Cybersecurity cloud blog

Conceptos y detalles de Ciberseguridad para Cloud Computing

Existe una tecnología que ha hecho la vida más fácil para los usuarios y las empresas. Es conocido como cloud computing.

Hoy en día es imposible entender la transformación digital de empresas y organizaciones sin la computación en la nube.

Estos datos reflejan que las empresas apuestan a la computación en la nube para reducir su inversión en servidores e infraestructuras para almacenar datos.

Cuando se trata de hablar de seguridad, es más seguro usar la nube que otros proveedores. Sin embargo, no todos los servicios de computación en la nube son iguales, por lo que debe analizar la protección que ofrece cada uno de ellos.

Primero, veamos qué es la computación en la nube y qué tipos de servicios podemos encontrar en el mercado:

¿Qué es la computación en la nube (Cloud Computing)?

La «nube» es un servidor donde se almacenan los datos, aplicaciones y software a los que puede acceder desde cualquier dispositivo, siempre que tenga una conexión a Internet.

Además de la accesibilidad, la ventaja de usar los servicios en la nube radica en el hecho de que no necesita usar el mismo equipo, para trabajar con las aplicaciones o los datos que ya están ubicados en la nube y son ilimitados.

¿Qué tipos de servicios existen en la nube?

En la computación en la nube encontramos tres tipos de servicios:

Software como servicio (SaaS): como por ej. Dropbox o Google Drive. Saas es el tipo más utilizado, ya que muchos de los servicios en línea que los usuarios usan diariamente se basan en él. Las aplicaciones a las que accedemos están alojadas en servidores para que el mantenimiento, la asistencia y la disponibilidad sean administrados por el proveedor de servicios.

Plataforma como servicio (PaaS): como Google App Engine o Heroku. Es más adecuado para los desarrolladores que necesitan espacio para alojar sus aplicaciones y ejecutarlas desde la nube. El proveedor de este tipo de nube ofrece la infraestructura, para la creación y distribución de sus aplicaciones.

Infraestructura como servicio (IaaS): como Amazon Web Service (AWS) ó Google Cloud Platform. En este tipo de servicio en la nube, los usuarios se suscriben y acceden al software a través de Internet o a través de las API del proveedor. La gestión de la infraestructura es responsabilidad de los usuarios y no del proveedor de servicios. Los usuarios disponen de un mayor control y gestión de la infraestructura.

¿Cómo debería ser la seguridad cibernética en un servicio en la nube?

  •  Los servicios en la nube deben cumplir con los estándares de seguridad cibernética que garantizan la integridad de los datos de los usuarios y las empresas que contratan los servicios.

Para empezar, la computación en la nube debe ofrecer una navegación segura. El acceso a la web o aplicación debe estar dotado de un certificado SSL, donde se indique la identidad de los propietarios del sitio. Puede verificarlo haciendo clic en el candado ubicado en la barra donde se escribe la URL. Si el candado está verde y cerrado, entonces estás navegando en un lugar seguro.

  • Otro aspecto importante es la verificación de quién está tratando de acceder al servicio en la nube.

Para esto, se recomienda que la nube tenga autenticación multifactorial, lo que significa que después de las credenciales de usuario y contraseña, debe haber una segunda o más credenciales que discriminen y verifiquen el acceso.

En este punto, vale la pena recordar que la seguridad también reside en el usuario. Por lo tanto, asegurar el acceso con una contraseña segura evitará que los ataques de fuerza bruta tengan éxito. Le recomendamos que utilice esta herramienta de generación de contraseñas para crear contraseñas seguras y guardarlas en un administrador de contraseñas.

  • Los firewalls y los grupos de usuarios seguros también son claves para trabajar de manera segura con un servicio en la nube. Se pueden crear grupos de usuarios seguros y, por lo tanto, discriminar el acceso a los recursos de acuerdo con el nivel de privilegios.
  • El cifrado de datos también es importante para evitar la lectura de datos por parte de terceros. Algunos servicios en la nube lo integran. Sin embargo, hay aplicaciones como Boxcryptor que mantienen la privacidad de los archivos con cifrado de punto final como Dropbox, Google Drive o OneDrive, entre otros.

Finalmente, se recomienda encarecidamente leer las políticas de privacidad de los servicios en la nube a los que se suscribe. Muchos se ofrecen de forma gratuita, pero acceden a los datos que los usuarios envían a la nube para venderlos a terceros, o simplemente para obtener algún tipo de beneficio.