En los últimos años, la confianza de las empresas en el uso de la nube (cloud computing) se ha incrementado considerablemente. Según el informe de Eurostat sobre el uso de las TIC en Europa, la adopción de tecnología cloud por parte de las compañías europeas ha crecido un 7% de 2014 a 2018, situándose en un 26% de media (22% en España). El informe indica que los servicios más utilizados son el correo electrónico (69%) y el almacenamiento de información (68%). Y se prevé que en el próximo lustro las organizaciones también utilizarán la nube para ejecutar aplicaciones vitales para sus negocios. Este escenario plantea un par de cuestiones sobre la seguridad en la nube que las empresas deberían tener en consideración.

La seguridad informática en la nube es una responsabilidad compartida

En una infraestructura tecnológica tradicional, la empresa es la que adquiere el hardware necesario para hacer funcionar y proteger sus sistemas ante cualquier ciberataque. Los cortafuegos, servidores, etc., están ubicados en las instalaciones de la compañía. En este caso, la responsabilidad ante cualquier ciberincidente (una fuga de datos, por ejemplo) recae directamente sobre la empresa. Esto no significa que cuando una organización decida trasladar las cargas de trabajo y la información de negocio a la nube (el hardware y el almacenamiento de la información están situados fuera de la sede corporativa) deje de tener también esa responsabilidad.

En este segundo caso, el proveedor de servicios en la nube se va a asegurar de que, por ejemplo, los servidores sean seguros, garanticen la continuidad del servicio y que ningún desconocido acceda físicamente a ellos. Sin embargo, la empresa cliente de los servicios cloud será la responsable de configurar correctamente la seguridad de las redes corporativas y de utilizar soluciones de ciberseguridad como los antivirus y los anti ransomware. Así, la seguridad informática en la nube es una responsabilidad compartida entre las empresas y sus proveedores de cloud.

Gestión de los accesos a la nube

De acuerdo con el Security Report 2019 de Check Point, el 18% de las compañías en el mundo sufrieron un incidente de seguridad en la nube en 2018. Este dato refuerza el hecho de que la nube es segura. Sin embargo, el reto al que se enfrenta toda aquella empresa que quiera migrar a entornos cloud es la correcta gestión de los accesos de los empleados. De nada sirve disponer de la mejor tecnología que garantice la seguridad en la nube si quien accede a los servicios no son los usuarios legítimos. Por eso, las empresas deben poner especial atención en configurar:

  • La autentificación de múltiples factores, es decir, no será posible acceder al servicio solo con el usuario y la contraseña, se necesitará otro parámetro (por ejemplo, introducir un código enviado por SMS). Se pueden utilizar tantos factores como se quiera: biométricos (huellas dactilares, reconocimiento de iris), identificación del dispositivo (si es corporativo o no), localización desde la que se está intentando entrar (país o ciudad), etc. La gestión de las identidades es vital para la seguridad en la nube.
  • Los roles y permisos de usuario aseguran que nadie acceda a más información y funcionalidades de las que necesita para el cumplimiento de sus funciones profesionales. Este sistema de asignación de privilegios es muy útil en casos de acceso ilegítimo por robo de credenciales o pérdida de dispositivos (se limita el impacto de una posible filtración de datos críticos).

En definitiva, ahora que los proveedores de servicios en la nube ya ofrecen entornos lo suficientemente seguros, falta que las empresas entiendan que la gestión de identidades (confirmar que el usuario es quien dice ser) en un ecosistema cloud cobra mayor importancia que en la infraestructura IT tradicional.