Por: CP Iván Rodríguez. Colaborador de Auditool.
La ciberseguridad en la nube es un tema crítico para las organizaciones, debido a que la nube es un entorno de computación distribuido que permite el acceso y almacenamiento de datos de manera remota, lo que implica una mayor exposición a los riesgos.
Si bien la computación en la nube se ha convertido en una alternativa atractiva para las organizaciones que buscan alejarse del considerable gasto de infraestructura interna y hardware, que de otro modo sería necesario para almacenar datos o ejecutar aplicaciones de misión crítica, es claro que la ciberseguridad es un componente integral para mantener esas soluciones seguras y viables.
La nube presenta una serie de desafíos únicos en términos de seguridad, puesto que los datos y aplicaciones se encuentran en un entorno compartido y administrado por terceros, quienes son los proveedores de servicios. Por ello, es importante que las organizaciones que utilizan servicios en la nube implementen medidas de seguridad para proteger sus datos y sistemas. Para que las organizaciones puedan aprovechar todos los beneficios que la nube tiene para ofrecer sin dejar de proteger sus datos confidenciales, hay una serie de medidas que deben adoptar para lograr este propósito y que deben ser conocidas por los auditores para una mejor comprensión en sus evaluaciones y para tener en cuenta en sus recomendaciones.
Algunas de las medidas de seguridad que normalmente se suelen implementar para proteger la información y los procesos que se ejecutan en la nube incluyen:
- Encriptación: es una medida de seguridad importante para proteger la confidencialidad de la información en la nube. Se trata de una técnica para proteger la información confidencial mediante la transformación de los datos originales en un formato cifrado que sólo puede ser leído por personas o sistemas autorizados. La encriptación se realiza mediante el uso de algoritmos matemáticos que transforman los datos originales en un formato ilegible conocido como "texto cifrado". El texto cifrado se puede desencriptar solamente si se dispone de la clave de desencriptación correspondiente, lo que asegura que la información sólo puede ser leída por personas o sistemas autorizados.
- Autenticación: se refiere al proceso de verificar la identidad de un usuario, dispositivo o sistema para permitir el acceso a un recurso o servicio protegido. La autenticación se utiliza para asegurar que sólo las personas o sistemas autorizados tengan acceso a la información y los recursos. Existen diferentes métodos de autenticación que se utilizan en informática, algunos de los más comunes son:
-
- Contraseñas: el método de autenticación más utilizado que consiste en una clave secreta que el usuario debe ingresar para demostrar que es quien dice ser.
- Tarjetas inteligentes: dispositivos que contienen información de autenticación en una pequeña tarjeta plástica con un chip integrado. Para autenticarse, el usuario debe insertar la tarjeta inteligente en un lector y proporcionar una contraseña o PIN.
- Autenticación biométrica: este método utiliza características físicas únicas de una persona, como huellas dactilares, reconocimiento facial o de voz, para autenticar la identidad del usuario.
- Autenticación de dos factores: este método utiliza dos o más formas de autenticación para verificar la identidad del usuario, como una combinación de contraseña y una clave de acceso enviada a un dispositivo móvil.
- Monitorización: la monitorización o supervisión en la nube se refiere a la práctica de supervisar y recopilar información sobre el rendimiento, el estado y la disponibilidad de los recursos y servicios en la nube. La monitorización es esencial para garantizar que los sistemas en la nube funcionen correctamente y para detectar y solucionar cualquier problema de rendimiento o disponibilidad. Existen diversas herramientas y servicios que permiten realizar la monitorización en la nube, tales como:
-
- Monitoreo de métricas: permite medir el rendimiento de los recursos en la nube, como la utilización de la CPU, la memoria, el ancho de banda y el tráfico de red.
- Monitoreo de registros: permite revisar los registros generados por los sistemas y aplicaciones en la nube para detectar y solucionar problemas.
- Monitoreo de eventos: permite supervisar y recibir alertas sobre eventos importantes, como fallos de sistemas o cambios de configuración.
- Monitoreo de seguridad: permite detectar y responder a posibles amenazas de seguridad en los recursos y servicios en la nube.
La monitorización en la nube es importante para garantizar la continuidad de los servicios y la satisfacción del usuario, así como para optimizar la utilización de los recursos y mejorar la eficiencia en la nube. Al monitorear de forma regular y sistemática los sistemas en la nube, se pueden detectar y resolver problemas antes de que afecten la disponibilidad y el rendimiento de los servicios en la nube, lo que contribuye a mejorar la calidad del servicio y la seguridad en la nube.
- Respuesta ante incidentes: la respuesta ante incidentes en informática se refiere a las medidas y procedimientos que se toman para detectar, analizar y mitigar los efectos de los incidentes de seguridad en los sistemas informáticos, que puede ser cualquier evento que afecte la confidencialidad, integridad o disponibilidad de los datos y sistemas de una organización, como un ataque de malware, una violación de datos, o una interrupción del servicio. La respuesta ante incidentes en informática implica un proceso de varias fases, que incluyen:
-
- Detección: es el proceso de identificar que un incidente de seguridad ha ocurrido.
- Análisis: es el proceso de determinar la naturaleza y el alcance del incidente, así como su impacto en los sistemas y datos de la organización.
- Contención: es el proceso de limitar el alcance del incidente y minimizar su impacto en los sistemas y datos de la organización.
- Erradicación: es el proceso de eliminar el incidente y restaurar los sistemas y datos a su estado normal.
- Recuperación: es el proceso de restaurar los sistemas y datos afectados por el incidente a su estado normal y garantizar que la organización pueda seguir operando de manera efectiva.
- Lecciones aprendidas: es el proceso de revisar el incidente y analizar lo que se podría haber hecho mejor para optimizar la capacidad de respuesta en el futuro.
La respuesta ante incidentes en informática es importante para minimizar los efectos de los incidentes de seguridad y reducir el tiempo de inactividad de los sistemas y servicios afectados. Al implementar un plan de respuesta efectivo ante incidentes se puede detectar, responder y recuperarse de los incidentes de seguridad de manera rápida y eficiente, minimizando el impacto en la organización.
- Evaluación de proveedores: permite a las organizaciones evaluar la capacidad y la idoneidad de un proveedor de servicios en la nube para satisfacer sus necesidades y requisitos específicos. A continuación, se presentan algunos aspectos importantes que se deben tener en cuenta al evaluar a un proveedor de servicios en la nube:
-
- Seguridad: es importante que el proveedor de servicios en la nube tenga políticas y procedimientos de seguridad sólidos y bien definidos para proteger los datos y sistemas de la organización.
- Conformidad: es fundamental que el proveedor de servicios en la nube cumpla con las normas y regulaciones aplicables, como GDPR, HIPAA, ISO 27001, etc.
- Rendimiento: es importante que el proveedor de servicios en la nube tenga una infraestructura de red y hardware sólida y confiable para garantizar un alto rendimiento y disponibilidad de los servicios en la nube.
- Soporte: es esencial que el proveedor de servicios en la nube tenga un equipo de soporte técnico competente y disponible para ayudar en caso de problemas o preguntas.
- Costo: es importante que el costo de los servicios en la nube sea transparente y previsible, y que no haya cargos ocultos.
- Escalabilidad: es importante que el proveedor de servicios en la nube tenga la capacidad de crecer y adaptarse a medida que las necesidades de la organización cambien con el tiempo.
- Experiencia del proveedor: es importante evaluar la experiencia del proveedor en la entrega de servicios en la nube, así como su historial de servicio al cliente.
Si bien las anteriores medidas no son exhaustivas, sí se constituyen en prácticas acertadas para mejorar la ciberseguridad en la nube y deben ser tenidas en cuenta para mitigar los riesgos informáticos.
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.