A medida que las organizaciones planifican trasladar cargas de trabajo y aplicaciones a la nube, se encuentran con un problema fundamental. Los controles y prácticas de seguridad que han construido para sus entornos locales no son exactamente lo que necesitarán en la nube, donde todo es basado en software y está profundamente integrado. La nube presenta nuevas oportunidades para todas las empresas, pero también conlleva nuevos riesgos, consideraciones y estrategias para mitigar estos riesgos. Veamos cómo las empresas deben abordar los aspectos de seguridad de una migración a la nube, desde los fundamentos del control de acceso y la gobernanza hasta las integraciones de API y la monitorización continua.

¿En qué se diferencia la seguridad en la nube de la seguridad en las instalaciones locales?

Existen tres diferencias significativas entre la seguridad en la nube y la seguridad en las instalaciones locales:

1. Responsabilidades compartidas: El concepto del modelo de responsabilidad compartida para la protección de datos y ciberseguridad ha sido parte de la mayoría de los acuerdos de externalización durante muchos años, pero la naturaleza de las responsabilidades compartidas cambió con la llegada de la nube. Todos los principales proveedores de servicios en la nube admiten la responsabilidad compartida en la nube, pero no todos estos modelos son iguales. Su acuerdo con el proveedor de servicios en la nube IaaS debe delinear claramente estas responsabilidades. Por ejemplo, AWS divide su modelo de responsabilidad en dos categorías principales: la seguridad en la nube es responsabilidad del cliente, lo que incluye la protección de datos, la gestión de identidad y acceso (IAM), la configuración del sistema operativo, la seguridad de la red y el cifrado. La seguridad de la nube es responsabilidad de AWS, lo que significa los elementos subyacentes de la infraestructura, incluidos los elementos de cómputo, los hipervisores, la infraestructura de almacenamiento, las bases de datos y la red. Todos los proveedores de servicios en la nube son completamente responsables de la seguridad física de sus entornos de centros de datos. Además, son responsables de la planificación de la recuperación ante desastres de los centros de datos, la continuidad del negocio y los requisitos legales y de personal que se refieren a la seguridad de sus entornos operativos. Los clientes de la nube aún deben planificar sus propios procesos de recuperación ante desastres y continuidad, especialmente en las nubes IaaS donde construyen infraestructura. Los clientes que deseen gestionar copias de seguridad de datos en entornos SaaS y PaaS deben incorporarlos en las estrategias existentes de protección y recuperación de datos.
2. Software: Otra diferencia importante entre la seguridad en las instalaciones locales y la seguridad en la nube es que todo en la nube se basa en software. Esto conlleva requisitos únicos para controles y procesos, y potencialmente nuevas herramientas y servicios para cumplir con los objetivos de seguridad. Nuevamente, el proveedor de servicios en la nube es responsable de administrar y asegurar el hardware que respalda sus servicios.
3. Gobernanza: Prepárese para reestructurar los flujos de trabajo y alineaciones de gobernanza. En la nube, deben ser mucho más ágiles y continuos, con representación de diversos grupos de partes interesadas y disciplinas técnicas. Deberá involucrar a una variedad más amplia de partes interesadas para tomar decisiones mucho más rápidamente de lo que es típico en las prácticas de gobernanza en las instalaciones locales.

Consideraciones de seguridad para la migración a la nube

Existen numerosas consideraciones importantes de seguridad en la nube, pero estas deberían ser sus principales prioridades:

1. Requisitos regulatorios y de cumplimiento: Cualquier entorno en la nube al que migre debe cumplir con las regulaciones y requisitos de cumplimiento necesarios. Todos los principales proveedores de servicios en la nube ofrecen una variedad de cumplimientos y certificaciones de auditoría relacionadas con las capacidades y controles que mantienen, según el mencionado modelo de responsabilidad compartida. Sin embargo, las organizaciones deben asegurarse de cumplir con los requisitos de privacidad en su parte de la responsabilidad compartida. Por ejemplo, pueden necesitar controles y servicios de seguridad en la nube especializados para cumplir con los estrictos requisitos de la industria, como los de las finanzas, la atención médica y las agencias gubernamentales.
2. Visibilidad del plano de control en la nube: El plano de control en la nube proporciona un conjunto de controles y configuraciones. Permite varios tipos de funcionalidades, como la habilitación de registros y el acceso administrativo. Los entornos grandes y complejos, como AWS o Microsoft Azure, pueden tener una cantidad abrumadora de configuraciones para habilitar y monitorear. Las organizaciones deben aprovechar las mejores prácticas de la industria, como aplicar los estándares del Centro de Seguridad en Internet para configurar y asegurar inicialmente las cuentas y suscripciones en la nube, y monitorear cuidadosamente los cambios y las configuraciones riesgosas.

La migración a la nube ofrece muchas ventajas para las empresas, pero también plantea desafíos únicos en términos de seguridad. Al comprender las diferencias clave entre la seguridad en la nube y la seguridad en las instalaciones locales, y al abordar las consideraciones de seguridad adecuadas, las organizaciones pueden garantizar una migración exitosa y segura a la nube.