Dar el salto a la nube es siempre un buen paso, pero para que no se tuerza es imprescindible saber bien dónde se pisa. Consciente de ello, INCIBE, el Instituto Nacional de Ciberseguridad, ha publicado una interesante guía de recomendaciones que, si son aplicadas en nuestras operaciones en el mundo cloud, nos evitarán muchos problemas. Algo a tener muy en cuenta en estos tiempos, en los que el COVID-19 ha forzado a grandes cambios en muy poco tiempo. La transición debe ser rápida, sí, pero también ordenada.
En primer lugar INCIBE nos recuerda que debemos tener en cuenta que si confiamos en un servicio en la nube para almacenar nuestros datos, aún recae sobre nosotros la responsabilidad de que los mismos estén protegidos tal y como determina nuestro marco legal (es decir, tanto la legislación española como la europea). Un error tan sencillo y posible como contratar un servicio cloud fuera de Europa y que no aplique las medidas que corresponden por ley en nuestro caso, es una puerta abierta a sanciones que pueden llegar a ser multimillonarias.
MS Recomienda
Así pues, a este respecto debemos asegurarnos de que se ajusta por completo a lo que marca el Reglamento General de Protección de Datos (RGPD, GDPR por sus siglas en inglés) y que la información se almacena en servidores ubicados dentro de la Unión Europea. Todo lo que sea salir del espacio comunitario es adentrarnos en una senda de complicación. Adicionalmente, también es más que recomendable que el servicio ofrezca la posibilidad de establecer acuerdos a nivel de servicio (SLA), con los que asegurarnos que, de no cumplir con el nivel mínimo de servicio contratado, el proveedor podrá ser sancionado económicamente en nuestro beneficio.
Otro aspecto fundamental es, sin duda, la seguridad de la información. A este respecto INCIBE nos aconseja empezar por realizar una clasificación completa de lo que vamos a subir a la nube. Por lo tanto, tendremos que definir los distintos niveles de protección necesarios y, una vez que los tengamos, asegurarnos de que a cada archivo se le aplica el que le corresponde. Y, por supuesto, aplicarlos desde el mismo momento en el que los subimos a la nube. No se puede subir todo «a lo loco», y proceder después a clasificarlo adecuadamente.
También en relación directa con esto, debemos asegurarnos de que el proveedor permita definir una política de permisos con todo el nivel de detalle que necesitemos. Lo más práctico a este respecto sería, sin duda, que se pudiera integrar con el servicio de directorio que empleamos (si es el caso), para acelerar el proceso y, sobre todo, para evitar incoherencias entre la plataforma local y la plataforma cloud.
INCIBE nos recuerda un aspecto fundamental de cara tanto a auditoría como, si desgraciadamente fuera necesario, análisis forense, es que el proveedor cuente con herramientas que ofrezcan trazabilidad de accesos a la plataforma y todo tipo de operaciones llevadas a cabo sobre los activos digitales que almacenamos en la nube. De esta manera, ante cualquier problema, podremos averiguar rápidamente quién se encuentra tras el mismo.
Protección del dato
En lo referido a la protección del dato, y hablo tanto de seguridad como de privacidad, obviamente la palabra clave es cifrado, y debemos optar por proveedores que nos lo garanticen como mínimo en dos de los tres estados del dato, esto es, en tránsito y en reposo. Algunos proveedores han comenzado a ofrecer también cifrado en el tercer estado (en uso), como es el caso de Azure, si bien esto no tiene aplicación en nuestro caso, si lo que buscamos es exclusivamente un servicio de alojamiento de archivos, sin tareas de proceso en remoto.
Con respecto al estado de reposo, debemos asegurarnos de que el proveedor nos garantiza que la información se almacena cifrada, y en lo referido a tránsito debemos comprobar que las herramientas (web, app, etcétera) emplean protocolos de conexión seguros. En el caso de apps es más complicado de verificar, si bien la elección de un proveedor fiable que nos garantice el cifrado desde la misma suele ser suficiente. Con los servicios web es más sencillo, debemos comprobar que la página web está empleando el protocolo HTTP seguro (https) y, adicionalmente, revisar el certificado digital asociado a la misma, para asegurarnos de que todo en orden.
Aunque no es necesario, una medida de seguridad recomendable para INCIBE es proteger adicionalmente toda la información adicional confidencial y sensible, cifrándola en local antes de subirla a la nube. De esta manera nos aseguramos de que, incluso ante un hipotético problema de seguridad en la transmisión o en reposo en la plataforma, una configuración incorrecta de permisos, etcétera, nuestros datos seguirán estando seguros. Insisto en que no es una medida obligatoria, pero sí que es recomendable.
Otros aspectos fundamentales
Un elemento clave para garantizar la seguridad de los accesos a la plataforma es que el proveedor solo permita emplear contraseñas seguras. De nada sirve que apliquemos otras políticas de seguridad, si luego un empleado puede acreditarse con su dirección de correo electrónico y la contraseña 1234. Y mejor aún si el servicio ofrece la posibilidad de proteger los accesos con acreditaciones de dos factores (2FA). Si es el caso, lo más recomendable es establecer este sistema de validación como obligatorio, prohibiendo el acceso solo con usuario y contraseña.
Puede que estemos dando por sentado que todos estos servicios cuentan con sistemas de seguridad frente al malware, pero no tiene porqué ser siempre así (aunque debería). Por lo tanto, a la hora de elegir un servicio, INCIBE nos aconseja asegurarnos de que, en efecto, el proveedor cuenta con los sistemas necesarios para repeler ataques DDoS, intentos de ransomware, etcétera.
Tanto por si estas herramientas fallan, como por si se produce cualquier otro problema, es fundamental que el proveedor cuente con funciones de copia de seguridad para evitar las pérdidas. Algo que, eso sí, es recomendable complementar con backups locales, al menos de la información más importante. Y en el sentido contrario, también debemos asegurarnos de que, cuando borramos datos, la eliminación de los mismos es segura y definitiva.
Fuente:https://www.muyseguridad.net