Cómo asegurar exitosamente la nube

| Escrito por
Categorizado en Ciberseguridad

Comencemos por delimitar el asunto. Cuando se habla de seguridad, se abarca todo un paquete de tecnología, protocolos y políticas que protegen los ambientes de cómputo en la nube, más las aplicaciones que corren en la nube misma y la información depositada ahí. Asegurar exitosamente estos asuntos relacionados entre sí comienza por entender qué es lo que se quiere asegurar y los aspectos de los sistemas que se deben administrar para el efecto. 

En términos generales, los sistemas de backend que cancelan las vulnerabilidades de la nube son responsabilidad del proveedor del servicio, el “dueño”, por así decirlo, de la nube. En ese sentido, es importante procurarse un proveedor que tome el asunto con toda seriedad. Del lado del cliente, que contrata el servicio, debe prestar atención a tres cuestiones. Primera, que la configuración del servicio sea segura. Segunda, que los usuarios del servicio adquieran hábitos de uso correcto y seguro. Tercera, que la infraestructura, equipos y redes conectados a la nube también estén asegurados.  

¿En qué se distingue la nube?  

La aparición del cómputo en la nube ha significado una importante evolución para las tecnologías informáticas. Este modelo de cómputo es más práctico por su disponibilidad ininterrumpida y ubicua. Pero hay cuatro diferencias entre el modelo “en la nube” y el modelo “on-premise” tradicional, que justifican un enfoque distinto. 

Almacenamiento. Esta es la diferencia más reconocible. El modelo tradicional supone un almacenamiento en sitio. Se ha comprobado que desarrollar todas las plataformas de TI “en casa” a fin de garantizar controles de seguridad suficientes es costoso. Además, es poco flexible. Las plataformas en la nube alivian los costos de desarrollo y mantenimiento de los sistemas. Implican, también, que los usuarios pierden en cierto grado el control sobre el sistema mismo. 

Velocidad de escalamiento. La infraestructura y las aplicaciones centradas en la nube tienen una estructura modular. Esto facilita ajustarlo rápidamente a los cambios organizacionales, pero también puede causar preocupaciones si las necesidades de actualización y ajuste sobrepasan las capacidades de asegurar todos los frentes. 

Modos de interacción. Los sistemas en la nube interactúan con otros sistemas y servicios. Los permisos de acceso abarcan todos los niveles, de usuario a red, pasando por el nivel del software. Los proveedores, además, deben estar atentos a las vulnerabilidades que pueden causar si la configuración y los accesos a los sistemas no son correctos.  

Interrelación con otros sistemas. El cómputo en la nube implica una conexión constante entre el proveedor y todos sus usuarios, una complejidad sustancial que puede comprometer al proveedor mismo. Un solo componente o dispositivo vulnerable puede servir como vehículo por donde un hacker afecta al resto. Los proveedores mismos se exponen al riesgo que representan los numerosos usuarios finales con los que interactúan, si no usan correctamente el servicio.  

Solucionar todas las implicaciones de seguridad significa que los clientes y los proveedores —individuos u organizaciones— actúen proactivamente en relación con su papel. Es un enfoque bilateral que exige de las dos partes prestar atención a dos cuestiones: 

  • La configuración y mantenimiento de los sistemas 
  • La educación del usuario en torno a la seguridad, en lo técnico y en lo que a su conducta se refiere. 

Algunas medidas para asegurar la nube 

La seguridad de la nube es una materia de atención constante. Las facetas a las que se les deben centrar la atención son las siguientes.  

Cifrado (es común que se le llame “encriptación”). Cuando un dato viaja de un dispositivo de almacenamiento a una aplicación on-premise, siempre corre el riesgo de intercepción. De ahí que el cifrado punta a punta (end-to-end encryption, un término que WhatsApp repite incesantemente), es la mejor solución de seguridad para los datos sensibles. Este método asegura que los comunicados no significan nada para quienes no posean las claves de desciframiento. 

La información se puede cifrar antes de almacenarla en la nube. También se puede acudir a un proveedor que proporcione los dos servicios, cifrado y almacenamiento. Pero si la nube solo se emplea para conservar información no sensible, cifrarla puede ser excesivo. Información financiera, confidencial, propiedad intelectual, son casos que definitivamente lo requieren. 

Un aspecto crucial al acudir al cifrado depende de la correcta gestión de las claves de cifrado. Respaldarlas es imprescindible y conservar el respaldo fuera de la nube, tanto mejor. Cambiar las claves periódicamente también conviene. Excluirá a cualquiera que no esté al tanto de las actualizaciones. 

El servicio de cifrado puede ser parte de la oferta del proveedor de nube, aunque también es posible obtenerlo de un tercero distinto.  

Configuración. El proceso de configuración es otro poderoso recurso de seguridad. No es raro que algunas vulnerabilidades básicas provengan de descuidos al seguirlo. Una buena razón de acudir a un proveedor de servicios de seguridad en la nube es que parte de su responsabilidad consiste en determinar y llevar a efecto una configuración de sistemas correcta. 

Tres principios de configuración que se deben seguir son: 

  • No dejar la configuración por omisión (por default). No hacer este cambio y dejar la puerta abierta al hacker son prácticamente lo miso. Mientras más obstáculos encuentre el atacante, menos probabilidades de éxito. 
  • Cierre las cubetas (buckets) de almacenado. Buckets son los principales recursos de almacenamiento de información y al configurarlos, se debe asegurar que el solo URL no facilite el acceso franco a su contenido. 
  • Active todos los controles de seguridad que proporcione el proveedor de nube. No está por demás insistir: mientras más vallas deba superar el atacante, mejor. 

Políticas de seguridad. Igual que la configuración, estas deben ser parte de cualquier implementación en la nube desde el primer momento. Comienzan por reiterar cuestiones a las que todos debiéramos estar habituados. 

Contraseñas fuertes. Mezclar letras, números y caracteres especiales en cantidades mayores a ocho. Más allá de eso, las secuencias (qwerty, 9876) y las sustituciones obvias ($ en vez de S), también se deben evitar. 

Gestores de contraseñas. Estas aplicaciones (password managers) brindan la gran ventaja de que permiten una contraseña distinta para cada aplicación, servicio o repositorio de datos. Evidentemente, la contraseña primaria se debe definir con toda conciencia y proteger su uso. 

Compartir documentos. Además de servir como repositorio de documentos, la nube permite compartirlos entre varias personas y hasta modificarlos en tiempo real, lo que asegura que todas las partes involucradas comparten una versión común y actualizada. 

Es importante establecer normas para compartir y capacitar a los usuarios sobre cómo hacerlo, para asegurar que cada quien vea solo lo que le atañe.  

Pero otro factor a considerar es el cifrado. Si se coloca una imagen en la nube y alguien más, autorizado o no, ingresa a la cuenta, verá imágenes, textos u hojas de cálculo ahí almacenadas. Se puede evitar con software de cifrado, con la consideración adicional de que las claves para descifrar se deben compartir con los destinatarios de cada documento. 

Seguridad del proveedor  

Evaluar los niveles de seguridad que se van a obtener de parte de un proveedor de servicios en la nube merece un trato por separado.  

Por principio de cuentas, es una responsabilidad compartida. Contar con un ambiente seguro no es responsabilidad exclusiva del usuario como en el caso de situaciones on-premise, pero tampoco puede desentenderse de la materia.  

De ahí que, al seleccionar un proveedor, los solicitantes deben asegurarse respuestas claras e inequívocas en torno a los siguientes aspectos. No solo se formará un criterio sobre el grado de seguridad del ambiente que contrata, sino que se hará una idea de qué tan consciente está el proveedor potencial acerca de la amplitud de cuestiones implícitos en la materia. 

  • Auditorías de seguridad. ¿Las realiza un tercero externo, de forma periódica y con qué frecuencia? 
  • Segmentación de datos. ¿La segmentación se efectúa de manera lógica y se conserva por separado? 
  • Cifrado. ¿Se aplica, de manera total y si no, a cuáles partes? 
  • Retención de datos. Si se cancela el servicio, ¿cómo se efectúa el borrado de datos? 
  • Manejo de permisos de ingreso. ¿Cómo se gestionan los derechos de consulta? 

En este sentido, la lectura concienzuda de los términos de servicio es importantísima. Dependiendo del tamaño de la organización, este proceso lo habrán de seguir una persona o un grupo dedicado, examinando el asunto al menos desde el punto de vista legal, técnico y del de los usuarios del servicio. 

El asunto de la ciberseguridad debe ser materia de atención constante. De lo contrario, se convierte en una vulnerabilidad constante. La actual tendencia de aprovechar más y más las ventajas de la nube hacen de las cuestiones aquí tratadas una faceta de particular vigencia. Si te interesa saber más, envía un correo a contacto@lennken.com. 

Roberto Acevedo

Líder del área de operación y tecnología de la compañía. Aporto liderazgo en la ejecución de los servicios de TI corporativos y en campo. Soy responsable de coordinar los esfuerzos de operación técnico diario a los equipos de trabajo de gestión de información e infraestructura tecnológica.

Entradas populares