Las 23 mejores prácticas para la Seguridad en la Nube

Por febrero 15, 2018

Prepararse para la seguridad en la nube ya no es un lujo, sino un procedimiento estándar. En primer lugar, usted debe considerar y entender los tres modelos de computación en nube: infraestructura-como-servicio (IaaS), plataforma-como-servicio (PaaS) y software-como-servicio (SaaS).

  • Con IaaS, la infraestructura básica es ofrecida por el proveedor y los demás componentes y aplicaciones son responsabilidad del contratista. En esta modalidad, el sistema operativo está disponible, pero el cliente es responsable de instalar, configurar y mantener los servidores de aplicaciones y la aplicación.
  • Con PaaS, el contratista entra en la solución de la aplicación y los demás servicios son responsabilidad del proveedor de servicios. En esta modalidad, incluso el servidor de aplicaciones está disponible. Sin embargo, la aplicación y sus vulnerabilidades ocasionales son responsabilidad del cliente.
  • Con SaaS, cada solución es responsabilidad del proveedor de servicios, lo que no perjudica la responsabilidad del propietario de la información.

Básicamente, la responsabilidad por la seguridad de la nube va desde el contratista al proveedor y el modelo SaaS requiere un contrato extremadamente elaborado. Es importante recordar que, independientemente del modelo, el contratista es siempre el propietario de la información.

Ahora que mapeamos los modelos, a continuación están las recomendaciones para las organizaciones considerando una asociación con un proveedor externo:

  1. Establecer SLAs en el contrato, incluyendo en casos de incidentes de seguridad

Un detalle sólido del acuerdo de nivel de servicio (SLA) en su contrato es extremadamente importante porque el control viene totalmente de los equipos internos de IT y seguridad. Si las indisponibilidades de infraestructura, los ataques de denegación de servicio distribuidos (DDoS), las vulnerabilidades u otros incidentes de seguridad no están establecidos en el contrato, usted no podrá prevenir las sanciones y las multas en caso de un incidente de seguridad.

  1. Suministre el diseño de la arquitectura de seguridad

Su proveedor debe alinear con usted y detallar en el contrato la arquitectura de seguridad utilizada en este entorno. El proveedor puede no necesariamente informar al fabricante, pero debe asegurarse de que haya aspectos como entornos de segregación de firewall (Internet, operador, datos de tarjeta, etc.), soluciones antivirus y de detección de intrusos.

  1. Tenga protecciones especializadas para el perímetro

La seguridad tecnológica no se restringe a los firewalls. Su socio de negocios, que está ofreciendo las soluciones en nube, debe estar preparado para proteger el perímetro de la manera más eficaz posible.

Una solución de correo electrónico de nube debe tener lo siguiente:

  • Antivirus;
  • AntiSpam;
  • Control de fugas de información;
  • Posibilidad de crear reglas específicas para el bloqueo, incluyendo los archivos adjuntos;
  • Monitoreo de correo electrónico.

Una solución de aplicación en la nube debe tener lo siguiente:

  • Herramientas de detección de intrusos;
  • Firewall de aplicaciones;
  • Firewall de nueva generación;
  • Herramientas de mitigación de ataques para DDoS;
  • Correlación de registro;
  • Red de entrega de contenido.
  1. Mantenga el firewall segregando todas las redes, incluyendo los operadores y los usuarios del entorno de servidor

Es importante abordar la segregación más allá del perímetro, incluyendo servidores de aplicaciones y la base de datos general, base de datos, información de la tarjeta de crédito y el entorno operativo y del servidor.

  1. Segregar funciones dentro del proveedor

El proveedor que actúa dentro del Data Center puede no ser la misma persona que opera el sistema. Esto garantiza que alguien que tenga acceso directo al equipo no tenga necesariamente acceso lógico a ese equipo. Esta medida reduce varios problemas potenciales, como alguien que conecta un HD externo y copia información interna o accede directamente a un servidor para manipular sus archivos de configuración.

  1. Permitir análisis de vulnerabilidad y hacking ético

En el contrato, el proveedor de soluciones en nube debe permitir análisis de vulnerabilidad y corrección ética planificada adecuadamente para el medio ambiente. Este tipo de análisis debe ser hecho por una empresa subcontratada por el proveedor que usted consideró confiable.

  1. Permitir el acceso al registro de entorno y sistemas

Es importante alinear con el proveedor para permitir el acceso al registro del entorno. Es necesario ver toda la administración de trazabilidad de usuarios y perfiles de acceso. Esto incluye la creación, modificación y eliminación de perfiles y cambios de contraseña además de registrar quién está ejecutando ciertas transacciones extremas. Por ejemplo, esto puede estar disponible a través de un portal.

  1. Permitir el uso de herramientas de correlación y retención de registros

El proveedor debe permitir el uso de recopiladores de registro para enviar las herramientas de correlación y la retención de registros que se encuentran dentro de su empresa (in situ). Después de eso, es responsabilidad del correlator atravesar este registro con otros logs para identificar posibles amenazas de seguridad.

  1. Tenga una persona de punto de seguridad para servir al contratista durante el período del contrato

El proveedor debe tener una persona que sea el puente entre seguridad y el cliente final. Esta persona es responsable por administrar las solicitudes y problemas relacionados con la seguridad que pueden ocurrir. Él o ella también es responsable de organizar informes de seguridad para el contratista.

  1. Administrar vulnerabilidades, amenazas y riesgos alineados con el contratado

Básicamente, el ciclo de administración de vulnerabilidades, amenazas y riesgos debe ser alineado con el área de seguridad de la información del contratado para que la empresa contratante tenga control de los riesgos de seguridad sin tener los ojos vendados. Este es el aspecto más complicado porque los proveedores generalmente no se sienten cómodos compartiendo esta información. Es por eso que los análisis de vulnerabilidad y el hacking ético son una parte esencial de la determinación de fallos de seguridad.

  1. Comparta la Política de Continuidad de Negocios y el Plan de Recuperación de Desastres

En este caso, se recomienda que el contrato establezca cómo el proveedor gestiona estos puntos para garantizar la continuidad del negocio.

  1. Tenga la Certificación SAS 70 o similar

SAS 70 y las nuevas certificaciones similares están relacionadas con Data Centers, no necesariamente soluciones en nube. Aunque este tipo de certificación sea obligatoria para un centro de datos, no es suficiente para comprobar otros elementos de computación en nube.

  1. Detalle el proceso de finalización de operación de negocio en el contrato

Es importante detallar en el contrato cómo se tratará la información en caso de que el contrato de servicio en la nube termine. Se debe determinar quién es responsable por la exportación y entrega de información y por la destrucción de copias de seguridad y las bandas de datos.

  1. Detalle el proceso de disposición de datos en el contrato

Los métodos utilizados para la eliminación de datos, almacenamiento del servidor y las cintas de copia de seguridad relacionadas con la empresa deben establecerse en el contrato.

  1. Detalle el proceso para responder los requisitos legales

Un proveedor de servicios en la nube puede, ocasionalmente, ser legalmente obligado a proporcionar información, que puede variar de acuerdo con las leyes de cada país. Es necesario establecer un proceso de comunicación con el contratista en casos de requisitos legales en que el contratista sea informado si la entrega de información es necesaria.

  1. Detalle en el contrato el proceso de copia de seguridad y almacenamiento de cinta

La frecuencia de copia de seguridad se debe acordar y definir en el contrato y el almacenamiento de copia de seguridad debe estar en un lugar seguro.

  1. Detalle cuánto el entorno/ infraestructura se comparte con otros clientes

Este aspecto debe definirse claramente entre las partes y documentado en el contrato. Existen varias posibilidades de segregación que pueden ocurrir en un entorno de solución en nube, como las siguientes:

  • Infraestructura compartida (firewall, red, servidores Web) y datos en servidores separados;
  • Infraestructura y datos en entornos compartidos;
  • Datos segregados en la lógica de programación (peor caso de escenario), en el cual el código del programa define lo que se mostrará a cada cliente.

Este es uno de los principales puntos de confidencialidad de seguridad de la nube, ya que una vulnerabilidad de código o infraestructura puede liberar datos incorrectamente. Las posibilidades de segregación de datos deben ser analizadas en el caso de pierda de información.

  1. Notificar cómo se administra el control de fugas de información

Su información está en un lugar que es operado por otras personas, fuera de su control. Por lo tanto, es necesario entender y detallar en su contrato cómo el flujo de información será gestionado por el contratista. Puede ser un entorno extremadamente restrictivo en el que los operadores no acceden a Internet o medios extraíbles (USB, CD, DVD, etc.) o en un entorno con una solución de prevención de pérdida de datos instalada.

  1. Procedimientos detallados en caso de ataques DDoS

Es vital detallar en el contrato cómo su prevención DDoS funciona y cómo funciona el procedimiento de comunicación.

  1. Identifique dónde el Centro de Datos de la solución atenderá a las particularidades legales locales

Básicamente es importante definir en el contrato donde los Centros de Datos que contienen su solución estarán. Esto influenciará los requisitos legales que deben ser atendidos de acuerdo con el país.

  1. Demostrar el proceso de administración de claves criptográficas

Esta es una de las partes más importantes de la seguridad de la computación en nube, ya que es crucial en cuanto a la confidencialidad de los datos. Los datos deben cifrarse y las claves criptográficas deben estar en manos de los contratados. Si están en manos del contratado, hay más riesgo de que alguien se los robe y los utilice.

  1. Control de acceso

Imagine que su aplicación está ahora fuera de su empresa. ¿Cómo funciona el tema de administrar usuarios y perfiles de acceso? Las opciones incluyen la administración a través de una interfaz proporcionada por el contratista o utilizando un recurso conocido como federación.

La federación consiste en una base de usuarios de confianza para fines externos. Por ejemplo, la aplicación de nube puede consultar a un usuario dentro de su propia empresa y base de red. Esto trae una serie de ventajas como el control de los usuarios más cercanos bloqueando fácilmente un usuario y poseyendo contraseñas exclusivas.

Otra preocupación relacionada con el control de acceso es el uso de autenticación fuerte. Considerando que el servicio estará más expuesto en Internet, el método más apropiado es hacer que el usuario recurra algo extra más allá del par de contraseña y el nombre de usuario tradicional. En este caso, se recomienda que utilice una o varias de las siguientes opciones:

  • Token físico;
  • Tarjeta de contraseña;
  • Certificado digital;
  • Biometría;
  • Contraseña por SMS.
  1. Permiso de auditorías externas para la seguridad en nube

Una vez que el proveedor ha prometido los tantos puntos anteriores, es hora de considerar en el contrato que usted, el contratista, puede visitar para realizar auditorías regulares para evaluar el curso de los compromisos relacionados con la seguridad descritos en su contrato. Se sugiere que se haga una lista de comprobación para ello.

Escrito por Alfredo Santos
Apoyando a los clientes a planificar y ejecutar sus Iniciativas Estratégicas de Transformación Digital
LinkedIn: @alfredosantos