Cómo evaluar la seguridad del proveedor de servicios en la nube
La adopción de la nube pública está aumentando entre las empresas de todas las industrias. En una encuesta reciente, más de la mitad de las empresas indicaron que ahora ejecutan al menos el 41% de sus cargas de trabajo en la nube pública , una tendencia que se acelerará en 2022. A medida que las empresas aumentan el uso de la nube pública, surgen nuevos desafíos de seguridad. Por ejemplo, ese mismo estudio muestra que los problemas de la nube y las configuraciones incorrectas son las principales causas de infracciones e interrupciones.
A la luz de esto, las empresas deben comprender qué buscar cuando examinan a los proveedores de servicios en la nube. Siga leyendo para obtener una descripción general del mercado de la nube y las consideraciones clave de seguridad que se deben tener en cuenta al buscar un servicio en la nube.
Los tres grandes proveedores de servicios de nube pública
Los tres principales proveedores de nube en 2022 son:
- Amazon Web Services(AWS), con el 62% del mercado,
- Microsoft Azure, con un 20%, y
- Google Cloud Platform(GCP), con un 12%.
Otras opciones populares incluyen Oracle Cloud, Alibaba Cloud e IBM Cloud, entre otras. Varios nuevos proveedores de nicho también están ingresando al espacio y brindan servicios competitivos.
A menudo, las empresas asumen que la seguridad no es un problema cuando trabajan con marcas de renombre como AWS, GCP y Azure. Pero los controles y las políticas de seguridad en la nube varían entre los diferentes proveedores, por lo que es importante hacer su debida diligencia antes de hacer una selección para asegurarse de que el proveedor se alinee con sus necesidades exactas. Una fuerte advertencia: el hecho de que esté en la nube no significa que su nube sea segura. El modelo de responsabilidad compartida describe dónde el cliente es responsable de proteger su nube.
Cómo evaluar la seguridad del proveedor de servicios en la nube: 16 criterios
Ahora que tiene una mejor idea de algunos de los principales jugadores en el espacio de los servicios en la nube, dirijamos nuestra atención a qué considerar al elegir un proveedor de la nube.
1. Comprobar el cumplimiento de los estándares y marcos
Algunos estándares comunes para buscar incluyen ISO-27001, ISO-27002 e ISO-27017 que indican que el proveedor sigue las mejores prácticas de seguridad y se esfuerza activamente por reducir los riesgos. Otro estándar importante es ISO-27018, que indica que el proveedor protege suficientemente la información de identificación personal.
También hay protocolos gubernamentales y regulatorios a considerar, incluido el Reglamento General de Protección de Datos (GDPR) de la UE, la Ley de Protección al Consumidor de California (CCPA), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago ( PCI DSS), entre otros.
2. Auditoría de procesos operativos y comerciales
La mayoría de los proveedores de servicios en la nube ofrecen documentación que describe su cumplimiento con las pautas y regulaciones corporativas, gubernamentales y de la industria. Este es un comienzo, pero es importante ir un paso más allá y solicitar información adicional.
Como regla general, considere buscar informes de seguridad de terceros de agencias y auditores independientes. Además, el proveedor de la nube debe ofrecer acceso rápido a eventos de seguridad y datos de registro como parte de su acuerdo de nivel de servicio (SLA).
Los proveedores de la nube deben estar dispuestos a trabajar con usted para brindarle información sobre seguridad y adaptarse a las solicitudes de datos y eventos. Si un proveedor se resiste o no puede proporcionar información de inmediato, podría ser una señal de alerta de que no está operando teniendo en cuenta sus mejores intereses.
3. Verifique los controles de autenticación e identidad
El almacenamiento de datos y aplicaciones en la nube presenta nuevos riesgos de acceso. En lugar de acceder a datos y aplicaciones en el sitio, los trabajadores pueden usarlos desde casi cualquier ubicación global. Esto aumenta la probabilidad de robo y mal uso.
Por esta razón, es fundamental asociarse con proveedores de la nube que ofrezcan controles sólidos de autenticación e identidad. Por ejemplo, el proveedor debe ofrecer autenticación multifactor (MFA) para los inicios de sesión. Además, las herramientas de supervisión de identidades en tiempo real y administración de derechos de infraestructura en la nube (CIEM) vigilan de cerca todas las identidades (personas y no personas) en su entorno.
4. Comprender las políticas de gobierno y acceso de los proveedores
La migración a la nube y el uso de infraestructura de terceros requiere una gran confianza entre la organización y el proveedor de la nube. Después de todo, una parte importante de sus cargas de trabajo fluirá a través de la infraestructura de un tercero cuando utilice la nube.
Para proteger su negocio, es necesario delinear políticas de control y acceso de proveedores. Al hacerlo, tendrá una idea clara de lo que controla el proveedor de la nube y de lo que tiene la capacidad de hacer con sus datos. Sin una sólida política de control y acceso de proveedores, su empresa podría correr el riesgo de perder incidentes de seguridad y violaciones de privacidad.
5. Garantice el acceso a los registros de auditoría corporativos
Una pista de auditoría es un registro que describe la fecha y la hora de transacciones específicas en la nube. En otras palabras, muestra quién toma acciones específicas y cuándo las realiza.
El proveedor de la nube debe proporcionar acceso directo a los datos de la pista de auditoría corporativa, para una visibilidad y transparencia completas. Sin este tipo de información, puede ser difícil o incluso imposible extraer registros y unir pistas de auditoría.
6. Comprender los recursos de gestión interna
Migrar a la nube pública no es algo que configuras y olvidas. Debe tener un conocimiento profundo de los recursos disponibles que está utilizando. Al mismo tiempo, también necesita saber qué debe hacer para proteger su entorno de nube.
Tenga en cuenta que los proveedores de la nube suelen tener modelos de responsabilidad compartida , con marcos específicos para asegurar y monitorear las cargas de trabajo. Los marcos de seguridad en la nube pueden incluir controles de gobierno, informes de cumplimiento y protocolos de administración de identidad y configuración incorrecta.
7. SLA de nubes de exploración
El SLA en la nube es el acuerdo oficial entre la organización y el proveedor de servicios en la nube. A un alto nivel, el SLA es responsable de delinear el nivel de servicio que recibe el cliente. También define las consideraciones de seguridad, incluidas las responsabilidades compartidas, la confiabilidad, el mantenimiento y el soporte, la gobernanza y los datos de auditoría.
Dado que su SLA esencialmente rige la relación con su proveedor de la nube, es necesario examinar el documento y tener una comprensión completa de lo que implica. También es una buena idea incluir líderes de seguridad, equipos legales y otros responsables de la toma de decisiones en el proceso para evitar dejar nada al azar.
No escanear un SLA por motivos de seguridad podría dar lugar a problemas de comunicación que acarrean consecuencias significativas como violaciones de la privacidad, altos costos y filtraciones de datos. Esto también podría generar disputas que dañen las relaciones con el proveedor de la nube.
8. Comprenda los precios de los servicios de seguridad
Muchos proveedores líderes en la nube ofrecen servicios de seguridad avanzados por un cargo adicional. Por ejemplo, AWS tiene AWS Security Hub y GCP tiene Security Command Center . Estos tipos de servicios brindan visibilidad y control centralizados, informes de configuración incorrecta, inteligencia de amenazas y más.
Hable con sus asesores de seguridad y determine si necesita pagar por este tipo de servicio o si es mejor usar herramientas estándar. Es posible que pueda evitar pagar altas tarifas de suscripción y reducir el coste total del proyecto.
9. Busque en las ubicaciones de almacenamiento de datos
Antes de migrar a la nube, determine el nivel de seguridad y confidencialidad que necesitan sus datos, en otras palabras, clasifique sus datos . Esto lo ayudará a analizar el entorno de almacenamiento del proveedor de la nube y determinar si se ajusta a sus necesidades específicas.
También querrá ver dónde el proveedor almacena realmente sus datos. Los proveedores a menudo almacenarán y procesarán datos en países con estándares mínimos de seguridad. Esto podría amenazar potencialmente sus datos personales en la nube y exponerlo a violaciones de privacidad.
10. Evaluar las capacidades de integración de terceros
Es necesario verificar si la plataforma admite integraciones de seguridad de terceros para determinar el nivel de control y personalización que tendrá.
Las empresas suelen armar modelos personalizados de seguridad en la nube utilizando varios servicios de supervisión y protección de terceros. Un proveedor de la nube nunca debe limitarlo a sus servicios preferidos. La flexibilidad y las integraciones son clave para el éxito en la nube.
11. Evalúe el tiempo de actividad y el rendimiento
Los proveedores de la nube pueden sufrir interrupciones y tiempo de inactividad como cualquier otro negocio. Cuando esto sucede, los clientes se ven directamente afectados. En un ejemplo reciente, Apple tuvo una interrupción masiva del servicio que afectó a numerosas aplicaciones.
Como práctica recomendada, busque en profundidad las métricas de tiempo de actividad y rendimiento y analice los datos para determinar con qué frecuencia el proveedor de la nube experimenta interrupciones y el tiempo de resolución promedio.
12. Verifique el historial de violación o pérdida de datos
Otra forma de examinar la seguridad de un proveedor de la nube es investigar la cantidad total de pérdidas e infracciones de datos.
Al buscar en este tipo de información, primero debe considerar el contexto. También querrá examinar el tamaño y el alcance del proveedor y el nivel de responsabilidad compartida que ofrecen. Intente obtener una idea de por qué un proveedor puede tener una gran cantidad de incidentes y si la culpa generalmente recae sobre el proveedor o sus clientes.
13. Analizar los procesos de copia de seguridad y recuperación ante desastres
Las interrupciones y los desastres pueden ocurrir en cualquier momento. Es fundamental contar con un sólido proceso de copia de seguridad y recuperación para proteger sus activos en la nube.
Al seleccionar un proveedor de la nube, analice sus disposiciones y procesos de recuperación ante desastres. Asegúrese de que tengan la capacidad de conservar y restaurar datos sin problemas.
También vale la pena investigar los roles y responsabilidades para determinar de quién es el trabajo de administrar el respaldo y la recuperación. En algunos casos, el proveedor de la nube puede esperar que su empresa maneje la mayor parte del trabajo.
Cualquiera que sea el caso, todos los detalles de la copia de seguridad y la recuperación ante desastres deben incluirse en un SLA para que todo quede claro desde el principio.
14. Busque servicios de migración y soporte
La migración de cargas de trabajo desde entornos locales a la nube puede ser una gran tarea. Las empresas que intentan hacer esto utilizando recursos internos a menudo luchan y se encuentran con problemas de rendimiento, desafíos de migración y errores de seguridad.
Para evitar complicaciones, querrá verificar y ver si el proveedor de la nube ofrece servicios de migración. Por ejemplo, Azure y AWS facilitan la transferencia de cargas de trabajo de manera segura y eficiente.
15. Revise la planificación de salida y evite el encierro
Es posible que empiece a trabajar con un proveedor de la nube y necesite abandonar el barco debido a la seguridad, los costos, el rendimiento o un cambio de estrategia.
El bloqueo del proveedor de la nube ocurre cuando un proveedor de la nube hace que sea difícil o incluso imposible romper los lazos con ellos. Esto suele suceder cuando el costo de dejar al proveedor es tan exorbitante que la empresa tiene que seguir trabajando con el proveedor.
Fuente: Sonraí Security