La seguridad en la nube es también una responsabilidad de los clientes

Junio 17, 2021 - 08:00

Contrario a lo que se puede creer, la responsabilidad de la protección de los datos que cada cliente almacena en la nube no le corresponde al proveedor del servicio, sino directamente a ese cliente que lo contrata.

Cuando una organización utiliza Cloud Computing (Computación en la Nube), una solución por demanda que incluye servicios que van desde aplicaciones en la red, hasta el almacenamiento y procesamiento de la información, esta está regulada por el Modelo de Responsabilidad Compartida de Seguridad (SRM, por sus siglas en inglés).

La confusión con las responsabilidades surge del desconocimiento que se tiene al suscribir este servicio de almacenamiento remoto, el cual está avalado internacionalmente y define que la tarea del proveedor se limita al cuidado de aspectos físicos, infraestructura, red y digitalización. Por su parte, el cliente es quien debe garantizar la seguridad del acceso y la correcta identificación de los usuarios que utilizan la información, así como el resguardo de los datos que allí se alojan.

Una encuesta realizada el año pasado por Oracle y KPMG sobre el grado de comprensión que muchas empresas en la nube tienen sobre el SRM, mostró que la gran mayoría de ellas estaban altamente familiarizadas con el término. Sin embargo, solo el 8% manifestó entenderlo completamente para cada servicio en la nube. La falta de claridad al respecto hace que muchas compañías omitan varias de las obligaciones que tienen dentro de esta solución.

En este sentido, un estudio reciente de Gartner, empresa consultora y de investigación de las tecnologías de la información, destacó que para el 2022, se proyecta que al menos el 95% de los fallos de seguridad que ocurran dentro de la nube serán atribuibles a los clientes.  

Una empresa que almacena su información en la nube consigue ahorrar dinero, tiempo y esfuerzo, puesto que puede contar con servicios de terceros a través de la web según sus necesidades y el alcance que tenga como negocio. Además, obtiene importantes beneficios en términos de seguridad. No obstante, esta labor no depende solo de una de las partes. Ante la adopción de este tipo de solución, lo realmente importante es comprender que frente a los riesgos en ciberseguridad se debe asumir una responsabilidad compartida entre el usuario y el proveedor.

La estrategia más efectiva para que una empresa controle la información en la nube, es gestionar correctamente los diferentes grados de compromiso y realizar pruebas periódicas de seguridad para el hallazgo temprano de las vulnerabilidades presentes.

Existen diversas técnicas de evaluación automáticas y manuales que se pueden implementar desde las organizaciones, ya sea cuando los activos están alojados en entornos como AWS, GCP y Azure, o en cualquier otro proveedor de nube. La continua penetración en las infraestructuras, permitirá analizar la arquitectura y la integridad de la información, para luego determinar qué debe ser corregido y controlado.

Durante el último año, las empresas debieron adoptar diferentes modelos de trabajo remoto como respuesta a la actual pandemia que estamos viviendo. Esta necesidad motivó también el uso de un mecanismo efectivo para alojar la información y permitir la operatividad en la organización. A raíz de los inconvenientes de seguridad que suelen presentarse en estos ambientes, antes de que usted realice la migración de su negocio (ya teniendo sus datos allí alojados hágalo con prontitud), le recomendamos entender qué es la nube y qué requisitos de protección son responsabilidad de las compañías de acuerdo al servicio que utilizan.

 

Por Felipe Gómez, Partner & LATAM Manager de Fluid Attacks.

 

 

Imagen
Revista Gestion