Por Ing. Eduardo Torres

Hoy en día todos hemos oído hablar del cómputo en la nube, hoy en día muchas empresas han decidido migrar sus infraestructuras tecnológicas a una plataforma en la nube, esto debido a las numerosas ventajas que este servicio ofrece, desde la flexibilidad para escalar los servicios y adaptarlos a sus necesidades, el acceso por medio de una conexión a internet desde cualquier lugar, hasta el ahorro en gastos de infraestructura o mantenimiento. Básicamente, el computo en la nube ofrece un servicio adaptable a las necesidades de la empresa sin preocuparse por los costos de mantenimiento que una infraestructura física implica, una excelente opción para startups o para aquellas empresas que buscan optimizar en gastos.

Las ventajas que nos presenta el computo en la nube ha permitido que esta sea una tecnología clave para la transformación digital de las empresas, sin embargo, se sigue teniendo la idea errónea de que por el hecho de migrar a la nube ya no tenemos que preocuparnos por la seguridad de la información, y se cree que esto es responsabilidad del proveedor, la verdad es que es una responsabilidad compartida y en muchas ocasiones las empresas no se dan cuenta que esto no es del todo cierto y hay ciertos aspectos de ciberseguridad que deben de tomar en cuenta para tener a salvo sus servicios.

Para entender primero que responsabilidades tenemos nosotros en la ciberseguridad de nuestros activos en la nube, es necesario entender primero cuales son los servicios de esta tecnología:

Software como Servicio (SaaS: Software as a Service):  Este modelo entrega al cliente el software de las aplicaciones, accediendo a ellas por medio de internet. Algunos ejemplos son el correo electrónico, herramientas ofimáticas, software de ERP, calendarios. Si el servicio que estamos contratando consta de una aplicación a la que accedemos ya sea por el navegador o instalando algún software que requiere acceso a internet, entonces estamos utilizando un servicio de SaaS.

Plataforma como Servicio (PaaS: Platform as a Service):  Este modelo entrega a cliente un entorno de desarrollo sin tener que ocuparse de la infraestructura necesaria. En este servicio, una vez creado el código de la aplicación se despliega en la plataforma proporcionada por el proveedor. Si el servicio que estamos contratando consta de un servidor al que solo le enviamos información para actualizar el contenido de los aplicativos, sin embargo, nosotros no configuramos el software instalado en el o el sistema operativo, al igual que no contamos con acceso remoto a él, entonces estamos utilizando un servicio de PaaS.

Infraestructura como Servicio (IaaS: Infraestructure as a Service):  Ester modelo entrega al cliente la virtualización, el almacenamiento, la red y los servidores. En este servicio el cliente controla totalmente la infraestructura y maneja las aplicaciones, los datos, los sistemas operativos, el middleware y los tiempos de ejecución. Si el servicio que estamos contratando consta de uno o más servidores, a los cuales nosotros tenemos acceso remoto y podemos configurar tanto el sistema operativo como los servicios o software que corren en ellos, entonces estamos utilizando un servicio de IaaS.

Ahora que conocemos cuales son los servicios que ofrece el computo en la nube, y que podemos identificar cuales son los servicios que utilizamos, es necesario saber qué responsabilidad tenemos sobre la seguridad de nuestros activos en la nube, como se ve en la siguiente tabla:

Como podemos ver, en servicio IaaS es donde se tiene más responsabilidad sobre el servidor, ya que en este el cliente es responsable de la configuración del servidor, es decir, el cliente es responsable de hacer las configuraciones de seguridad necesarias en el servidor para que este sea seguro, en este caso, el hardening y los controles del flujo sobre los servicios son responsabilidad del cliente al igual que la seguridad de las aplicaciones que este servidor está publicando.

En un servicio PaaS, el cliente es responsable de las aplicaciones que publica y de los datos que manejan, es decir, la responsabilidad del cliente está en evitar que algún tercero no autorizado modifique la información del aplicativo, así mismo, que este sea seguro y no presente vulnerabilidades.

Por último el servicio SaaS, que al parecer suena más seguro, ya que en este caso se podría decir que solo somos responsables de los datos que ingresamos, y suena lógico, estamos contratando un software que esperamos ya sea seguro, sin embargo, en este punto podemos decir que la responsabilidad del cliente es asegurarse que las credenciales de acceso sean seguras, y si es un servicio de almacenamiento en la nube, los permisos de los archivos que se suben, aquí no hay responsabilidades a nivel de infraestructura, aun así, no estaría de más revisar con el proveedor el nivel de seguridad que cuenta en su infraestructura.

Podemos concluir que si bien, el computo en la nube nos ha permitido ahorrar en los costos que implica tener un centro de datos además de que nos elimina una gran cantidad de responsabilidades en la seguridad física del mismo, el hecho de migrar a la nube no significa que estemos completamente seguros, como ya hemos visto, hay responsabilidades compartidas y hay que entender que parte nos corresponde para garantizar la seguridad de nuestros servicios, además, hay que tener presente que la seguridad de los datos procesados o almacenados en la nube final siempre será responsabilidad del cliente y no del proveedor. No hay que olvidar que la manera de acceder a los activos de nube que estamos contratando es por medio de internet, una red completamente publica a la que hoy en día todos tenemos acceso, además de que seguramente ya habrás escuchado algún dicho que dice que el computo en la nube significa “en algún lugar del mundo”. Es necesario que entendamos la parte que nos corresponde y que realicemos las configuraciones necesarias en nuestros activos para garantizar la seguridad de nuestra información.