¿Qué cambia en un contexto cloud?

Muchas organizaciones no cambian de paradigma o lo están haciendo muy lentamente

porque les asusta la indefinición que suele percibirse en los entornos cloud, la pérdida de
control sobre sus activos y la deslocalización de estos. La mayor parte de estudios y encuestas
identifican como mayor preocupación en la transición a un contexto cloud la ciberseguridad.
Y esto en casi todos los roles de una organización, no sólo en los técnicos. Pero ¿hasta qué
punto esta preocupación está justificada en la actualidad?

La evolución de las soluciones propietarias o in-house a los entornos cloud exige una
actualización en la manera de trabajar en ciberseguridad, similar a la que se tuvo que hacer
al pasar del modelo local o centralizado al modelo cliente-servidor. En esta evolución,
la colaboración entre el cliente y el proveedor es esencial para el cumplimiento de las
políticas y procedimientos definidos por el cliente, así como para el cumplimiento de las
normativas, legislaciones y regulaciones que puedan afectarle en función de las naciones en
las que opere o de su sector de actividad. Todo esto está muy relacionado con la gobernanza
y la definición y monitorización de la SLA (Service Level Agreement) con el que el cliente
y el proveedor acuerdan, mediante relación contractual, los términos de prestación del
servicio a diferentes niveles.

Service Level Agreement (SLA).

Por poner sólo algunos ejemplos relacionados con la seguridad, el cliente y el proveedor
deben: a) definir claramente las fronteras para los datos (hay que tener en cuenta que los
proveedores tecnológicos suelen tener sus centros de datos repartidos prácticamente por toda
la geografía del planeta y que existen normativas y regulaciones muy rigurosas con la
ubicación de los datos); b) dejar claros desde el principio todos los aspectos relacionados con
la propiedad intelectual; c) definir conjuntamente los procedimientos para responder ante
incidentes; d) acordar los procedimientos para obtener evidencias digitales; y e) realizar
auditorías o deben hacer visibles sus relaciones con terceros (auditores, intermediarios, otros
proveedores) y cómo pueden afectar éstas a la ciberseguridad.

La importancia que los aspectos relacionados con la ciberseguridad están cobrando en las
SLAs actuales está haciendo que la comunidad valore si es necesario definir un Privacy Level
Agreement o un Security Level Agreement específico. Pero todavía no hay una conclusión
clara respecto a este tema.

Responsabilidad del cliente vs responsabilidad del proveedor

A ver si estamos de acuerdo, te proponemos a continuación una serie de responsabilidades
y su asignación a cada uno de los roles típicos en entornos cloud. Como verás, desde
nuestro punto de vista, y como ya habíamos comentado, gran parte de las responsabilidades
son compartidas.

Responsabilidades del Proveedor:

 Utilización de Trusted Operating Systems o Trusted Hypervisors que garanticen el

correcto aislamiento entre los recursos contratados por los distintos clientes.
 Mejora de las capacidades de monitorización, y de prevención y detección de intrusos
en las redes virtuales que comunican los recursos contratados por los clientes.
 Diseño de interfaces de acceso o APIs seguras.

Responsabilidades del Cliente:

 Definición de políticas que certifiquen la fuente u origen fiable de las virtual

appliances que se despliegan en las máquinas contratadas a través de IaaS o en las
plataformas contratadas a través de PaaS.
 Fortificación de los dispositivos o terminales de acceso a los recursos contratados por
el cliente.

Responsabilidades compartidas:

 Utilización de protocolos seguros para el acceso a la red y encriptación de los datos en

tránsito.
 Utilización de tecnologías seguras para el almacenamiento de los datos en los recursos
contratados por los clientes (encriptación de los datos almacenados).
 Utilización de esquemas IAAA fuertes y con sistemas de autenticación multi-factor.
 Establecimiento de planes de gestión de incidentes.
 Aplicación de las mejores prácticas propuestas en la norma ISO/IEC 27017.