terminado allí. Tenemos confianza implícita en Amazon, Microsoft y Google, que dirigen nuestras vidas y nuestros negocios a través de su nube. La dura realidad a la que muchas empresas aún no se han enfrentado es que sus prácticas de ciberseguridad necesitan trasladarse a la nube, al igual que sus datos.
La mentalidad de nube
Los entornos de nube han traído una increíble innovación al mundo, pero a veces esa innovación y accesibilidad eclipsan las necesidades de seguridad de la nube. Las empresas tienden a pensar que cuando ponen «todo» en la nube, se liberan de las responsabilidades de seguridad de datos que tienen. En realidad, ese no es el caso en absoluto. Los datos confidenciales a menudo se dejan abiertos al público debido a responsabilidades de seguridad mal entendidas.
Un elemento fundamental del uso de la nube es el modelo de responsabilidad compartida (véase la documentación de AWS y Azure). Según el GCP, «La seguridad en la nube es una responsabilidad compartida entre el proveedor de la nube y el cliente… Sin embargo, a medida que surgen nuevos modelos de infraestructura, no siempre es fácil determinar de qué es responsable uno frente a la responsabilidad del proveedor». En pocas palabras, el modelo de responsabilidad compartida establece que la seguridad de la nube depende del proveedor y de la seguridad en la nube depende del cliente.
¿Qué es la seguridad en la nube? Tomemos el IAM en AWS, por ejemplo. AWS puede configurar sus características de IAM de la forma más segura posible y proporcionar toda la documentación y la formación necesaria para que usted sepa lo que le queda por hacer, como cliente, pero la responsabilidad de AWS tiene sus límites. Sólo su equipo puede activar el MFA, establecer parámetros de contraseña o dar controles de acceso basados en roles. La violación de datos de Capital One en 2019 se produjo en parte debido a las malas configuraciones de IAM, y no pudieron culpar a AWS por esa violación. Sólo tenían que culpar a su propio equipo.
Por otro lado, tenemos la seguridad en la nube. Siguiendo con el ejemplo de AWS, hablemos de las zonas de disponibilidad, que entran dentro de la seguridad de la nube. Amazon opera centros de datos de última generación dentro de las zonas de disponibilidad. Las zonas de disponibilidad están totalmente bajo las responsabilidades de seguridad de AWS. Nunca se esperaría que un cliente fuera responsable de la seguridad de los centros de datos de Amazon – eso no es razonable.
De la misma manera que AWS no colocaría la responsabilidad de la seguridad del centro de datos en el cliente, los clientes de la nube no pueden colocar la responsabilidad de la seguridad de los datos en el proveedor de la nube. Esto puede suceder cuando las empresas empiezan a pensar: «Todo está en la nube». Es inherentemente seguro». Una vez que tu mentalidad de nube cambie y tu equipo opere según las reglas del modelo de responsabilidad de la nube, toda tu estrategia de seguridad será más robusta.
Ahora que has hecho tu parte como cliente y has establecido los controles en la nube, ¿quién verifica que has configurado todo correctamente? Aquí es donde entra un auditor.
¿Qué es una auditoría de nubes?
No hay suficientes empresas que tengan un tercero para comprobar las configuraciones de la nube. Esto se debe en parte a la falta de conocimiento y experiencia en la nube dentro de las empresas de auditoría, y también al hecho de que los clientes no son conscientes de que las auditorías en la nube son una opción. Una evaluación de las configuraciones dentro de AWS, Azure o GCP será un poco más personalizada que las auditorías tradicionales de seguridad de la información, pero cuando se encuentra la empresa de auditoría adecuada, una auditoría en la nube es una opción. Dos elementos cruciales de las auditorías en la nube son cómo se desarrolló el marco de la auditoría y si el auditor realiza una visita in situ.
De manera similar a como en la industria de las tarjetas de pago, se audita contra el PCI DSS, o en la industria de la salud, se audita contra las reglas de la HIPAA, las auditorías en la nube deben incorporar los puntos de referencia del CIS. Los Parámetros de referencia del CIS establecen la línea base de la industria para los requisitos de seguridad de las configuraciones en la nube, de modo que cualquier auditoría en la nube que usted considere debe basarse en las mejores prácticas de seguridad de la información y de ciberseguridad, así como en los Parámetros de referencia del CIS aplicables. La revisión de las directrices de CIS Benchmarks es también una gran manera de prepararse para una auditoría en la nube – ¿sus configuraciones actuales cumplen o exceden sus mejores prácticas?
Puede parecer irrelevante al principio, pero durante una auditoría en la nube, su auditor debe venir al lugar para reunirse con su equipo. Cuando te alejas de la mentalidad de «todo está en la nube», te das cuenta de que tu gente y procesos necesitan ser evaluados además de las configuraciones de la nube – lo que hace que la visita in situ sea una parte vital de la auditoría. Cada momento de interacción humana con su entorno de nubes – poner datos en la nube, gestionar la nube, acceder a la nube – es una oportunidad para un proceso inseguro, y sin una visita in situ, puede que no sea capaz de captar esas vulnerabilidades.
¿Quién debería realizar una auditoría de la nube?
Las auditorías en la nube requieren de alguien que entienda la computación y la tecnología de la nube, no sólo un auditor promedio. Típicamente será alguien que se especialice en seguridad en la nube o incluso en una plataforma de nube específica, o se puede buscar a personas que tengan certificaciones como el Certificado de Conocimiento de Seguridad en la Nube (CCSK) o el Certificado de Profesional de Seguridad en la Nube (CCSP). Usted quiere un experto en seguridad en la nube que esté dispuesto a trabajar junto con su equipo para garantizar la seguridad en la nube.
Debido a que la tecnología de nubes es nueva y está en evolución, la industria carece de las mejores prácticas que son conocidas y comprendidas. Es por eso que usted quiere encontrar una empresa de auditoría que haga un trabajo minucioso, que pueda proporcionarle una auditoría personalizada, y que tenga auditores que entiendan la tecnología subyacente de la nube. Durante una auditoría en la nube, una mentalidad de asociación con su auditor será extremadamente importante.
Si estás considerando una auditoría de nubes, no lo dudes. Es increíblemente fácil hacer pequeñas malformaciones que pueden llevar a consecuencias masivas. Las auditorías en la nube están aumentando su popularidad, así que haz tu investigación y elige una firma que esté equipada para aprender y entender tu entorno de nubes.