Seguridad en la nube

Los datos son una herramienta de la moderna economía digitalizada, o el nuevo oro de las empresas (sector privado), pero también para el Estado (sector público). En el mundo digitalizado de hoy en día, hay un número imparable de nuevos registros de datos que acaban en internet en grandes cantidades. Algunos de estos registros de datos se refieren a datos personales que representan una identidad digital. El verdadero arte en una empresa es filtrar estos datos cuidadosamente y, sobre todo, almacenarlos. El objetivo de este breve documento es mostrar los datos en una nube y cómo se procesan desde la perspectiva de una empresa. Además, este breve documento muestra qué tipos de contratos, arquitecturas y medidas de seguridad adecuadas contra los ciberataques adopta la industria para tener una base sólida para su propio procesamiento de datos.

Antes de entrar de lleno en el tema de la seguridad en la nube, es importante conocer algunos datos clave sobre la computación en nube, cómo funciona y cómo se estructura una nube: "La computación en nube es un modelo de procesamiento de datos que puede utilizarse para acceder a un conjunto compartido de recursos informáticos configurables (por ejemplo, redes, servidores, sistemas de almacenamiento, aplicaciones y servicios) cómodamente a través de una red, en cualquier momento y desde cualquier lugar, según sea necesario. Estos recursos pueden estar disponibles rápidamente y con un mínimo esfuerzo administrativo o de interacción con el proveedor de servicios. La nube puede utilizarse en tres variantes (Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS), Software como Servicio (Saas)). El tipo de nube difiere según el tipo de prestación (nube privada, nube comunitaria, nube pública, nube híbrida)" [1]

En el ámbito de la computación en nube, existen diferentes tipos de aprovisionamiento, es decir, cómo los proveedores de nube ponen los servicios en nube a disposición de sus usuarios. Hay cuatro modelos principales asociados a la computación en nube:

1. Nube pública

La nube pública da acceso a todos los usuarios a recursos informáticos comoHardware (sistema operativo, CPU, memoria) o software (servidor de aplicaciones, base de datos) mediante suscripción o pago por uso. Los casos prácticos de uso incluyen el desarrollo y prueba de aplicaciones para tareas críticas y no críticas, como compartir archivos y servicios de correo electrónico.

2. Nube privada

La nube privada suele ser utilizada explícitamente por una sola organización y puede ser gestionada internamente o por un proveedor externo de servicios informáticos. Aunque las nubes privadas suelen ser más caras que las públicas debido a las inversiones en adquisición y mantenimiento, responden mejor a las preocupaciones de seguridad y protección de datos de las organizaciones.

3. Nube híbrida (forma híbrida de un centro de datos físico o una nube privada externa y/o una nube pública)

La nube híbrida utiliza infraestructuras de nube privada y pública. Las empresas eligen este modelo para ampliar rápidamente su infraestructura informática según sus necesidades. Por ejemplo, un minorista en línea puede utilizar los recursos de la nube pública durante la temporada de vacaciones para complementar o aliviar la capacidad de su nube privada.

4. Nube comunitaria

La nube comunitaria da soporte a varias organizaciones que utilizan recursos informáticos de forma conjunta. Entre ellas se incluyen, por ejemplo, universidades que colaboran en áreas de investigación específicas o agentes estatales como departamentos de policía de un distrito que comparten recursos. El acceso a una nube comunitaria está restringido a los miembros de la comunidad.

Los costes para el usuario final son tradicionalmente bajos en el caso de las nubes públicas, sin necesidad de grandes inversiones. Las nubes privadas, en cambio, sí requierenInversiones, pero ofrecen ahorros fundamentales en comparación con los costes de explotación de su propia infraestructura.ahorro en principio. Las nubes privadas también garantizan más seguridad yDe cumplimiento que las nubes públicas. Por eso algunas organizaciones utilizan nubes privadas para datos y aplicaciones críticos para el negocio o más sensibles, y nubes públicas para tareas básicas como desarrollo de aplicaciones, entornos de prueba y servicios de correo electrónico.[2]

Una solución de nube híbrida es una buena forma de minimizar o diversificar los riesgos de un ciberataque. Ofrece un mayor control sobre la propia seguridad en comparación con el uso puro de una nube pública. Además, una infraestructura de nube híbrida ofrece la opción de establecer normas de seguridad individuales y configurar software personalizado en servidores privados.configuración personalizada del software en servidores privados. Esta distribución conduce a una mayor fiabilidad del sistema y a una mejor evaluación de los problemas del sistema.

Además, la rentabilidad es mayor que cuando se compran y mantienen servidores in situ.[3]

Modelos de arquitectura de servicios en la nube

Dadas estas ventajas de una solución de nube híbrida, que van desde un mayor control de la seguridad hasta una mayor fiabilidad, es importante comprender las diferentes arquitecturas de servicios en nube. Estas arquitecturas, a saber, la Infraestructura como Servicio (IaaS), la Plataforma como Servicio (PaaS) y el Software como Servicio (SaaS), ofrecen diferentes niveles de prestación de servicios y definen diferentes responsabilidades en materia de cumplimiento.

1. Infraestructura como servicio (IaaS)

Los proveedores de IaaS proporcionan infraestructura básica de computación, almacenamiento y red, así como el hipervisor para la virtualización.Hipervisor para la virtualización. Los usuarios son responsables de crear y gestionar instancias virtuales, instalar sistemas operativos, proporcionar aplicaciones y datos y de toda la configuración. IaaS es interesante tanto para las pequeñas como para las medianas empresas. El sencillo funcionamiento de una infraestructura en la nube que no se gestiona internamente es una alternativa rentable a la compra de hardware propio.

Ejemplos: DigitalOcean, AWS, Azure, Google Compute Engine.

2. Plataforma como servicio (PaaS)

Los proveedores de PaaS amplían la pila de aplicaciones más que IaaS añadiendo sistemas operativos y middleware (por ejemplo, bases de datos). Los usuarios se centran más en el desarrollo de aplicaciones. La plataforma gestiona la infraestructura subyacente.

Ejemplos: AWS Elastic Beanstalk, Google App Engine.

3. Software como servicio (SaaS)

Los proveedores de SaaS ofrecen una pila completa de aplicaciones. Los usuarios pueden acceder a la aplicación totalmente alojada a través de un navegador web. La gestión de las cargas de trabajo y los recursos informáticos está completamente bajo el control del proveedor de SaaS, mientras que los usuarios tienen un control explícito sobre los datos creados por la aplicación.

Ejemplos: aBusiness Suite, Salesforce, Dropbox, Google Workspace.[4]

La nube en el Derecho contractual

Los contratos SaaS aún no han sido abordados explícitamente en la legislación por el legislador. Hasta la fecha, un contrato SaaS sólo puede clasificarse jurídicamente como un contrato mixto, que incluye aspectos de contratos de servicios, de trabajo y de alquiler. Por lo tanto, el ámbito jurídico aplicable depende de la sección de servicios respectiva del contrato. El componente central de un contrato SaaS se encuentra principalmente en el derecho de arrendamiento, porque el suministro de software se compara mejor con la transferencia de propiedad en virtud del derecho de arrendamiento. Dado que el software no se considera una "cosa" en el sentido del derecho de arrendamiento, la opinión actual es que los contratos SaaS representan una cesión temporal para su uso. Esto armoniza con la normativa y el objetivo perseguido por el derecho de arrendamiento.[5]

Los contratos PaaS se caracterizan en gran medida por acuerdos de nivel de servicio (SLA), queServicios mínimos y definen los derechos y obligaciones de ambas partes contratantes.

La protección y la seguridad de los datos desempeñan un papel crucial, ya que los servicios PaaS implican a menudo el tratamiento de datos sensibles. El contrato debe contener disposiciones claras sobreProtección de datos personales. También es esencial especificar en el contrato a quién pertenece la propiedad intelectual de las aplicaciones creadas, siendo normalmente el usuario quien retiene la propiedad de las aplicaciones y el proveedor quien retiene la propiedad de la plataforma [6].[6]

Conclusión

Independientemente de si se trata de una startup, una empresa de capital riesgo, una PYME o una gran empresa, la seguridad en la nube es crucial para toda organización.

No solo es importante considerar con qué proveedores de nube desea trabajar como empresasino también qué condiciones marco se establecen.

En última instancia, la seguridad no es responsabilidad exclusiva del proveedor de servicios de tecnología en nube per se, sino que los empleados de una empresa desempeñan un papel igualmente importante en el aspecto de la seguridad de una nube.

Es esencial invertir regularmente en la formación y sensibilización de los empleados para garantizar que disponen de los conocimientos necesarios para hacer frente a las políticas y procedimientos de seguridad. Sin embargo, para aprovechar todo el potencial de una nube, las empresas deben invertir tanto en el mantenimiento de sus propios sistemas o los de socios externos como en la contratación de nuevo personal informático. De este modo, una empresa puede garantizar la seguridad de sus sistemas y aumentar así la satisfacción de sus clientes, lo que mejora la reputación de la empresa a largo plazo.

Uno de los principales puntos de fricción a la hora de seleccionar un proveedor externo de servicios en nube ha sido siempre la dependencia de la empresa de proveedores extranjeros y de sus sistemas de gestión de datos.Dependencia de proveedores extranjeros y sus normativas de protección de datos. Las empresas afrontan este reto con medidas como un examen exhaustivo de las directrices de protección de datos, enfoques de nube híbrida para minimizar el riesgo, evaluaciones de las medidas de seguridad y certificaciones de los proveedores, evaluaciones del impacto de la protección de datos, supervisión y auditorías periódicas y preparación ante posibles violaciones de la protección de datos. Las estrategias varían en función del tamaño de la empresa y del sector, pero todas sirven al objetivo de garantizar el cumplimiento de la protección de datos y minimizar los riesgos potenciales al tratar con servicios externos en la nube.

Lista de fuentes

Computación en nube
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Modelo de despliegue de la nube (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Entender la nube: ¿sabes qué es una nube pública y qué es una nube híbrida? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

¿Qué es IaaS? Definición y datos de interés
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Plataforma como servicio (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

Qué debe tener en cuenta al redactar contratos de SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Contratos de plataforma como servicio (contratos PaaS): Una guía (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html

Artículos relevantes para el tema Backup

¿Qué tipo de copia de seguridad es la mejor opción para mis datos?
Las preguntas más frecuentes a la hora de elegir una solución de copia de seguridad
Las ventajas y desventajas de los diferentes sistemas de archivos de Windows

Ponga un comentario aquí...