redseguridad 077

seguridad en cloud

monográfico

reportaje

negocio y adecuarse a las distintas pla- taformas empresariales. Es muy impor- tante que dicho servicio se integre de forma segura en las redes móviles y fijas de la empresa, y que exista un entorno optimizado para conectar las infraestructuras cloud con servicios de Internet de las Cosas". Aparte de todo esto, "un buen pro- veedor de servicios cloud debe dis- poner de una completa serie de solu- ciones que ayuden a cada cliente a establecer sus políticas de seguridad para hacer frente a los ataques, así como asesoramiento y consultoría para facilitarle ese viaje", a juicio del gerente de Marketing Cloud para empresas en Telefónica España. Recomendaciones Partiendo de esta base, hay una serie de medidas que se pueden llevar a cabo para mejora la seguridad cloud. Velasco, de Cloud Community Europe, las resume en dos. En primer lugar, hay que determinar qué datos se van a almacenar y gestionar en la nube. "Una vez identificados y su criticidad, es importante utilizar tecnologías de cifrado y gestión como IRM (securi-

zación y cifrado de documentos) o PAM (gestión de usuarios privilegia- dos)", comenta. A continuación, de los servidores e infraestructuras que se contraten en el cloud, hay que verificar que el proveedor disponga de servicios de seguridad perimetral. Los más relevantes y obligatorios son los de FW en cloud, IPS, AntiDDoS en cloud y WAF en cloud. Estos servicios, según el directivo, son "un kit básico que se debe exigir y, en la medida de lo posible, contratar adecuadamente en el proveedor cloud". Por otra parte, el cumplimiento nor- mativo es otro de los pilares básicos que hay que tener en cuenta para potenciar la seguridad en estos entor- nos. En ese caso, el problema se pre- senta debido a la falta de transparencia de estas infraestructuras, por lo que es muy recomendable que el suscriptor del servicio se informe claramente de cómo se gestiona el entorno. Y para ello existen los contratos de acuerdo de servicio, los cuales deben de ser revisa- dos y creados específicamente, deta- llando los controles, las normativas, las medidas de protección, los plazos de recuperación del servicio, etc.

Así lo expone González Lezana, de Telefónica: "Todos los servicios cloud deben disponer de soluciones para garantizar la disponibilidad de servicio, así como flexibilidad para proporcionar el servicio desde diferentes centros de datos, previendo posibles desastres". Para lograrlo, según el directivo, los centros de datos deben disponer de certificaciones como las que ofrece el Uptime Institute, cuyo máximo expo- nente es la certificación TIER IV Gold, que asegura unas instalaciones con mecanismos y redundancia para garan- tizar una disponibilidad del 99,995 por ciento del tiempo. "Adicionalmente, los datos son críticos para las empresas y algunos entornos requieren que estos estén siempre cifrados", agrega. Y relacionado con esto, Velasco, de Cloud Community Europe, indica que es recomendable que "se adquieran los servicios coud a través de un pro- veedor local en España o afincado en la Unión Europea", y no en EEUU, China o Reino Unido, "ya que de esta forma se garantiza la posesión de la información y el cumplimiento de las normativas de protección de datos", concluye.

Buenas prácticas en seguridad 'cloud' por áreas

ÁREA

RECOMENDACIÓN

Gobernanza

Implantar políticas y estándares en la provisión de servicios cloud. Establecer mecanismos de auditoría y herramientas para que se sigan las políticas de la organización durante el ciclo de vida. Entender los distintos tipos de leyes y regulaciones y su impacto potencial en los entornos cloud. Revisar y valorar las medidas del proveedor con respecto a las necesidades de la organización. Incorporar mecanismos en el contrato que permitan controlar los procesos y controles de privacidad empleados por el proveedor.

Cumplimiento

Confianza

Arquitectura Comprender las tecnologías que sustentan la infraestructura del proveedor para entender las implicaciones de privacidad y seguridad de los controles técnicos. Identidad y control de acceso Asegurar las salvaguardas necesarias para hacer seguras la autenticación, la autorización y las funciones de control de acceso. Aislamiento de software Entender la virtualización y otras técnicas de aislamiento que el proveedor emplee y valorar los riesgos implicados. Disponibilidad Asegurarse de que durante una interrupción prolongada del servicio las opera- ciones críticas se pueden reanudar inmediatamente, y el resto de operaciones, en un tiempo prudente.

Respuesta a incidentes

Entender y negociar los contratos de los proveedores, así como los procedi- mientos para la respuesta a incidentes requeridos por la organización.

Fuente: National Institute of Standards and Technologies (NIST).

red seguridad segundo trimestre 2017 59