Una estrategia de ciberdefensa en profundidad que integra el uso de algún modelo de computación en la nube en una organización, comprende fundamentalmente los alcances de la ‘responsabilidad compartida’ entre el Proveedor de Servicios de Nube (CSP) y el contratante para el consumo de una nube segura, ya que la omisión o desinformación de estas competencias puede ser el motivo o factor decisivo para un rotundo fracaso en el cumplimiento y alineamiento de los objetivos de TI con el resto de los objetivos comerciales de la empresa, poniendo en riesgo, por ende, sus sistemas de información y la privacidad de sus datos ante una nueva ola de amenazas cibernéticas dirigidas a infraestructuras de nube.
En la primera parte del artículo se revisaron los modelos de entrega, las características esenciales y los tipos de despliegue nube que declara el NIST, así como los componentes que generalmente conforman una arquitectura de Centro de Datos Definido por Software (SDDC) o Nube Privada, con el fin de visualizar los recursos de infraestructura física y virtual que ofrece cada uno de los servicios de computación en la nube. Conociendo ello, revisaremos ahora desde una perspectiva general las responsabilidades de seguridad de cada uno de los participantes y las que competen a ambos en un esfuerzo conjunto.
Con base en lo que han resaltado en su oferta los principales Proveedores de Servicios de Nube (CSP) como Amazon, Google y Microsoft referente al tema, se tiene la tabla 1 que delimita a alto nivel la seguridad (de la nube y en la nube) concerniente entre el CSP y el contratante en los diferentes modelos de entrega, considerando que algunos alcances pueden variar basados en niveles de acuerdos o contratos establecidos:
Existen diversos documentos y recomendaciones basadas en los principales marcos de seguridad de la industria que pueden tomarse como referencia para asegurar de forma precisa un entorno de nube. Un artículo publicado por la ISACA (Information Systems Audit and Control Association) muestra un desglose de responsabilidades con mayor granularidad, ligando incluso ciertas tareas de aseguramiento a partes la organización como, al arquitecto, gerente de negocios, administrador de TI, auditor externo, etc. En el mismo se cita adicionalmente un nuevo servicio descrito por la Cloud Security Alliance (CSA), el cual puede ser factor clave en la estrategia de las empresas para el consumo de una nube segura.
Seguridad como Servicio: una nueva definición para garantizar el consumo de una nube segura.
Si bien el NIST declara 3 modelos de entrega en la nube vistos anteriormente, el servicio más reciente lo define la CSA en su Guía de Seguridad para Áreas Críticas enfocadas en Computación en la Nube v4:
SecaaS concede la garantía de la seguridad facilitada por terceros, de confianza y con las herramientas y experiencia adecuadas. Transfiere la responsabilidad de la detección, remediación y gobierno de la infraestructura de seguridad, la gestión de incidentes, certificado de cumplimiento y supervisión de identidad y acceso.
Sin embargo, para ser considerada propiamente SecaaS, los servicios aún deben cumplir con las características esenciales del NIST para la computación en la nube mencionadas previamente.
El proveedor de SecaaS puede ser responsable de uno o más de los 12 dominios de seguridad de TI según el acuerdo de interconexión. Los 12 dominios de seguridad de TI para SecaaS definidos por la CSA se muestran en la tabla 2:
Existe una gran cantidad de productos y servicios que se incluyen bajo SecaaS, no obstante, la lista anterior no es canónica y describe muchas de las categorías a abordar más comunes.
Si bien, Forrester Research ha nombrado a algunos CSP’s como líderes en su oferta al incluir seguridad nativa de plataformas de nube pública, las organizaciones no deben perder foco en estas competencias al aplicar seguridad en la nube, e incluso deben tener visión de lo que hay que considerar y revisar a la hora de elegir al CSP, evaluando todas las características que puede otorgar la plataforma; seguridad física a los centros de datos, seguridad y arranque de confianza de los servidores, la pila de software, el acceso a los datos, su encriptación y su eliminación, copias de seguridad y recuperación en contingencias, cumplimiento, etc.
En cuanto a la valoración antes de contratar proveedores de SecaaS que permitan cubrir dominios críticos de seguridad para la nube, es necesario cerciorarse que el servicio sea compatible con los planes actuales y futuros de la organización, con sus plataformas en la nube (y locales), comprender los requisitos específicos de seguridad para el manejo de datos, su disponibilidad y su retención, la investigación y el soporte de cumplimiento, considerar las estaciones de trabajo y los sistemas operativos móviles que admite, etc. De esta manera, y siempre cumpliendo continuamente con el cuidado y diligencia debidos (Due Care, Due Diligence), se estará aplicando una estrategia de seguridad holística alineada con los objetivos de negocio generales.
