Novared: ¿Es segura la nube para mi empresa?

Existen muchos mitos sobre la nube pública: que no es tan segura como la infraestructura local; que otros usuarios pueden ver la información; que no se puede asegurar la misma disponibilidad; o que no es posible cumplir regulaciones para ciertas industrias, entre otras. Nada de eso es cierto, o, al menos, no para todos los proveedores de nube pública.

Analicemos, entonces, la responsabilidad entre el proveedor y el cliente, la seguridad en la nube y el control de cumplimientos normativos.

Operar un datacenter propio, que tenga controles de seguridad, integridad y disponibilidad, lleva a dudar acerca de la capacidad y responsabilidad de un proveedor de nube. En este sentido, el Modelo de Responsabilidad Compartida define, según el tipo de servicio cloud que se contrate (IaaS, PaaS o SaaS), cuáles son las responsabilidades del proveedor y cuáles las del cliente.

Es importante asegurarse de que el proveedor de nube cumpla los controles requeridos. Y para lograrlo deberíamos realizar una lista de todos los controles de seguridad necesarios y pedirle al proveedor que explique cómo cumplirá cada uno. Probablemente este, con sus millones de clientes, no va a responder todas esas consultas para tomar la decisión adecuada. Por eso y para eso, existe el Cloud Security Alliance (CSA), una organización que definió las buenas prácticas para obtener un entorno seguro de nube pública. CSA creó una matriz de controles, llamada Cloud Control Matrix, donde define controles específicos para cloud y los mapea a los estándares conocidos de la industria.

CSA resuelve completamente esta tarea mediante el programa STAR (Security Trust Assurance and Risk) donde los proveedores de nube son auditados y clasificados, en 3 niveles, según su nivel de madurez. Con esta información se puede seleccionar el proveedor adecuado, para estar seguros de que cumplen con nuestros requisitos de seguridad.

El ambiente de automatización que da la nube sirve también para cumplir los controles de la propia empresa. Los mismos desarrolladores que integran soluciones de control, pueden indicar el nivel de riesgo y compliance que tiene nuestro ambiente cloud. Estas soluciones, conocidas como CASB (Cloud Access Security Broker), han evolucionado para integrarse mediante APIs a las plataformas de nube e indicarnos hasta el más mínimo desvío en nuestros controles y darnos información en tiempo real.

Esto permite afirmar que SI, LA NUBE ES SEGURA PARA MI EMPRESA.

Por: Néstor Perelman
Jefe Arquitectura de Cyberseguridad. Novared