¿Qué es el modelo de Responsabilidad Compartida en los Servicios Cloud?
El enfoque de cualquier organización debe basarse en la declaración de misión y visión de la empresa, sin estar un paso por delante de las últimas vulnerabilidades de sus sistemas de TI. Mantener este enfoque en el día a día del negocio es aún más difícil cuando se producen brechas de seguridad masivas como las del gigante Yahoo o en España con SegurCaixa Adeslas y que nos sorprendieron y dominaron los titulares durante días. Además, teniendo en cuenta la actual situación económica y social tan especial que estamos viviendo y que está impactando tan abruptamente a todo tipo empresas, los servicios basados en la nube ofrecen alternativas a la infraestructura de TI tradicional, ofreciendo importantes ventajas de seguridad en la mayoría de los casos. Dependiendo de sean plataformas, infraestructuras o modelos basados en software, los servicios en la nube ofrecen distintos niveles de responsabilidad compartida para la seguridad.
Para lograr completamente el nivel de seguridad que una organización y sus activos demandan, es necesario seguir dos directivas clave:
(1) seleccionar el tipo de servicio apropiado para su organización
(2) comprender sus obligaciones bajo el modelo de responsabilidad compartida de ese servicio.
Los servicios basados en la nube también han revolucionado la ciberseguridad. En repetidas ocasiones, los proveedores de servicios cloud han demostrado que sus sistemas pueden superar a las soluciones on-premise en términos de efectividad, eficiencia, y seguridad. De hecho, la nube permite subcontratar de forma fácil y segura ciertos aspectos de los sistemas de TI de una empresa a un proveedor cloud capaz. Además, los servicios basados en la nube consumen menos recursos para la empresa cliente y, por lo tanto, pueden ser una excelente opción desde una perspectiva comercial y de costes. Todo, desde los servicios de correo electrónico hasta las máquinas virtuales, puede ser manejados de manera más segura por un proveedor en la nube, y liberar a la empresa de la tarea de manejar determinadas partes sustanciales de su seguridad. Sin embargo, la nube no reduce el riesgo de que los usuarios finales se vean comprometidos ni los endpoint se infecten. Los usuarios finales y los endpoint siguen siendo tan vulnerables como siempre.
Al descargar los sistemas de TI locales a las nubes que ofrecen sus socios tecnológicos, las organizaciones de cualquier tamaño pueden concentrarse mejor en el día a día de sus negocios. Pero, ¿significa esto que las empresas están exoneradas de toda responsabilidad cuando se trata de mantenerse a salvo de las ciberamenazas? Lamentablemente no. Aún no estamos en ese punto, ni muchísimo menos. En este momento, las organizaciones deben comprender sus responsabilidades y cumplir con sus obligaciones bajo modelos de responsabilidad compartida para mantenerse seguras.
¿Qué significa esto de la “Responsabilidad Compartida”?
En pocas palabras, el cliente es responsable de todos los aspectos de las soluciones operativas y de seguridad cuando se implementan en las instalaciones. Y a medida que las organizaciones avanzan en el aprovechamiento de los servicios basados en la nube, se transfieren más responsabilidades a los proveedores. En general, el beneficio clave de los servicios basados en la nube es que lo que sucede en la nube es responsabilidad de su proveedor o socio tecnológico. En otras palabras, los proveedores cloud y los clientes de la nube son responsables de los fallos en las funciones bajo su control.
Cuanto más inclusivo es un servicio ofrecido por un proveedor, menos responsabilidades tiene una organización cliente. Las responsabilidades específicas de los proveedores de la nube abarcan un amplio abanico según el tipo específico de servicio basado en la nube, que van desde la infraestructura como servicio (IaaS) hasta los modelos de software como servicio (SaaS), con la plataforma como servicio (PaaS) ocupando un posición intermedia.
- Cuando hablamos de IaaS, su organización es bastante independiente con respecto a la seguridad, pero esto aún es un gran paso para mantener sus propios racks de servidores en las instalaciones. En los modelos IaaS, las organizaciones son responsables no solo de sus propios datos, clientes y usuarios, sino también de las aplicaciones, las configuraciones de red e incluso los sistemas operativos.
Sin embargo, IaaS descarga la considerable responsabilidad de almacenar y mantener físicamente los servidores a su socio tecnológico y hace que los recursos informáticos estén disponibles a través de interfaces simples como las máquinas virtuales. Además, su proveedor de IaaS es responsable de algún nivel básico de seguridad de la red (es decir, detectar infracciones) y seguridad física (es decir, copia de seguridad). Incluso este nivel básico de servicio en la nube seguramente ayudará a la gerencia a dormir mejor por la noche.
- Con PaaS se simplifica un poco. Con PaaS, los problemas de almacenamiento y seguridad de la red son responsabilidad exclusiva de su proveedor de nube. Este nivel de servicio permite a su organización la comodidad adicional de saber que su proveedor se ocupa de las brechas en la red, junto con la facilidad que brinda la disponibilidad de los recursos informáticos a pedido.
En este nivel, si las organizaciones de clientes pueden concentrarse en mantener a los usuarios de sus terminales a salvo de la introducción de malware y contenido malicioso en la nube, sus datos pueden mantenerse bastante seguros. Bajo PaaS, usted es responsable de proteger y administrar aplicaciones, así como usuarios, dispositivos terminales y datos.
- SaaS en cambio, es el modelo cloud más simple y a menudo más seguro. La menor responsabilidad para con las organizaciones clientes se encuentra en los modelos SaaS. En este punto, el proveedor de la nube mantiene y protege todo menos a los usuarios, los dispositivos endpoint y los datos en la nube. Este nivel de servicio abstrae casi todos los detalles técnicos de la computación, y los proveedores de SaaS acreditados actualizan continuamente las aplicaciones a medida que surgen nuevas amenazas. Los modelos SaaS incluyen los muchos servicios orientados a empresas y consumidores que ofrece Google (por ejemplo, Gmail o Google Docs), así como Salesforce y Microsoft Office 365.
Si bien los modelos SaaS son los servicios basados en la nube más seguros, no están libres de riesgos, como lo demostró el ataque de virus ransomware Cerber de junio de 2016 en Microsoft 365. Como muchos virus tradicionales de Microsoft Office, Cerber confiaba en que los usuarios abrieran un archivo desde un correo electrónico y luego habilitar macros.
Entonces, ¿cuál es exactamente la parte de del cliente final de la responsabilidad compartida?
Pase lo que pase, la seguridad en la nube es una responsabilidad compartida, ya que los servicios en la nube no son "seguros de forma predeterminada". Todo lo que ingresa a la nube desde los usuarios de su organización y los dispositivos finales es responsabilidad de su organización. La firma líder en la industria de investigación y asesoría en TI, Gartner, predice que para 2020, el 95% de las brechas de seguridad en la nube serán el resultado de la supervisión del cliente. A la luz de esta previsión, es fundamental que las empresas comprendan plenamente los modelos de responsabilidad compartida para poder implementar las medidas de seguridad necesarias que se espera que manejen.
Si bien la nube ofrece importantes ventajas de simplicidad y seguridad, las mayores vulnerabilidades aún provienen de errores humanos. Si hace su tarea sobre los modelos de responsabilidad compartida, implementa medidas de seguridad complementarias y educa a sus usuarios, su organización puede aprovechar al máximo los servicios basados en la nube sin temor.
Fuentes:
https://aws.amazon.com/es/compliance/shared-responsibility-model/
https://blog.f-secure.com/what-is-the-shared-responsibility-model-in-cloud-based-services/
https://docs.microsoft.com/es-es/azure/security/fundamentals/shared-responsibility