¿Qué es la seguridad de la computación en la nube?

La seguridad de la computación en la nube, también llamada seguridad en la nube, es un término genérico que hace referencia a las tecnologías, procesos y controles usados para proteger infraestructuras, servicios y aplicaciones en la nube, además de los datos almacenados y procesados en la nube.

¿Qué es la computación en la nube?

Antes de ahondar en las especificaciones de la seguridad en la nube, primero debemos comprender qué es la computación en la nube.

En un entorno de datos tradicional, una organización posee y opera su propio hardaware back-end y otra infraestructura, ya sea localmente o en un centro de datos (este último conocido como "nube privada"). Esto significa que la organización es responsable de configurar, mantener y proteger todo, incluidos los servidores y otro hardware.

En un entorno de computación en la nube, básicamente la organización "alquila" la infraestructura en la nube a un proveedor de servicios en la nube. Este posee y opera el centro de datos, todos los servidores y otro hardware, así como toda la infraestructura subyacente, como los cables submarinos. Esto libera a la organización de tener que mantener y proteger la infraestructura en la nube y le ofrece otros muchos beneficios, como una sencilla ampliación y modelos de precios de pago por uso.

No todos los servicios de computación en la nube se crean igual. Existen tres tipos principales de servicios en la nube y, normalmente, las organizaciones modernas usan una combinación de ellos.

El software como servicio (Software-as-a-Service o SaaS) es el tipo de servicio en la nube más común. Casi todo el mundo usa aplicaciones SaaS, incluso aunque no lo sepan. Puede ser un producto SaaS entregado por internet y al que se accede a través de una aplicación móvil, una aplicación de escritorio o un navegador web. Las aplicaciones SaaS incluyen desde aplicaciones de consumo, como Gmail y Netflix, hasta soluciones para empresas, como Salesforce y el conjunto ofimático de Google Workspace.

La infraestructura como servicio (Infrastructure-as-a-service o IaaS) es un servicio en la nube destinado principalmente a organizaciones, aunque algunos aficionados a la tecnología suelen comprar un servicio IaaS para uso personal. El proveedor de servicios en la nube ofrece servicios de infraestructura, como servidores, almacenamiento, redes y virtualización, mientras que el cliente gestiona el sistema operativo y cualquier dato, aplicación, middleware y tiempo de ejecución. Cuando se habla de "nube pública", normalmente se hace referencia a una IaaS. Algunos ejemplos de proveedores de nubes públicas son los tres grandes de la industria: Amazon Web Services (AWS), Google Cloud Platform (GCP) y Microsoft Azure.

Las soluciones de plataforma como servicio (Platform-as-a-service o PaaS) se dirigen directamente a los desarrolladores. El cliente se encarga de las aplicaciones y los datos, y el proveedor de la nube se ocupa de todo lo demás, incluidos el sistema operativo, el middleware y el tiempo de ejecución. En otras palabras, las soluciones PaaS ofrecen a los desarrolladores un entorno listo para usar en el que pueden crear, desplegar y gestionar aplicaciones sin tener que preocuparse de actualizar el sistema operativo o el software. Algunos ejemplos de PaaS son AWS Elastic Beanstalk, Heroku y Google App Engine. Generalmente, la PaaS se utiliza junto con la IaaS. Por ejemplo, una empresa puede utilizar AWS para el alojamiento y AWS Elastic Beanstalk para el desarrollo de aplicaciones.

Comprender cuáles son las responsabilidades del proveedor y del cliente de la nube es clave para entender la seguridad en la nube.

¿Qué es la seguridad en la nube?

La seguridad en la nube sea basa en lo que se conoce como el modelo de responsabilidad compartido. En este modelo:

  • El proveedor de la nube es el responsable de la seguridad de la nube, es decir, de su centro de datos físico, de otros activos como los cables submarinos y de la infraestructura lógica en la nube.
  • Su organización es la responsable de la seguridad en la nube, es decir, de las aplicaciones, los sistemas y los datos almacenados en la nube.

Piense que es como alquilar un pequeño almacén físico. Usted es responsable de proteger las pertenencias que almacene, es decir, asegurarse de cerrar la puerta y mantener a salvo la llave. La empresa propietaria es responsable de la seguridad de todo el complejo mediante controles, como entradas cerradas, cámaras, iluminación adecuada en áreas comunes y vigilantes. La empresa es responsable de la seguridad del conjunto de almacenes, pero usted es responsable de la seguridad de su propio almacén.

¿Cómo funciona la seguridad en la nube?

Tanto si hablamos de una aplicación SaaS como de un despliegue IaaS (nube pública) o de una plataforma PaaS para desarrolladores, la seguridad en la nube se basa en gran medida en la gestión de accesos e identidades (IAM) y en la prevención de la pérdida de datos (DLP). En otras palabras, evitar que las partes no autorizadas accedan a su servicio en la nube y a sus datos.

Si continuamos con el ejemplo del almacén físico, si no protege adecuadamente la llave y alguien la roba y la usa para acceder a él, los controles de seguridad de la empresa no fallaron, fallaron los suyos. De forma similar, si utiliza una contraseña débil y fácil de adivinar para proteger su cuenta de Gmail o la consola de administración de GCP y un atacante la pone en riesgo, el error de seguridad será suyo, no de Google.

Además de evitar el acceso no autorizado y el robo de datos, la seguridad en la nube también busca prevenir la corrupción o pérdida accidental de datos por error humano o negligencia, asegurar la recuperación de datos si se produce una pérdida y respetar las leyes de privacidad de los usuarios como la HIPAA, que prohíbe el acceso no autorizado a los registros médicos privados. La seguridad de la nube es fundamental para la respuesta a incidentes de seguridad, la recuperación en caso de catástrofe y la planificación de la continuidad de la actividad.

Las medidas de seguridad en la nube más comunes incluyen:

  • Los controles IAM, como el control de accesos basado en roles (RBAC) y el acceso de mínimo privilegio, lo que significa que los empleados solo tienen acceso a las aplicaciones y datos que necesitan para hacer su trabajo y nada más
  • Las herramientas DLP que identifican datos confidenciales, los clasifican, supervisan su uso y evitan su mal uso, como evitar que los usuarios finales compartan información confidencial fuera de las redes de la empresa
  • Cifrado de los datos tanto en tránsito como en reposo
  • Configuración y mantenimiento seguro del sistema

¿Tiene riesgos la seguridad en la nube?

Aquí tiene algunos de los principales retos y riesgos asociados con la seguridad en la nube.

  • La nube crea un área de ataque muy ampliada sin perímetro de red. Uno de los mayores errores que cometen las organizaciones al migrar a la nube es pensar que pueden simplemente transferir todas sus herramientas y políticas de seguridad actuales. Aunque muchos aspectos de la seguridad en la nube son similares a los de los sistemas locales, la protección de un entorno en la nube es muy diferente a la del hardware local, ya que la nube no tiene un perímetro de red definido.
  • Puede haber una falta de visibilidad en la nube, especialmente en los entornos de datos tan complejos de hoy en día. Raro es la organización que usa solo una nube pública, pues la mayoría usa al menos dos (lo que se llama entorno multinube) o una combinación de nubes públicas con infraestructura local (conocido como entorno de nube híbrida). Por desgracia, cada entorno de nube incluye sus propias herramientas de supervisión nativas, lo que hace difícil para los administradores de TI y el personal de DevOps tener una imagen clara de lo que está pasando en el entorno de datos.
  • La proliferación de cargas de trabajo es otro problema de visibilidad, incluso para las organizaciones que utilizan una sola nube pública. Las máquinas virtuales (VM) y los contenedores son fáciles de poner en marcha, por lo que pueden proliferar muy rápidamente. Además de poner en peligro la seguridad, las máquinas virtuales y los contenedores no utilizados aumentan la factura de los servicios en la nube.
  • Las TI en la sombra, o el uso por parte de los empleados de aplicaciones que no han sido examinadas por el personal de seguridad, son otro motivo de preocupación en la nube.
  • Las empresas pueden enfrentarse a problemas de compatibilidad con software y sistemas heredados, sobre todo con aplicaciones de línea de negocio (LOB) que no pueden sustituirse o adaptarse a la nube de forma realista.
  • Una mala configuración de la nube también puede causar problemas, como establecer por error que una carpeta en la nube sea públicamente visible cuando contiene datos confidenciales.

Buenas prácticas de seguridad para la computación en la nube

Asegúrese de entender por completo el modelo de responsabilidad compartida y de las responsabilidades de seguridad que le corresponden a su organización. Puede parecer obvio, pero comprender quién es responsable de qué puede ser complicado, sobre todo en entornos híbridos.

Uno de los beneficios de la computación en la nube es que se puede acceder a los recursos desde cualquier parte y dispositivo. No obstante, desde una perspectiva de seguridad, esto significa que hay más puntos de conexión que proteger. Las herramientas de gestión de la seguridad de los puntos de conexión y de dispositivos móviles le permitirán aplicar políticas de acceso y aplicar soluciones de verificación de accesos, firewalls, antivirus, cifrado de disco y otras herramientas de seguridad. Otras buenas prácticas de computación en la nube incluyen:

  • Cifrar todos los datos que almacena y procesa en la nube, tanto en tránsito como en reposo.
  • Analizar su entorno en busca de vulnerabilidades y parchear cualquier incidencia cuanto antes.
  • Realizar copias de seguridad de los datos de forma habitual en caso de un ataque de ransomware o una catástrofe.
  • Registrar y supervisar toda la actividad de los usuarios y la red a través de un entorno de datos.
  • Configurar los ajustes de la nube cuidadosamente. Una buena regla general es que rara vez conviene dejar los ajustes predeterminados tal cual están. Sáquele el máximo partido a los ajustes y herramientas de seguridad del proveedor de su nube y esté al tanto de las nuevas herramientas y mejoras.
  • Implementar una política de seguridad de confianza cero con segmentación de la red y herramientas y controles de gestión de acceso e identidades (IAM), incluido el acceso basado en roles, el acceso de mínimo privilegio, contraseñas fuertes, la aprobación de dispositivos y la autenticación de varios factores (MFA).
close
Ventas empresariales
Asistencia
closeSeleccione Idioma
close

Negocios y empresas

Proteja su empresa de los ciberdelincuentes.

Empieze la prueba gratuita

Sector público y FedRAMP

Proteja su agencia y su institución educativa frente a los ciberdelincuentes.

Contactar Ventas

MSP

Proteja su organización de MSP y a sus clientes finales y añada nuevas fuentes de ingreso.

Empieze la prueba gratuita

Personal y familiar

Protéjase a sí mismo y a su familia de los ciberdelincuentes.

Protéjase ya
close

Personal y familiar

Protéjase a sí mismo y a su familia de los ciberdelincuentes.

Empieze la prueba gratuita

Negocios y empresas

Proteja su empresa de los ciberdelincuentes.

Empieze la prueba gratuita
Español (ES) Llámenos
Descárguela en el App Store Consígala en Google Play