Por Ing. José Martín Figueroa Cardona
La ciberseguridad en la nube, abarca las tecnologías, los controles, los procesos y las políticas que se combinan para proteger sus sistemas, datos e infraestructura basados en la nube.
La ciberseguridad en el computo en la nube es una responsabilidad compartida entre las empresas y el proveedor de servicios en la nube.
Las empresas deben de implementar una estrategia de Ciberseguridad para proteger sus datos, cumplir con las normas y proteger la seguridad y privacidad de sus clientes. Lo que a su vez lo protege de las amenazas y riesgos de reputación, financieras y legales y pérdidas de datos.
Cada Proveedor de nube precisa las responsabilidades para cada modelo de servicio (Saas, PaaS e IaaS) con su matriz de responsabilidad de la seguridad compartida.
Matriz de responsabilidad compartida de AWS
https://aws.amazon.com/compliance/shared-responsibility-model/
Matriz de responsabilidad compartida de Azure
https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility
Matriz de responsabilidad compartida de CGP
https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-the-shared-responsibility-model-in-gke-container-security-shared-responsibility-model-gke
Matriz de responsabilidad compartida de la nube de Alibaba
https://files.alicdn.com/tpsservice/8943876c3b1dd53c97a323659e4f679f.pdf?spm=a2c63.o282931.879956.3.5bbf639dVoklbR&file=8943876c3b1dd53c97a323659e4f679f.pdf
Para la definición e implementación de las mejores practicas de seguridad en la nube existen organizaciones que se dedican a apoyar a la industria.
Por ejemplo: Cloud Security Alliance (CSA) es la organización líder mundial dedicada a definir y crear conciencia sobre las mejores prácticas para ayudar a garantizar un entorno de computación en la nube seguro.
CSA ha desarrollado un marco de control de ciberseguridad para la computación en la nube alineado con las mejores prácticas de CSA, que se considera el estándar de facto para la seguridad y privacidad de la nube. Conocido como Cloud Controls Matrix (CCM)
Todos los controles de esta matriz se encuentran mapeados con controles de seguridad que utilizamos normalmente en las arquitecturas on premise y se fundamentan en las mejores prácticas como:
- ISO/IEC 27001-2013
- ISO/IEC 27017-2015
- ISO/OEC 27018-2019
- AICPA TSC v2017
- CCM V3.0.1
El cual en su última versión considera 197 controles distribuidos en 17 dominios.
https://cloudsecurityalliance.org/research/cloud-controls-matrix/
CSA también establece una Guía de Seguridad de áreas Críticas para la computación en la nube con 14 dominios
https://cloudsecurityalliance.org/research/guidance/
En HKMX, ayudamos a las empresas a establecer la estrategia de seguridad e implementación de buenas prácticas para proteger la información de tu empresa y tus clientes tanto en ambientes onpremise, híbridos o en la nube.
Te invitamos a nuestro webinar gratuito: La ciberseguridad en la Nube
En este webinar exploramos las preocupaciones, dolores de cabeza y las amenazas de seguridad al trasladarse a la nube, se explicará por qué es necesario la ciberseguridad en la nube y descubrirá la Cloud Controls Matrix (CCM), es un marco de control de ciberseguridad para la computación en la nube alineado con las mejores prácticas de CSA, que se considera el estándar de facto para la seguridad y privacidad de la nube.
Si te interesa unirte a esta sesión puedes realizar tu registro aqui: https://bit.ly/3xPxNQl
José Martín
Forma parte del equipo de consultores de HKMX. Tiene experiencia con más de 15 años en la definición e implementación de prácticas de seguridad y ciberseguridad apegados a marcos de referencia como COBIT, ITIL, PCI DSS, ISO 27001 e ISO 22301.
En 2008 fundó HK México. Desde entonces ha ejecutado y liderado proyectos exitosos relacionados con la gestión de riesgos, ciberseguridad, sistemas de gestión de seguridad de información, continuidad de negocio, auditoría y capacitación en diversos sectores como comercio, retail, servicios, comunicaciones, manufactura, tecnología y el financiero, abordando temas de cumplimiento regulatorio, así como de certificación en estándares internacionales de seguridad de información.
Es egresado del Instituto Tecnológico de Saltillo, donde obtuvo su grado profesional de Ingeniero Electrónico con especialidad en Sistemas Digitales. Posteriormente en ITESM curso la Maestría en Ciencias en Ingeniería Electrónica. Cuenta además con distintas certificaciones reconocidas internacionalmente relacionadas con la seguridad de información, auditoría TI/SI, hackeo ético, procesos TI/SI, continuidad de negocio y seguridad en medios de pago electrónicos.