El desafío de la ciberseguridad en la Nube pasa por la identidad y autenticación de acceso, según BDO
Junto a la identidad y autenticación, BDO señala el cifrado de la información confidencial y la detección de incidentes como los desafíos principales.
BDO, una de las mayores firmas globales de servicios profesionales, ha analizado la evolución de la percepción de las aplicaciones de la Nube en el mundo empresarial y los desafíos a los que se enfrentan las compañías para alcanzar un correcto gobierno y gestión de riesgos ciber en el Cloud.
Existen tres desafíos de seguridad en la Nube que deben enfrentar las empresas. El primero, gestionar la identidad y la autenticación de acceso debido a la importancia de administrar los perfiles que pueden tener acceso a este tipo de datos.
El segundo desafío es la responsabilidad por parte de las empresas de almacenar y cifrar la información confidencial, paso clave para la mitigación de cualquier tipo de riesgo que pueda aparecer.
Y, por último, anticiparse a los inevitables incidentes de seguridad, para los que las compañías deben prepararse con procesos y herramientas concretas de detección, así como para su gestión.
Entre las iniciativas que BDO menciona para hacer frente a estos desafíos destacan el establecimiento de un control de seguridad, evaluaciones constantes y auditar los controles de seguridad establecidos.
A pesar de que al inicio las aplicaciones en la Nube generaban desconfianza en las compañías, que veían cómo disminuía el control de sus datos, actualmente las empresas han desarrollado un exceso de confianza en este modelo debido a que consideran el mundo Cloud como un escenario seguro, según BDO.
Sin embargo, tanto el proveedor de la Nube, como el cliente son responsables de diferentes aspectos de la seguridad y deben trabajar unidos para garantizar una cobertura completa en un entorno de responsabilidad compartida.
El hecho de que no exista un modelo estándar de responsabilidad compartida está causando confusión, incluso en los directivos de seguridad de TI. Por ello, si se quiere lograr una exitosa estrategia de TI que cumpla con los objetivos generales de la empresa y así evitar poner en riesgo información sensible, resulta fundamental comprender los límites de responsabilidad compartida entre los proveedores de servicios Cloud y los clientes.
Recomendaciones BDO
En este contexto, BDO ha analizado diferentes iniciativas y acciones que deben tener en consideración las entidades para una correcta gestión de ciber riesgos en el Cloud y lograr un correcto gobierno.
En primer lugar, se debería de establecer un modelo de Vendor Risk Management en el que se identifiquen las necesidades de seguridad de los servicios Cloud que se van a externalizar y, posteriormente, analizar la seguridad de los potenciales proveedores, además de acordar contractualmente los niveles y requerimientos de seguridad.
En segundo lugar, es importante llevar a cabo evaluaciones periódicas de cumplimiento de los proveedores Cloud con las mejores prácticas de seguridad. Generalmente, a través de auditorías externas regulares y certificaciones de cumplimiento de los estándares de mercado como por ejemplo SOC, Esquema Nacional de Seguridad, Pinakes o ISO 27001 y 27017.
En tercer lugar, resulta esencial auditar aquellos controles de seguridad que recaen en la empresa con el objetivo de detectar potenciales malas prácticas relacionadas con la configuración, implementación y uso de los servicios Cloud. Pese a que los proveedores Cloud ofrecen servicios y productos de seguridad a sus clientes, son estos últimos quienes tienen que aplicarlos, ejecutarlos y monitorizarlos. En este sentido, los proveedores Cloud realizan grandes esfuerzos en desarrollar detalladas guías de sus servicios para permitir a sus clientes cumplir con los requerimientos regulatorios y normativos aplicables.
Roger Pérez, director en el área de Risk Advisory de BDO explica que, “cuando una empresa ejecuta y administra su infraestructura de TI en sus instalaciones y centros de datos, es responsable de la seguridad de esa infraestructura, así como de las aplicaciones y los datos que se ejecutan en ella. Sin embargo, cuando una organización cambia a un modelo de computación en la Nube, transfiere algunas, pero no todas, estas responsabilidades de seguridad de TI a su proveedor de la Nube. Hablamos entonces de responsabilidad compartida”.
En conclusión, la Nube ofrece importantes ventajas de simplicidad y seguridad, pero sus servicios no son seguros de forma predeterminada, por lo que es necesario que las entidades apliquen planes y medidas, tanto preventivas como reactivas, además de implementar las medidas que proporciona el proveedor, con el fin de asegurar la infraestructura alojada en Cloud.