Seguridad en la Nube: Buenas prácticas para el aseguramiento de la información en la nube.

La demanda en el uso de servicios cloud o en la nube ha crecido exponencialmente en los últimos años. Las empresas han apostado por trabajar y ofrecer sus servicios desde la nube.

Antes de comenzar a utilizar un servicio cloud en su empresa u organización, es recomendable elaborar una política de almacenamiento en la nube siguiendo las siguientes recomendaciones:

Los servicios de almacenamiento en la nube ayudan a una organización aumentando la productividad y reduciendo los costes de mantenimiento de los sistemas. No obstante, también conlleva riesgos, ya que la información deja de estar almacenada en la propia organización y se confía a un tercero. Saber elegir el servicio correcto, lo ayuda a proteger el activo más importante de la empresa, la información.

Antes de elegir el servicio cloud que va a implementar, hay que llevar a cabo un análisis riguroso ya que no todos los servicios de almacenamiento en la nube serán adecuados para la empresa, tenga en cuenta:

Servicios gratuitos vs. servicios premium

El primer paso será distinguir entre servicios gratuitos o servicios de pago. Los servicios de almacenamiento gratuitos tienen una menor capacidad de almacenamiento y menos herramientas que sirven para la administración de la información. En función del tamaño de la organización y de la cantidad de información que maneja puede que un servicio gratuito sea el más indicado. Otro punto en contra en los servicios gratuitos es la ausencia de acuerdos a nivel de servicio o SLA, reservándose estos, para los planes premium o de pago.

Disponibilidad y trazabilidad

Cuando el servicio de almacenamiento es usado como si se tratase de un servidor de ficheros propio de la organización, la disponibilidad es un requisito indispensable ya que un parón puede repercutir negativamente a la empresa. Por otro lado, si el servicio de almacenamiento es usado para guardar copias de seguridad, la disponibilidad no es tan imprescindible, aunque también es un requisito a tener en cuenta.

La trazabilidad es otra característica que se debe valorar, gracias a esta se puede saber el histórico de un activo a lo largo del tiempo. Por medio de la trazabilidad de un documento se puede saber quién ha sido último en modificar o acceder al mismo. Para que la trazabilidad sea efectiva el servicio de almacenamiento debe contar con mecanismos de autenticación y con herramientas de logs que registren lo que sucede la nube.

Copias de seguridad y requisitos legales

El servicio elegido debe contar con mecanismos que permitan realizar copias de seguridad, también hay que conocer qué política sigue el servicio seleccionado. Otro aspecto recomendable es conocer qué medidas de seguridad aplican a las copias de seguridad para salvaguardar la privacidad de la información.

No todos los servicios de almacenamiento en la nube siguen los mismos requisitos legales, ya que en función de dónde esté almacenada la información, se aplicarán unos u otros. Si la empresa gestiona datos personales debemos asegurarnos que la legislación aplicable sea aquella que afecte a los datos del país de origen, es decir, si en el servicio cloud se almacenan datos de clientes españoles la legislación aplicable es el RGPD y por lo tanto, se debe seleccionar un servicio que almacene los datos en Europa y que cumpla con este reglamento.

Contrato a nivel de servicio o SLA

Un SLA “Service Level Agreement” es un acuerdo contractual entre la empresa que presta los servicios y el cliente. Mediante este se pactan los niveles de calidad del servicio contratado y las compensaciones en caso de incumplimiento del proveedor. En los SLA se han de garantizar los puntos anteriormente citados y qué compensaciones recibirá nuestra empresa en caso de incumplimiento, por esa razón un servicio cloud premium puede ser una opción más recomendable para una empresa cuyo acceso a la nube es imprescindible.

Las prácticas de seguridad en la nube son similares en muchos aspectos a las prácticas en redes y sistemas tradicionales. Utilizar los servicios de almacenamiento en la nube no está exento de riesgos, pero siguiendo una serie de recomendaciones, la ciberseguridad de la empresa y la información que se gestiona no se verán afectados.

Conocer la política de seguridad y privacidad del proveedor

Este será el primer aspecto que debe comprobarse antes de optar por un servicio u otro.

Inicialmente debe contemplar el conocer cuál es la política de privacidad, se debe revisar y asegurarse que cumple con las directrices del Reglamento General de Protección de Datos (RGPD). Además, es recomendable establecer acuerdos a nivel de servicio (SLA, Service Level Agreement) que especifiquen las sanciones que tendrá el proveedor en caso de no cumplir con los mínimos requeridos como, por ejemplo, la disponibilidad del servicio.

Definir los servicios cloud permitidos

Los empleados deben conocer el almacenamiento cloud que deben utilizar para guardar cualquier tipo de información empresarial, así se evitará que utilicen servicios que puedan sufrir fugas de información. Además, la información que se encuentra centralizada en un servicio facilita cualquier tarea de gestión.

Clasificación de la información

Clasificar la información es un paso muy importante para aplicar las medidas de protección adecuadas sobre ella. No se deben aplicar las mismas medidas de seguridad a un documento público que a cualquier tipo de información confidencial. Por ello, aplicar unos criterios de clasificación adecuados servirá para mejorar el nivel de seguridad y evitar accesos no autorizados.

Cifrado de la información

El cifrado es una técnica que permite acceder a la información solamente a quien conozca la clave de descifrado. Esta medida es crítica si se quieren obtener unos adecuados niveles de privacidad y seguridad.

La información que se envía y recibe debe hacerlo utilizando mecanismos que la protejan, para ello si se utiliza la versión web del sistema cloud se debe comprobar que la dirección web comienza por el protocolo «https». Si se utiliza la versión de escritorio o app móvil, también se comprobará en la política de seguridad del servicio que la información se transmite utilizando protocolos seguros.

Cuando la información que se quiere almacenar es confidencial, es recomendable que se cifre en el dispositivo del empleado antes de subirla al servicio de almacenamiento en la nube. Esto evita que ante un acceso no autorizado, bien sea de un ciberdelincuente, el propio proveedor cloud o un empleado sin permiso para ello, la información siga estando protegida.

El servicio contratado también debe aplicar técnicas de cifrado en reposo, es decir, la información se almacena en los servidores del proveedor cloud cifrada. Esto significa que ante una fuga de información, los ciberdelincuentes deberán romper como mínimo un cifrado antes de poder acceder a su contenido.

Contraseña robusta y doble factor de autenticación

La robustez de la contraseña es un factor clave en la ciberseguridad de cualquier sistema, para ello se deben utilizar contraseñas lo más largas posibles y que cuenten con minúsculas, mayúsculas, números y símbolos. Utilizar gestores de contraseñas puede ser de gran ayuda a la hora de crear y almacenar las diferentes contraseñas de los distintos servicios. El servicio elegido es recomendable que fuerce a los usuarios a utilizar una contraseña robusta, evitando así malas prácticas de seguridad.

El proveedor contratado también debe disponer de doble factor de autenticación. Esta medida de seguridad reduce al mínimo que se produzca un acceso no autorizado a la cuenta, aunque un ciberdelincuente se haga con las credenciales de acceso.

Trazabilidad

El proveedor contratado debe incorporar mecanismos que permitan una trazabilidad de los accesos y las modificaciones de la documentación almacenada. Esto permitirá saber qué usuarios han accedo a determinada información y los cambios que han realizado, un aspecto importante en cualquier auditoría que certifique la seguridad de la información.

Protección contra el malware

La solución elegida debe contar con mecanismos de detección de malware los cuales pueden poner en riesgo la información de la empresa y los dispositivos de los trabajadores. También es recomendable que cuente con mecanismos que permitan identificar y detener los ciberataques por ransomware, y que en caso de que se hayan producido, se pueda restaurar una versión de los ficheros afectados.

Política de permisos

No toda la información que se almacena en el servicio cloud debe ser accesible para todos los empleados. Se debe aplicar a cada miembro de la empresa el principio de mínimo privilegio que les permita desempeñar sus labores.

Copias de seguridad

Las copias de seguridad son importantes, también para la información que se almacena en la nube. El proveedor cloud debe disponer de mecanismos que permitan realizar copias de seguridad de la información almacenada.

Confiar todos los documentos de la empresa a un proveedor externo no es un escenario demasiado recomendable, por ello también es importante realizar copias de seguridad periódicas en un dispositivo de almacenamiento propio.

Borrado de la información

Aplicar técnicas de borrado seguro es un paso fundamental que evita fugas de información. Los datos que ya no sean necesarios de almacenar deben borrarse y garantizar que no puedan ser recuperados. Esto debe indicarse en la política del proveedor y se debe garantizar su cumplimiento.

Por ello, las empresas deben controlar las medidas de seguridad para:

  • Proteger la consola de gestión en la nube y las cuentas de administración de aplicaciones. Los proveedores de la nube proporcionan consolas de gestión para administrar cuentas, configurar servicios, resolver problemas y monitorizar el uso y la facturación. Son un objetivo frecuente para los ciberatacantes. Las empresas deben controlar y supervisar el acceso con privilegios a la consola de gestión en la nube para evitar los ataques y la filtración de datos.
  • Proteger la infraestructura virtual. Los servidores virtuales, los almacenes de datos, los contenedores y otros recursos en la nube también son un objetivo común de los ciberdelincuentes. Las empresas deben establecer sistemas y prácticas de seguridad sólidos para evitar el acceso no autorizado a los scripts (serie de comandos para ejecutar tareas) de automatización y las herramientas de aprovisionamiento de la nube.
  • Formar y concienciar a los empleados en el uso seguro de la nube. Los empleados con una formación adecuada realizan un mejor uso de las aplicaciones y los programas de la nube. Además, es importante conocer los riegos que supone el uso inadecuado de esta tecnología.