Nuestro CISO habla de la falsa sensación de seguridad del Cloud Computing

Antonio Marco. CISO Lanaccess

Existe un aumento significativo de empresas que están trasladando cada vez más recursos y cargas de trabajo a la nube. Asumir que en el Cloud Computing, la seguridad es intrínseca a este tipo de servicio es un error que puede complicar las cosas a muchas empresas en un futuro próximo. Desde LANACCESS estamos convencidos de que es muy importante invertir en planes de ciberseguridad on-premise, pero también debemos hacerlo para nuestros despliegues en el Cloud.

Hay organizaciones como Cloud Securitty Alliance que se dedican a promover el uso de buenas prácticas para garantizar la seguridad en ‘Cloud’. Esto es debido a que la computación en la nube se está volviendo cada vez más popular, partiendo de sencillos repositorios de almacenamiento como OneDrive, Google Drive, Dropbox, etc. a los servicios ‘SaaS‘ de Google asociados a las cuentas de Gmail y terminando en el hosting tradicional o los más especializados servicios de ‘PaaS‘ e ‘IaaS’.

Es conveniente conocer a grandes rasgos los distintos tipos de arquitectura y servicios que ofrece el Cloud Computing para comprender mejor las medidas de seguridad que han de adoptarse en este tipo de entornos.

Conocemos cuatro implementaciones de servicios de Cloud Computing en función de su tipología:

Private Cloud

La nube privada fue precursora de este tipo de soluciones, aquí los recursos suelen estar alojados en una red privada a nivel local, en la propia infraestructura o a través de un proveedor de servicios externo especializado, que es generalmente exclusivo de la empresa u organización. Las características principales de este tipo de Cloud serían:

• Los servidores e infraestructura física son de nuestra propiedad.
• Existe un alto grado de seguridad, ya que nuestros datos no son gestionados por terceros.
• El hardware es dedicado y adaptado a nuestras necesidades.
• La inversión inicial, los costes de mantenimiento y actualización son superiores.

Este tipo de soluciones privadas son utilizadas mayoritariamente por entidades gubernamentales, organismos oficiales y entidades bancarias.

Virtual Private Cloud VPC

Esta variante del Private Cloud no es realmente un subtipo específico, pero debido a su creciente implantación podríamos empezar considerarlo como tal. Se basa en la disposición de una serie de recursos computacionales configurables bajo demanda dentro de un ambiente de cloud público, el cual provee de un cierto grado de aislamiento entre diferentes organizaciones.

Public Cloud

La nube publica es el tipo más extendido, aquí los recursos inherentes a este tipo de servicio se encuentran alojados externamente en el proveedor de servicios. Este tipo de servicio Cloud tiene algunas implicaciones como, por ejemplo:

• Los recursos computacionales y de almacenamiento se comparten entre todos los clientes del proveedor, es decir, nuestros datos y los de otras empresas podrían estar alojados en el mismo equipo.
• Nuestra información se almacena en servidores de terceros, de los que no somos propietarios.
• No requiere de una inversión inicial en infraestructura, ni posteriormente en mantenimiento o actualización ya que esta corre a cargo al proveedor.

Este tipo de servicios son los ofrecidas por empresas como Amazon, Google, Microsoft, etc. que se encargan a nivel global de su gestión y mantenimiento.

Hybrid Cloud

El Cloud híbrido supone una combinación de los casos anteriores, dónde coexisten recursos locales y externos que configuran la arquitectura final del entorno. Podemos disponer de una arquitectura de sistemas on-premise y paralelamente utilizar la nube pública para funcionalidades específicas o conexiones con herramientas externas.

Modalidades del tipo de servicio

A la hora de contratar los servicios en ‘Cloud’, también hay que tener en cuenta otras consideraciones en relación a las modalidades del tipo de servicio. Éstas se clasifican en tres:

• Software como Servicio (SaaS): De las siglas en inglés Software as a Service, suele ser el más utilizado y consiste en que el software permanece alojado en el servidor del proveedor y el cliente accede al mismo a través de un navegador web. El mantenimiento, soporte y disponibilidad es gestionada por el proveedor. Un ejemplo de este tipo de servicio podría ser las herramientas de correo electrónico tipo Gmail. En este caso no controlaremos aspectos propios del servidor de Cloud Computing como el sistema operativo o la infraestructura.
• Plataforma como servicio (PaaS): En este tipo de servicio, Platform as a Service, el proveedor ofrece acceso a un entorno basado en la nube en el cual los usuarios pueden crear y distribuir sus propias aplicaciones. El proveedor proporciona la infraestructura subyacente que nos permitirá interactuar con algunos servicios básicos ya preinstalados, como bases de datos, teniendo cierto grado de libertad a la hora de instalar software.
• Infraestructura como Servicio (IaaS): Con Infraestructure as a Service tendremos el control, prácticamente total, del servidor, aunque existen algunas variantes, podremos administrar recursos asignados al mismo, así como aspectos fundamentales como la instalación del sistema operativo.

Sistemas de videograbación Local VS Cloud

Actualmente y aunque puede variar en función de la tipología de cliente y del uso especifico que se requiera, la grabación local sigue siendo imbatible sobre todo en tres aspectos fundamentales:

• Permite almacenamiento a la máxima calidad, independiente de la calidad y garantía de servicio de la conexión a Internet.
• El número de cámaras que se pueden gestionar es ilimitado.
• Una vez adquirido el videograbador no hay coste de servicio.

Pero como hemos visto, también existen fórmulas de mantener información segura, en el Cloud, cuando no se dispone por ejemplo de mecanismos de seguridad ante eventos delictivos que puedan inutilizar el sistema de grabación.

La grabación de backup en Cloud de cámaras críticas, es una opción acertada en este aspecto siempre y cuando se disponga de una conexión a internet con garantías ante contingencias y estemos completamente seguros que nuestro proveedor de servicios cumple con todos los estándares en materia de seguridad que nos permita ofrecer a nuestros clientes las máximas garantías de integridad ,disponibilidad, confidencialidad de la información que gestionamos.

LANACCESS está especializada en grandes corporaciones e infraestructuras críticas, estos sectores están asesorados y dirigidos por reconocidas empresas especializadas e importantes equipos de IT que actualmente confían en los sistemas de videograbación local mapeados a la propia nube (Private Cloud) y su elección a favor de estas opciones se cimenta fundamentalmente en:

• Disponer de mayor control sobre todo el proceso.
• No es una solución rígida, es muy flexible y se adapta a las necesidades de cada cliente.
• Poder unificar todos los procesos empresariales en una misma nube, homogeneiza su gestión.
• Se acotan riesgos al no compartir la nube con terceros, no se pierde el control, no se cede “soberanía” como ocurre en la nube púbica, disponer de una nube en exclusividad otorga mayor seguridad.
• En el balance entre seguridad y precio, optan por la seguridad.
• Ante una caída o ataque al servicio de private cloud siempre estarán disponibles las grabaciones locales, aportando una doble seguridad.
• Hay sectores donde la normativa impide no disponer de grabaciones en on-premise.

La apuesta por la nube pública en este sector es una tendencia, pero está muy enfocada al ámbito doméstico y a la muy pequeña empresa especialmente, las razones son principalmente dos:

• Económica: gracias a las economías de escala son más baratas.
• De gestión: no disponer de un equipo IT dedicado y formado que pueda asumir este rol hace que empresas, especialmente las pequeñas recurran a este tipo de soluciones.

A la hora de escoger hay que balancear y optar por la solución que mejor se adapte a cada compañía o institución.

Pero esto no acaba aquí, en el artículo te seguimos contando muchas más cosas, así que SIGUE LEYENDO y no te pierdas nada.