EL MODELO DE SEGURIDAD COMPARTIDA DEL CLOUD

EL MODELO DE SEGURIDAD COMPARTIDA DEL CLOUD

Sobre la Responsabilidad Compartida en Cloud…

¿Es responsabilidad del proveedor de Cloud la seguridad de toda la información y las aplicaciones que subimos al Cloud? ¿Es toda responsabilidad nuestra? ¿Qué parte es de quién?

Pues la respuesta a estas preguntas las resuelve el modelo de responsabilidad compartida, en el que hay diversas capas, cada una con su responsable.

En general, el proveedor de Cloud se responsabiliza de la infraestructura general, incluyendo el acceso y la disponibilidad de los servicios ofertados (con su SLA correspondiente), y provee igualmente de una serie de herramientas de seguridad para su uso por parte del cliente.

A partir de ahí ya está todo en el tejado del cliente, la configuración de la red concreta para su arquitectura, los accesos, la seguridad y custodia de sus claves de acceso o la actualización de los sistemas operativos en el caso de tener que utilizar máquinas virtuales, y de las aplicaciones que se instalan en él.

La seguridad y la conformidad es una responsabilidad compartida entre AWS y el cliente.

Fuente: AWS Amazon

Existen servicios Cloud que requieren menos gestión del cliente, y por tanto menor responsabilidad en esta capa de gestión. En general, eso se traduce en que estos servicios que incluyen la gestión son más caros que los que la delegan en el cliente.

En general, son necesarias más tareas en el caso de la “Infraestructura como Servicio” (IAAS, las máquinas virtuales), un poco menos en la Plataforma como Servicio (PAAS, servicios de base de datos, de servidor web, etc.), y todavía menos si se contrata en modo Software As a Service (SAAS, correo, CRM).

¿Qué servicios #Cloud suponen al cliente menor responsabilidad en la seguridad? #IaaS #PaaS o SaaS Clic para tuitear

En el caso de IAAS hay que gestionar todo, el Sistema Operativo y aplicación, en el segundo caso (PAAS), son las reglas de seguridad de la red, los accesos y las aplicaciones, y en el tercer caso se centra en la confidencialidad de las cuentas de usuario y en los niveles de permisos adecuados para cada perfil.

Los partner tecnológicos de proveedores Cloud como Inycom forman parte también de este este esquema, ayudando a los clientes finales a no tener que hacerse cargo de algunos de estos niveles de seguridad, proporcionándole para cualquier solución Cloud un nivel equivalente al del SAAS, pero es bueno entender cómo funcionan estos niveles de seguridad para entender qué servicios realmente se proporcionan.

Con todo lo anterior, subyace una pregunta, ¿es más seguro tener mis datos en mi CPD que en el cloud? Pues la respuesta dependerá de estas implementaciones de la seguridad, tanto en el Cloud como en el CPD.

Por último, ¿cumplimos o incumplimos con las normas internacionales que aplican a mi empresa o mi negocio si vamos al Cloud? ISOs 9001, 27001, PCI/DSS, HIPAA o certificaciones de terceros por el hecho de ir al Cloud. Pues lo mismo, la mayor parte de los proveedores Cloud cumplen con los estándares (confirmar en cada caso concreto), pero las capas de seguridad responsabilidad del usuario o de la empresa cliente se deben de seguir procedimentando y ejecutando internamente para asegurar el cumplimiento.

 

Más información sobre Normativas de Seguridad    Puede que te interese saber más sobre el GDPR…

  NORMATIVAS DE SEGURIDAD EN TRENDS INYCOM

 

Juan Manuel Soto

Digital Solutions Marketing Manager

Leave A Reply