Con cada vez más servicios y recursos alojados en la nube, a los que se acceden desde multitud de localizaciones y dispositivos con diferentes privilegios, la identidad y autenticación de acceso se ha convertido en el gran desafío de las ciberseguridad en la nube. Al menos es lo que asegura BDO, una firma global de servicios profesionales, que ha analizado la evolución de la percepción de las aplicaciones de la Nube en el mundo empresarial y los desafíos a los que se enfrentan las compañías para alcanzar un correcto gobierno y gestión de riesgos en el Cloud.
BDO identifica tres desafíos. El primero, ya comentado es gestionar la identidad y la autenticación de acceso; el segundo es la responsabilidad por parte de las empresas de almacenar y cifrar la información confidencial, paso clave para la mitigación de cualquier tipo de riesgo que pueda aparecer; el tercero tiene que ver con anticiparse a los inevitables incidentes de seguridad, para los que las compañías deben prepararse con procesos y herramientas concretas de detección, así como para su gestión.
Establecer un control de seguridad, realizar evaluaciones constantes y auditar los controles de seguridad establecidos son algunas de las iniciativas que BDO plantea para hacer frente a los desafíos mencionados.
La confianza en la nube ha pasado de cero a cien en pocos años y son muchas las empresas que no terminan de comprender que, en la nube, la responsabilidad es compartida, por lo que el cliente y el proveedor deben trabajar juntos. Tras analizar la situación, BDO propone un modelo de Vendor Risk Management en el que se identifiquen las necesidades de seguridad de los servicios Cloud que se van a externalizar y, posteriormente, analizar la seguridad de los potenciales proveedores, además de acordar contractualmente los niveles y requerimientos de seguridad.
También propone evaluaciones periódicas de cumplimiento de los proveedores Cloud con las mejores prácticas de seguridad. Generalmente, a través de auditorías externas regulares y certificaciones de cumplimiento de los estándares de mercado como por ejemplo SOC, Esquema Nacional de Seguridad, Pinakes o ISO 27001 y 27017.
En tercer lugar, resulta esencial auditar aquellos controles de seguridad que recaen en la empresa con el objetivo de detectar potenciales malas prácticas relacionadas con la configuración, implementación y uso de los servicios Cloud.
