BDO, una de las mayores firmas globales de servicios profesionales, ha analizado la evolución de la percepción de las aplicaciones de la nube en el mundo empresarial y los desafíos a los que se enfrentan las compañías para alcanzar un correcto gobierno y gestión de riesgos ciber en el cloud. Bajo su punto de vista, existen tres desafíos de seguridad en la nube que deben enfrentar las empresas. El primero, gestionar la identidad y la autenticación de acceso debido a la importancia de administrar los perfiles que pueden tener acceso a este tipo de datos. El segundo desafío es la responsabilidad por parte de las empresas de almacenar y cifrar la información confidencial, paso clave para la mitigación de cualquier tipo de riesgo que pueda aparecer. Y, por último, anticiparse a los inevitables incidentes de seguridad, para los que las compañías deben prepararse con procesos y herramientas concretas de detección, así como para su gestión.
Entre las iniciativas que BDO menciona para hacer frente a estos desafíos destacan el establecimiento de un control de seguridad, evaluaciones constantes y auditar los controles de seguridad establecidos. A pesar de que al inicio las aplicaciones en la nube generaban desconfianza en las compañías, que veían cómo disminuía el control de sus datos, actualmente las empresas han desarrollado un exceso de confianza en este modelo debido a que consideran el mundo cloud como un escenario seguro, según BDO.
Sin embargo, tanto el proveedor de la nube, como el cliente son responsables de diferentes aspectos de la seguridad y deben trabajar unidos para garantizar una cobertura completa en un entorno de responsabilidad compartida. El hecho de que no exista un modelo estándar de responsabilidad compartida está causando confusión, incluso en los directivos de seguridad de TI. Por ello, si se quiere lograr una exitosa estrategia de TI que cumpla con los objetivos generales de la empresa y así evitar poner en riesgo información sensible, resulta fundamental comprender los límites de responsabilidad compartida entre los proveedores de servicios cloud y los clientes.
Recomendaciones
En este contexto, BDO ha analizado diferentes iniciativas y acciones que deben tener en consideración las entidades para una correcta gestión de ciberriesgos en el cloud y lograr un correcto gobierno. En primer lugar, se debería de establecer un modelo de Vendor Risk Management en el que se identifiquen las necesidades de seguridad de los servicios cloud que se van a externalizar y, posteriormente, analizar la seguridad de los potenciales proveedores, además de acordar contractualmente los niveles y requerimientos de seguridad.
En segundo lugar, es importante llevar a cabo evaluaciones periódicas de cumplimiento de los proveedores cloud con las mejores prácticas de seguridad. Generalmente, a través de auditorías externas regulares y certificaciones de cumplimiento de los estándares de mercado como por ejemplo SOC, Esquema Nacional de Seguridad, Pinakes o ISO 27001 y 27017.
En tercer lugar, resulta esencial auditar aquellos controles de seguridad que recaen en la empresa con el objetivo de detectar potenciales malas prácticas relacionadas con la configuración, implementación y uso de los servicios cloud. Pese a que los proveedores cloud ofrecen servicios y productos de seguridad a sus clientes, son estos últimos quienes tienen que aplicarlos, ejecutarlos y monitorizarlos. En este sentido, los proveedores cloud realizan grandes esfuerzos en desarrollar detalladas guías de sus servicios para permitir a sus clientes cumplir con los requerimientos regulatorios y normativos aplicables.
En conclusión, la nube ofrece importantes ventajas de simplicidad y seguridad, pero sus servicios no son seguros de forma predeterminada, por lo que es necesario que las entidades apliquen planes y medidas, tanto preventivas como reactivas, además de implementar las medidas que proporciona el proveedor, con el fin de asegurar la infraestructura alojada en cloud.