Seguridad en la nube

Informe sobre la seguridad en la nube

clientes y socios por trabajar juntos para mitigar el impacto de la crisis del coronavirus. Ha sido un momento difícil y estresante para todos, pero estamos increíblemente orgullosos del compromiso y la actitud positiva de nuestros equipos. Hemos ayudado a las personas, a los clientes y a las comunidades a mantenerse conectados y productivos, al tiempo que hemos proporcionado ayuda prioritaria a instituciones gubernamentales clave y a organizaciones de infraestructuras nacionales críticas para responder a la pandemia.

Seguimos manteniendo todos los servicios a nuestros clientes al tiempo que cuidamos la salud, la seguridad y el bienestar de nuestros equipos. Casi 12.000 de nuestros 16.000 empleados en todo el mundo pueden trabajar desde casa, incluidos nuestros equipos de operaciones de aprovisionamiento tecnológico, consultoría, servicio de atención al cliente y operaciones de infraestructura. Nuestros ingenieros in situ y sobre el terreno siguen prestando apoyo a nuestros clientes y nuestros centros de integración están plenamente operativos, sujetos a las directrices de seguridad del Gobierno.

Ahora trabajamos con nuestros clientes para ayudarles a responder a la evolución de las directrices gubernamentales para la protección de los compañeros y la reapertura de las instalaciones, al tiempo que encontramos nuevas formas de trabajar y prosperar en nuestro nuevo entorno.

Seguridad en la nube 2020

ENISA ha desempeñado un papel importante a la hora de ofrecer a las partes interesadas una visión general de los riesgos para la seguridad de la información cuando se “pasa a la nube”. Nuestra evaluación de los riesgos de la seguridad en la nube de 2009 es ampliamente citada, tanto en los Estados miembros de la UE como fuera de ella.

En el pasado, las organizaciones compraban equipos informáticos (hardware y/o software) y los gestionaban ellas mismas. Hoy en día, muchas organizaciones prefieren comprar servicios informáticos a un proveedor de servicios informáticos. Esta tendencia se conoce generalmente, y de forma liberal, como “pasar a la nube”.

Nuestra evaluación de riesgos para la seguridad en la nube de 2009 es ampliamente citada, tanto en los Estados miembros de la UE como fuera de ella. A raíz de esta evaluación de riesgos, publicamos un marco de garantía para regular los riesgos de seguridad de la información cuando se pasa a la nube. Este marco de garantía se está utilizando como base para algunas iniciativas del sector sobre la garantía de la nube. En 2011, ENISA publicó un informe sobre la seguridad y la resiliencia en las nubes gubernamentales.

Gestión de la seguridad a través de acuerdos de nivel de servicio: El trabajo del responsable de TI de una organización ha cambiado como consecuencia de ello: En lugar de configurar el hardware, instalar y configurar el software, los responsables de TI tienen que gestionar los contratos de servicios con estos proveedores de servicios de TI. ENISA estudia cómo se pueden establecer y supervisar estos contratos de servicios de manera que se optimice la seguridad de la información.    En diciembre de 2011, ENISA publicó una encuesta y un análisis de los parámetros de seguridad en los SLA de la nube en el sector público europeo. En 2011 también se organizó un taller sobre los parámetros de seguridad en los SLA de la nube, junto con OASIS y CSA, en el simposio internacional de la nube de OASIS.

Marco de seguridad en la nube

La seguridad en la computación en nube o, más sencillamente, la seguridad en la nube se refiere a un amplio conjunto de políticas, tecnologías, aplicaciones y controles utilizados para proteger la IP virtualizada, los datos, las aplicaciones, los servicios y la infraestructura asociada de la computación en nube. Es un subdominio de la seguridad informática, la seguridad de las redes y, más ampliamente, la seguridad de la información.

La computación y el almacenamiento en la nube ofrecen a los usuarios la posibilidad de almacenar y procesar sus datos en centros de datos de terceros[1]. Las organizaciones utilizan la nube en una variedad de modelos de servicio diferentes (con acrónimos como SaaS, PaaS e IaaS) y modelos de despliegue (privado, público, híbrido y comunitario)[2].

Los problemas de seguridad asociados a la computación en nube suelen clasificarse de dos maneras: como problemas de seguridad a los que se enfrentan los proveedores de la nube (organizaciones que proporcionan software, plataformas o infraestructura como servicio a través de la nube) y problemas de seguridad a los que se enfrentan sus clientes (empresas u organizaciones que alojan aplicaciones o almacenan datos en la nube)[3]. [Sin embargo, la responsabilidad es compartida y suele detallarse en un “modelo de responsabilidad de seguridad compartida” o “modelo de responsabilidad compartida” del proveedor de la nube[4][5][6] El proveedor debe garantizar que su infraestructura es segura y que los datos y aplicaciones de sus clientes están protegidos, mientras que el usuario debe tomar medidas para fortificar su aplicación y utilizar contraseñas y medidas de autenticación fuertes[5][6].

Certificación de seguridad en la nube

La seguridad en la nube, también conocida como seguridad de la computación en la nube, consiste en un conjunto de políticas, controles, procedimientos y tecnologías que funcionan conjuntamente para proteger los sistemas, los datos y la infraestructura basados en la nube. Estas medidas de seguridad se configuran para proteger los datos de la nube, apoyar el cumplimiento de las normativas y proteger la privacidad de los clientes, así como para establecer reglas de autenticación para usuarios y dispositivos individuales. Desde la autenticación del acceso hasta el filtrado del tráfico, la seguridad en la nube puede configurarse según las necesidades exactas de la empresa. Y como estas reglas pueden configurarse y gestionarse en un solo lugar, los gastos de administración se reducen y los equipos de TI pueden centrarse en otras áreas de la empresa.

La forma en la que se ofrece la seguridad en la nube dependerá de cada proveedor de la nube o de las soluciones de seguridad en la nube existentes. Sin embargo, la implementación de los procesos de seguridad en la nube debe ser una responsabilidad conjunta entre el propietario de la empresa y el proveedor de la solución.

Para las empresas que hacen la transición a la nube, es imperativo contar con una sólida seguridad en la nube. Las amenazas a la seguridad evolucionan constantemente y son cada vez más sofisticadas, y la computación en la nube no corre menos riesgo que un entorno local. Por esta razón, es esencial trabajar con un proveedor de la nube que ofrezca la mejor seguridad de su clase y que haya sido personalizada para su infraestructura.