Tribuna de opinión. Por José Delgado, Sales Engineer de Commvault Iberia.
Con un número cada vez mayor de organizaciones que trasladan su infraestructura y sus servicios a la nube, muchas de ellas están adoptando estrategias multi-nube. Esto supone el uso de distintos servicios de almacenamiento y de computación en la nube con una arquitectura heterogénea. Aunque la distribución de los activos, el software y las aplicaciones en distintas nubes tiene muchas ventajas, como la agilidad, la flexibilidad, los precios competitivos, la escalabilidad y la fiabilidad, también plantea varios retos que hay que abordar.
Por ejemplo, las organizaciones suelen tener dificultades para proteger nubes diferentes, debido a la falta de visibilidad entre los hosts y los servicios, lo que facilita que los ciberdelincuentes encuentren vulnerabilidades que puedan ser explotadas dentro de la infraestructura corporativa. Dado que la nube no tiene perímetros definidos, su protección es muy diferente a la de un entorno local. De hecho, un mito popular es que un entorno on-premise es más seguro que la nube, pero la verdad es que ni uno ni otro es más o menos seguro.
Lo que tiene más sentido
Es necesario empezar a cambiar el punto de vista de los usuarios en torno a la seguridad en la nube y el debate debería centrarse más bien en los pros y los contras de cada entorno, en lugar de cuál es más o menos seguro. Esencialmente, ambos ofrecen los mismos niveles de seguridad, por lo que lo importante es saber lo que tiene más sentido para un cliente en términos de satisfacer sus requisitos.
Otra pregunta habitual es quién es el responsable último de la seguridad en la nube. Los hiperescalers que proporcionan servicios e infraestructuras en la nube son muy claros al afirmar que se trata de una responsabilidad compartida.
El proveedor de la plataforma es responsable de la seguridad de la red y de la plataforma, pero no es responsable de la seguridad de los datos. Esto sigue siendo responsabilidad del usuario o del propietario de la aplicación, que debe asegurarse de que contar con los protocolos de seguridad pertinentes y de que se sigue un proceso de confianza cero para asegurar sus datos. Así pues, aunque los proveedores de servicios en la nube harán todo lo que esté en su mano para evitar que los malos actores entren en el entorno, la responsabilidad de proteger los datos recae en el cliente.
Controlar el acceso
Debido a la naturaleza del entorno de la nube, es necesario que las organizaciones controlen el acceso de usuarios a la plataforma, lo que empieza por establecer una política de confianza cero y aplicar el principio de privilegio mínimo en todos los puntos de entrada.
A continuación, deben seguir procesos como la gestión del control de accesos, introducir controles de acceso basados en reglas o incluso en funciones, y encontrar la combinación adecuada que les proporcione el nivel de seguridad que necesitan.
Al mismo tiempo, las empresas también quieren garantizar la seguridad y la privacidad de sus datos críticos en la nube sin interrumpir las operaciones, y para ello hay muchas opciones de almacenamiento entre las que elegir. Se trata de escoger soluciones que puedan restringir el acceso, supervisar la actividad y responder a las amenazas lo más rápidamente posible, salvaguardando en última instancia la reputación de la empresa.
Varios pasos
Una práctica habitual que las empresas suelen emplear para garantizar su seguridad y la protección de la privacidad de sus datos implica varios pasos. El primero es la visibilidad de los datos, seguido de la implementación de herramientas de prevención de pérdida de datos y cortafuegos. Algunos usuarios de la nube también implementan soluciones de almacenamiento con protección de datos integrada.
La seguridad del entorno nunca debe centrarse en si la nube u on-premise ofrecen la mejor seguridad, sino que se trata de encontrar las soluciones adecuadas para cada empresa. Éstas deben contar con la tecnología adecuada para detectar a los intrusos, al tiempo que se aseguran de que los empleados –el factor humano suele ser la mayor amenaza para una organización- tengan los conocimientos y la formación adecuados para seguir los protocolos de seguridad.
