• Teleinfo Press

SEGURIDAD EN LA NUBE ¿DÓNDE ESTÁN LAS RESPONSABILIDADES?


Por Álvaro Cuadros


En Bolivia tenemos ya múltiples iniciativas de crear o migrar sistemas a la nube (Cloud), sea esta híbrida o privada. Esta tendencia imparable ocasiona que nazcan, naturalmente, dudas sobre cómo encarar las responsabilidades de seguridad derivadas de la misma.


Si estás en este proceso te aconsejo leer estos tips y si necesitas más información ahí te dejo unos links que espero sean muy útiles.


Existen múltiples artículos y papers sobre cómo debe funcionar la relación y distribución de responsabilidades de seguridad entre proveedores de servicios en la nube (cloud service providers (CSPs) y los clientes de este servicio, sin embargo, también existen varias y simultaneas interpretaciones sobre su correcta implementación.


La guía para gestionar efectivamente la seguridad en la nube “Guideline on Effectively Managing Security Services in the Cloud” Brinda una ruta sencilla y fácil de entender para los clientes de la nube y cubre en detalle el cómo diseñar, publicar y operar un servicio seguro en la nube en modelos IaaS, PaaS, y SaaS. Los clientes de cualquier Nube pueden usar esta guía para ayudarse a lograr que sus servicios corran de manera segura en la nube.


En la guía, la primera figura sobre la responsabilidad ilustra el alcance de responsabilidad en los modelos IaaS, PaaS, y SaaS de la siguiente manera:

Staying Secure in the Cloud Is a Shared Responsibility, Gartner, https://www.gartner.com/doc/3277620/staying-secure-cloud-shared-responsibility

División de responsabilidad de seguridad entre clientes de la nube y proveedores de Servicio en la Nube (CSP) en los diferentes servicios.


Si bien existen diferencias en las responsabilidades de seguridad entre modelos, existen también responsabilidades comunes a todos los modelos.


Responsabilidades del proveedor:


  • Seguridad física de la infraestructura, incluyendo pero no limitada a: entrega de energía eléctrica, enfriamiento, protección ante incendios, agua y también hurto.

  • Seguridad del hardware de computo, almacenamiento y de red.

  • Seguridad de las redes básicas, tales como firewalls.

  • Seguridad del almacenamiento de sistemas virtualizados a nivel de respaldo y recuperación de respaldos.

  • Seguridad de la infraestructura de virtualización, tales como la isolación o separación lógica de los recursos propios de virtualización y separación lógica adecuada entre tenants.

  • Identificación y control de acceso de los tenants.

  • Acceso seguro a los recursos virtualizados de cada cliente.

  • Gestión de seguridad, monitoreo de operaciones, y respuesta ante incidentes en la infraestructura.

  • Formular y realizar pruebas adecuadas de los planes de continuidad y recuperación ante desastres para la infraestructura.


Tus responsabilidades como cliente de una nube


  • Gestión de identidad y control de acceso a tus sistemas.

  • Seguridad de los datos, los clientes controlan los datos en sus sistemas y por tanto son responsables por ellos, el proveedor únicamente los procesa. Este es un punto crítico que incluso se encuentra respaldado usualmente a niveles legales muy estrictos.

  • Gestión de seguridad y control de las terminales por las cuales se acceden a los servicios virtualizados incluyendo: Hardware, Software, Aplicaciones y Dispositivos y sus privilegios.


La guía proporciona en varios capítulos la descripción técnica de las medidas de seguridad para sistemas en la nube y provee además una ruta de implementación basada en tecnologías, productos y servicios vigentes. También ilustra que tecnologías, productos y servicios deberían ser implementados tanto por proveedores como clientes, de acuerdo con el modelo en el que se encuentren trabajando (IaaS, PaaS o SaaS).


Responsabilidades de seguridad

Este artículo se basa en varios otros escritos por el CSSM Working group.




 

TEL Bolivia: (591 - 3) 3429010 

WhatsApp: 591-72108608

Email: teleinfopress@teleinfopress.com

Santa Cruz, Bolivia