Por Francisco Cruz Caviedes, Cloud Security & Compliance Manager | CISA, CISM, ISO22301 y representante de ISACA-Ecuador
Con el auge de los servicios en la nube, es fundamental comprender los riesgos de seguridad, ciberseguridad y privacidad de datos en este entorno. Si bien existen tres tipos de nubes: públicas, privadas e híbridas, una de las principales diferencias en términos de estos riesgos radica en los factores internos y externos. En las nubes públicas, los riesgos externos, son más prominentes debido a la naturaleza compartida de la infraestructura, mientras que en las nubes privadas, los riesgos internos, pueden ser más significativos debido al control directo de la organización sobre su infraestructura.
En este artículo, exploraremos brevemente los riesgos comunes en estos entornos, incluyendo la infraestructura on-premise, y destacaremos las diferencias relacionadas con la privacidad y el cumplimiento normativo. Además, analizaremos los beneficios más importantes de tener una infraestructura en nube, respaldada por una gobernanza sólida, y cómo esta puede apoyar a los objetivos del negocio.
- Riesgos comunes en la nube y on-premise: En los dos entornos existen riesgos comunes en términos de seguridad, ciberseguridad y privacidad de datos, como por ejemplo:
- Accesos no autorizados: Ambos entornos pueden ser vulnerables a accesos no autorizados a sistemas y datos, poniendo en riesgo la fuga, manipulación o pérdida de información confidencial.
- Brechas de datos: Tanto la nube como los entornos on-premise pueden sufrir brechas de seguridad debido a vulnerabilidades en los sistemas, configuraciones incorrectas o errores humanos.
- Amenazas de ciberseguridad: Ambos entornos están expuestos a diversos ataques cibernéticos, como por ejemplo, malware, ransomware, ataques de denegación de servicio (DDoS) y phishing, que pueden comprometer la seguridad de los sistemas y los datos.
- Diferencias en privacidad y cumplimiento normativo: Una diferencia clave entre la nube y on-premise radica en los riesgos de privacidad y cumplimiento normativo. Entre ellas:
- Ubicación física de los datos: En la nube, los datos pueden almacenarse en servidores ubicados en diferentes jurisdicciones, lo que puede plantear desafíos en términos de cumplimiento normativo y privacidad, especialmente en países con regulaciones estrictas.
- Transferencia transfronteriza de datos: La nube permite el acceso y procesamiento de datos a nivel mundial, lo que implica la transferencia de datos entre diferentes países. Esto puede estar sujeto a restricciones regulatorias, cuyo incumplimiento pone en riesgo la reputación organizacional, así como sanciones o multas.
- Transparencia y control: Al igual que en la nube privada aunque en menor proporción, en una infraestructura on-premise, la organización tiene un mayor grado de visibilidad y control, lo que facilita la implementación de los controles. En la nube pública, las organizaciones pueden tener acceso limitado a los controles internos y a la forma en que los proveedores de servicios de nube implementan las medidas de seguridad y privacidad. Cabe mencionar que los proveedores más conocidos son Amazon Web Service (AWS), Microsoft Azure y Google Cloud Platform (GCP), quienes cumplen con una variedad de regulaciones y estándares de seguridad, como GDPR, ISO27001, HIPAA, entre otros. Asimismo, es importante tener en cuenta que estos proveedores de nube pública ofrecen servicios y funcionalidades para implementar una arquitectura de nube privada dentro de su plataforma, conocido como red de Nube Privada Virtual (VPC, por sus siglas en inglés).
- Ventajas de la infraestructura en la nube: La infraestructura en la nube alineada a una gobernanza debidamente gestionada, presenta los siguientes beneficios:
- Escalabilidad: Una de las principales ventajas de la infraestructura en la nube es la capacidad de escalar rápidamente (hacia arriba o hacia abajo), según las necesidades del negocio. Esto asegura que los sistemas puedan manejar eficientemente las demandas de procesamiento y almacenamiento, reduciendo así los riesgos de interrupciones y ataques debido a la falta de capacidad.
- Optimización de costos: Al migrar a la nube, las organizaciones eliminan la necesidad de adquirir y mantener costosos equipos de infraestructura. Además, los modelos de precios basados en el consumo permiten pagar solo por los recursos utilizados, lo que ayuda a optimizar los costos y asignar eficientemente los recursos financieros a otras áreas de la organización, como seguridad.
- Automatización de infraestructura y parches de seguridad: La infraestructura en la nube permite la automatización de tareas de administración de la infraestructura. Esto incluye la implementación automática de servidores, redes y almacenamiento, así como la aplicación de parches y actualizaciones de seguridad de manera centralizada y ágil. Es decir, reduce la carga de trabajo manual, mejora la eficiencia operativa y garantiza que los sistemas estén actualizados y protegidos. Además, uno de los beneficios en este entorno, es que no debemos preocuparnos por los riesgos de seguridad asociados a la obsolescencia tecnológica, siendo muy común en entornos on-premise.
- Alta disponibilidad: La infraestructura en la nube ofrece alta disponibilidad y recuperación de desastres al proporcionar arquitecturas redundantes y distribuidas geográficamente. Los datos y las aplicaciones se replican en múltiples ubicaciones, lo que garantiza la continuidad del negocio y la protección de los datos incluso en situaciones adversas.
- Productividad: La infraestructura en la nube facilita la implementación y entrega continua (CI/CD) de aplicaciones y servicios. Con herramientas y servicios específicos de la nube, las organizaciones pueden automatizar el ciclo de vida de desarrollo de software (construcción, pruebas e implementación), lo que permite una entrega más rápida y confiable de nuevas versiones y actualizaciones, facilita la colaboración entre equipos y promueve la innovación ágil.
En conclusión, es esencial comprender los riesgos de seguridad, ciberseguridad y privacidad de datos al considerar el entorno de la infraestructura y de la organización en sí. Aunque existen similitudes en estos riesgos entre la nube, sea pública, privada o híbrida, y on-premise, es importante evaluar las diferencias relacionadas con el cumplimiento regulatorio. Si bien la nube está en auge y trae varios beneficios de gobernanza y seguridad, es importante considerar las necesidades del negocio, a fin de plantear una estrategia que garantice la integridad, confidencialidad y disponibilidad de los datos, en cumplimiento con estándares y regulaciones aplicables.