OPINIÓN

Riesgos y protección de la infraestructura en la nube: ¿es necesario un cambio de mentalidad?



Dirección copiada

Pese a la generalización de los servicios cloud, aumenta la inquietud por la confidencialidad de los datos

Publicado el 1 sept 2023

Carine Martins

Account Executive de Stormshield Iberia



Sin título
Carine Martins, Account Executive de Stormshield Iberia

A finales de 2022, Gartner pronosticó que la inversión mundial en nube pública aumentaría un 20% en 2023. Tal crecimiento ha suscitado varios interrogantes y cada vez más personas cuestionan públicamente la filosofía de ‘todo en la nube’, mientras que realidades como la gobernanza de los datos, el cumplimiento de las normativas y la seguridad de los datos plantean otras tantas incertidumbres, en respuesta a los crecientes riesgos cibernéticos. Pero ¿son reales estos riesgos?

Los peligros de la nube

Ya se trate de infraestructuras, software o plataformas, el modelo “as-a-service” (SaaS, IaaS y PaaS) se ha convertido en una herramienta imprescindible para muchas organizaciones. Sus ventajas son innegables: flexibilidad, escalabilidad, alta disponibilidad, accesibilidad a los datos y opciones de pago por uso. Sin embargo, cada uno de estos modelos, así como los diferentes tipos de nube, integran su propia economía y riesgos.

Por último, la vulnerabilidad de los datos almacenados en la nube, es igualmente un hándicap

Y es que, a pesar de la generalización de estos servicios, cierta sensación de pérdida de control se manifiesta con creciente insistencia, aumentando la inquietud por la confidencialidad de los datos. Asimismo, el gasto oculto de la nube, alimentado por los altos costes de almacenamiento, operativos, de eliminación de datos o de tránsito mal calculados alienta este desasosiego con respecto a la nube, igual que la actual crisis de los precios de la energía, que ha (re)abierto los ojos sobre el consumo energético de los centros de datos.

Por último, la vulnerabilidad de los datos almacenados en la nube, es igualmente un hándicap. Objetivo prioritario, para acceder a los datos los ciberdelincuentes suelen atentar contra diversos elementos de la nube (servicios informáticos, de almacenamiento, aplicaciones…) e, incluso, contra las propias soluciones de ciberseguridad. También aprovechan los entornos en la nube como vehículo para lanzar algunos de sus ataques. En su último estudio, Cloud and Threat Report, el fabricante Netskope informó de que el número de aplicaciones en la nube que propagan malware se había… triplicado durante 2022.

¿Es hora de abandonar la nube?

La nube es objeto de interrogantes desde hace varios años, pero alejarse de ella no es una decisión que deba ser tomada a la ligera. Requiere realizar previamente una evaluación de su impacto. Por ejemplo, al externalizar los recursos a través de la computación en nube, las empresas se desvinculan de las competencias humanas y materiales que conlleva la computación in situ. Por tanto, tendrían que invertir en recursos materiales y humanos nuevamente.

De cualquier modo, abandonar la nube no significa necesariamente recurrir exclusivamente a la infraestructura local. Existen soluciones intermedias, como el alquiler de espacio en centros de datos privados, o la suscripción de un contrato de externalización con un proveedor de servicios. Ambas opciones permiten a las empresas explotar la infraestructura existente (peering, locales seguros, infraestructura eléctrica, climatización) y las certificaciones de redundancia (Tier I – II – III – IV) para evitar inversiones astronómicas.

Combinar nube y ciberseguridad

Existe otro enfoque consistente en combinar nube y ciberseguridad. Esta orientación es tanto más importante cuanto que “seguridad de la nube” significa a menudo “seguridad de las nubes”. Los componentes de seguridad específicos de los distintos mercados deben reforzarse o sustituirse por las capacidades de los proveedores de ciberseguridad puros (segmentación interna, filtrado entre distintos recursos, sistemas de detección de intrusiones, herramientas de gestión de identidades y accesos, enlaces VPN de confianza, etc.). Desde esta perspectiva multicloud, la elección de una marca de cortafuegos pure-player para desplegar en cada nube tiene sentido en términos de experiencia, visibilidad y gestión, en comparación con tener que administrar las distintas configuraciones de los cortafuegos nativos de cada nube.

Cómo elegir la mejor plataforma en la nube

¿Y cómo elegir entre las distintas plataformas en nube? En otras palabras: ¿cómo elegir una nube segura? Para ello es necesario identificar los servicios en la nube de confianza, que aseguren un cumplimiento del más alto nivel de seguridad en materia de protección de datos, un acuerdo de nivel de servicio preciso y garantía de localización de los datos: las nubes cualificadas ofrecen una mayor protección frente a las leyes no europeas, como la Ley de la Nube estadounidense.

Pero nada de esto debe restar importancia a la seguridad de los intercambios en la nube. En un momento en el que las herramientas de colaboración en la nube (como Google Workspace y Microsoft 365) se utilizan cada vez más en las organizaciones, la información está expuesta a los riesgos de interceptación, fuga y robo de datos. Cifrar los archivos permite intercambiar datos sensibles de forma segura: los datos sensibles se cifran y descifran automáticamente para las personas autorizadas. Pero para ser eficaz, la seguridad de los datos sensibles debe combinarse con la facilidad de uso que ofrecen las plataformas. Pero ese es un tema para otra ocasión…

Artículos relacionados

Artículo 1 de 3