Cómo Evaluar la Seguridad de un Proveedor de Servicios en la Nube: Guía Completa

• Brechas de datos: La vía directa es el tipo de fallo de seguridad más popular (y potencialmente dañino). Las brechas de datos ocurren con frecuencia en los servicios en la nube. Pueden suceder aparentemente por nada, y cuando lo hacen, pueden ser devastadoras. Capital One es un excelente ejemplo. En 2019, una debilidad simple en el cortafuegos de Amazon Web Services (AWS) provocó la filtración de datos de 100 millones de clientes. Fue tan grave que ahora tiene un enlace permanente en su página de inicio para mantener informadas a las personas sobre la demanda colectiva.
• Pobre gestión de identidades y accesos (IAM): Aproximadamente el 67% de los servicios en la nube del mundo son proporcionados por solo cuatro empresas, y AWS cubre por sí sola la mitad de esa cifra. Con tantos clientes, las cosas inevitablemente se complican y las políticas de seguridad IAM —cruciales— pueden descuidarse fácilmente, causando desastres. Los grandes proveedores han mejorado al respecto, pero aún tienen que esforzarse en mantener una autenticación multifactor robusta y el principio de privilegio mínimo, que son puertas traseras bastante habituales para filtraciones masivas de datos.
• Interfaces y APIs inseguras: Un diseño descuidado de la interfaz puede hacer que el público en general acceda al departamento de cuentas por cobrar o que el equipo de ventas acceda a datos privados de RRHH. Solo estarás protegido de esto si tienes pruebas realizadas por terceros que reciben una buena bonificación por vulnerar tu API.
• Poca visibilidad y controles débiles: En 2020, algunos hackers ingeniosos usaron un ataque a la cadena de suministro para insertar código malicioso en un contratista gubernamental conocido como SolarWinds. El software infectado, Orion, se difundió lateralmente entre varios clientes e introdujo puertas traseras en sus sistemas. Nadie supo lo que ocurría durante unos nueve meses porque la visibilidad era muy pobre y prácticamente no había validación de seguridad. 
• Problemas del modelo de seguridad compartida: La seguridad compartida tiene más que ver con abogados que con ingenieros. Un proveedor típico de servicios en la nube asume la responsabilidad de la infraestructura en la nube y otros elementos que controla, pero la seguridad de tus datos y cualquier cifrado que utilices depende de ti.
• Problemas de cumplimiento y regulatorios: Si tu empresa gestiona cualquier asunto relacionado con la salud en Estados Unidos, conoces HIPAA. Si operas en la UE, conoces el RGPD. Y en California, está la CCPA. Si tu proveedor no está debidamente certificado en normas de privacidad de datos del consumidor, existe una buena posibilidad de que algunas multas recaigan sobre ti, como la multa de 1.200 millones de euros que el gobierno irlandés impuso a Meta en mayo de 2023 por violar derechos de privacidad. Asegúrate, por ejemplo, de tener un cumplimiento sustancial de datos en la nube.
• Amenazas persistentes avanzadas (APT) y ransomware: En mayo de 2021, un ataque de ransomware a la red de distribución de combustible Colonial Pipeline detuvo esencialmente la entrega de gasolina en la Costa Este de EE.UU. Además de las imágenes imborrables de personas intentando llenar bolsas plásticas de supermercado con gasolina, este suceso puso en alerta al gobierno. Un solo ataque sofisticado permitió a actores maliciosos cifrar rutas de control cruciales de infraestructura y aterrorizar a personas en una docena de estados.

Criterios Clave para Evaluar la Seguridad de un Proveedor de Servicios en la Nube

Verificar Cumplimiento y Normativas Legales

• Certificados Específicos de la Industria: Probablemente tu sector cuenta con normas específicas propias. Dependiendo de la sensibilidad de tu actividad, esto puede requerir auditorías exhaustivas y reglas estrictas de divulgación, o simplemente una revisión superficial para asegurar que no estás traficando uranio. De cualquier manera, tu proveedor de servicios en la nube debe contar con los certificados que exige tu industria. En el sector salud, esto puede ser HITRUST; los prestamistas de tarjetas de crédito requieren el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), y así sucesivamente. Los grandes proveedores suelen tener varios de estos certificados, como AWS, que presume de contar con unos 50 aproximadamente.
• Auditorías de Cumplimiento Regulares: Las cosas cambian rápido en los servicios en la nube y el cumplimiento debe ser continuo. Asegúrate de que tu proveedor se somete a auditorías de cumplimiento periódicas, especialmente para SSAE 16 y otros exámenes centrados en la seguridad.

• Adaptación a Leyes en Evolución: A medida que la tecnología cambia, la legislación avanza con un ligero retraso. Averigua cómo tu CSP se adapta a los cambios legales. ¿Ofrece orientación a los clientes cuando hay un cambio significativo? ¿Lo necesitas? Descubrirlo desde el principio puede ahorrarte muchos problemas más adelante.
• Circunstancias Especiales: Muchos contratos en la nube son estándar, especialmente para pequeñas y medianas empresas. Si eres un actor importante con necesidades especiales, quizá necesites un contrato negociado específicamente o al menos algunos anexos.

JOIN THE COMMUNITY

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Sign up with:

LinkedInGoogleMicrosoft

Or sign up with email:

Phone

Este campo es un campo de validación y debe quedar sin cambios.

Name*

First name Last name

Business email*

Este campo está oculto cuando se visualiza el formulario

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

Garantizar una Protección Robusta de Datos

• Cifrado: El cifrado no es negociable. Elige lo mejor del sector y mantente con ellos (por encima de otros factores). El estándar de la industria en este momento es AES-256, y grandes proveedores como AWS te permiten elegir entre gestionar tú mismo las claves o dejar que ellos lo hagan por ti. 
• Respaldo y Recuperación ante Desastres: Una recuperación ante desastres sólida tampoco es negociable. Los hackers no son la única manera de perder datos, ya que un sistema mal diseñado es vulnerable a la pérdida de servidores, incendios o incluso a un impacto de asteroide. Una de las principales ventajas de los servicios en la nube es la capacidad de recuperar datos perdidos rápidamente. Tu CSP debe contar con un buen plan para esto y un historial comprobado de buena protección de datos.
• Gestión Integral del Ciclo de Vida de los Datos: La gestión del ciclo de vida de los datos es un conjunto de herramientas que abarca la clasificación, almacenamiento, archivo y eliminación adecuada de los datos. Para lograr una verdadera seguridad, tu CSP debe tener procedimientos para todas estas etapas, como una clínica médica que destruye los registros antiguos en lugar de simplemente tirarlos en un contenedor fuera de la oficina.

Refuerzo de la Gestión de Identidades y Accesos

• Autenticación Integral de Usuarios: Ninguna de las medidas de seguridad de un CSP sirve realmente si cualquier persona puede acceder usando tu contraseña. ¿Utiliza tu posible proveedor autenticación multifactor? ¿Controles biométricos? ¿Preguntas trampa sobre dónde fuiste a la secundaria? Puede ser incómodo, pero cuanto más tengas disponible de esto, mejor y más seguros serán tus puntos de acceso.
• Controles de Acceso: Las personas solo deberían tener acceso a lo que necesitan para hacer su trabajo. En el mundo del espionaje, esto se llama "necesidad de saber". En tecnología, es el principio de menor privilegio. Verifica si los usuarios están restringidos a lo mínimo necesario, o si el proveedor permite que deambulen por bases de datos confidenciales con accesos no autorizados.
• Registros de Auditoría y Reportes IAM: Tu CSP debe contar con registros de auditoría transparentes y detallados, así como numerosos informes sobre todas las acciones de los usuarios en cada entorno. No optes por un proveedor que prefiera mantener secretos o deje zonas oscuras en los informes donde puedan esconderse amenazas a la seguridad. 

Seguridad de Red e Infraestructura

• Protección de Firewall Moderna: La protección de firewall que recibas debe ir mucho más allá del filtrado de paquetes habitual que podrías hacer por ti mismo. Busca un proveedor de servicios en la nube (CSP) que ofrezca protección de firewall de próxima generación (NGFW). Esto puede detectar y bloquear intentos más sofisticados en tu red que las opciones estándar de la industria.
• Sistemas de Detección y Prevención de Intrusos (IDPS): ¿Recuerdas aquel hackeo a SolarWinds Orion que mencioné antes? Ese desastre comenzó con ataques exploratorios a finales de 2019 y terminó con la solución definitiva que se publicó en noviembre de 2020. Tu CSP debe detectar el malware en cuanto aparezca e implementar una solución lo antes posible.
• APIs Seguras: La interfaz es un punto débil en cualquier sistema. Asegúrate de contar con una API segura que utilice algo robusto como QAuth o Google Cloud Endpoints con la validación adecuada para mantener fuerte tu interfaz vulnerable.
• Precauciones contra DDoS: Las amenazas cibernéticas de denegación de servicio distribuido (DDoS) son tan antiguas como el gusano Morris. Es increíblemente sencillo para una parte maliciosa saturar tu red con llamadas infinitas que consumen todo tu ancho de banda. Cloudflare es el líder de la industria en este ámbito, con un historial sólido manejando algunos de los mayores ataques DDoS registrados, con millones de solicitudes por segundo.
• Actualizaciones y parches: ¿Gestiona tu CSP activamente tu ecosistema de seguridad de la información con parches y actualizaciones regulares que contrarrestan las amenazas más recientes? Siempre surgen nuevas vulnerabilidades, y cualquier servicio en la nube debe estar preparado para afrontarlas en cuanto se descubran.
• Segmentación adecuada: Así como los transatlánticos tienen compartimentos en sus cubiertas inferiores en caso de chocar con un iceberg, los datos sensibles requieren su propia segmentación y suites de seguridad. Incluso puedes profundizar más con la microsegmentación, que aplica protocolos de seguridad únicos a rutas individuales dentro de los procesos.

Gestión de Riesgos de Proveedores y Terceros

• Seguridad de Proveedores para Terceros: La mayoría utiliza terceros para algunas aplicaciones y almacenamiento de datos, y todos deben ser sólidos. Asegúrate de que tu CSP verifica los certificados de seguridad de todos sus contratistas, realiza regularmente auditorías de seguridad y al menos tenga en cuenta el historial de respuesta ante incidentes de cada uno. También considera el enfoque del proveedor sobre cifrado, acceso a datos y notificaciones de brechas.
• Seguridad de la Cadena de Suministro: Cada aplicación y red es una cadena de productos y servicios, y una vulnerabilidad en cualquier parte de esa cadena supone un riesgo para el usuario final, que eres tú. Tu CSP debe verificar toda la cadena y validar los certificados de seguridad de principio a fin.
• Planificación y Respuesta ante Incidentes: Las malas situaciones también ocurren en buenas redes, así que tu proveedor debe tener un plan de respuesta ante incidentes bien definido para afrontar problemas emergentes rápidamente. Puede tratarse de un hackeo, un ataque DDoS, detección de malware, protección frente a ransomware, o cualquier otro problema.

Seguridad Física y Ambiental

• Controles de Acceso Físico: Pensamos en la seguridad de datos como cifrado y protocolos de acceso, pero el centro de datos es también una ubicación física que necesita cerraduras y guardias de seguridad. Los CTOs deberían visitar los centros de datos del CSP para asegurarse de que cuenten con el nivel adecuado de seguridad física.

• Controles Ambientales: Los centros de datos también pueden verse comprometidos por incendios o inundaciones. Asegúrate de que el centro tenga un sistema adecuado de extinción de incendios por halón y sistemas confiables de control de temperatura y humedad. 
• Redundancia y Copias de Seguridad: No importa cuán bien esté diseñado un centro de datos, pueden ocurrir cosas malas. Tu CSP necesita sistemas redundantes múltiples y un plan de respaldo para restaurar servidores dañados y datos perdidos. Los sistemas de alimentación ininterrumpida (UPS) son estándar y algún nivel de protección RAID personalizable es lo ideal.
• Tiempos de Respuesta y Recuperación: Los proveedores suelen informarte sobre sus planes de respuesta ante incidentes y su calendario de actualizaciones y pruebas. Asegúrate de que disponen de un plan de recuperación que se pueda activar en poco tiempo. Examina el rendimiento histórico del proveedor, incluidas las cifras de interrupciones y caídas del servicio.

Atención al Cliente y Consideraciones Legales

• Atención al cliente: Verifica qué tipo de soporte al cliente ofrece tu CSP. Demasiados proveedores tienen tiempos de respuesta lentos o inexistentes. Asegúrate de que el tuyo cuente con múltiples canales de comunicación, como teléfono, chat, correo electrónico e incluso mensajes de texto.
• Documentación exhaustiva: Los servicios por los que pagas son complejos y una documentación clara es fundamental para entender a qué te estás comprometiendo. Lee las guías de usuario, manuales y protocolos publicados del proveedor.
• Propiedad y portabilidad de los datos: Los datos son un activo. Antes de firmar el contrato, asegúrate de saber quién es el propietario de los datos que se alojan y qué tan portables son. De lo contrario, podrías acabar con lo que consideras tus propios datos atrapados en servidores remotos sin poder moverlos.

• Transparencia en el manejo de datos y medidas de seguridad: Necesitas tener visibilidad de cómo se gestionan tus datos, y tu proveedor de seguridad en la nube debe priorizar la transparencia. Intenta establecer desde el principio cómo se almacenan y transfieren los datos, qué tipo de seguridad está implementada y cómo se mantienen estos sistemas.
• Soporte legal posterior a incidentes: Si tus datos sufren una brecha, podrías enfrentar problemas legales. ¿Con qué nivel de apoyo puedes contar de tu CSP? ¿Se desentenderán o tendrás acceso a su equipo legal? ¿El proveedor asumirá una responsabilidad compartida o estarás solo? Infórmate y planifica en consecuencia.

Mejores prácticas en la evaluación de la seguridad en la nube

Realización de evaluaciones de riesgos exhaustivas

• Identificar y clasificar los activos: Conoce bien qué estás migrando a la nube, nómbralo todo y clasifícalo según su importancia. Así tendrás una lista de prioridades sobre lo que requiere la mejor seguridad.
• Evaluar vulnerabilidades y amenazas: Ningún paquete de proveedor de seguridad en la nube es infalible, y protegerse contra una amenaza puede dejarte expuesto a otra. Conoce tus puntos débiles mejor que los hackers, y mantente alerta ante las amenazas activas en cada momento.
• Evaluar el impacto frente a la probabilidad: Los problemas menores son comunes y las amenazas grandes son raras. Por otro lado, un fallo menor probablemente no cause mayor problema, mientras que una brecha importante podría hacer que tu negocio cierre. Sopesa la probabilidad de cada amenaza frente a su gravedad y actúa en consecuencia.
• Elegir los controles: Selecciona tu conjunto de medidas de seguridad en función de tu evaluación de riesgos. Probablemente acabes usando una combinación saludable de controles de acceso, herramientas de supervisión y cifrado tanto en la nube como en tu propia infraestructura.
• Mantén una evaluación de riesgos continua: El entorno de amenazas cambia, a veces a diario, y debes mantener el ritmo. Conserva una visión actualizada de lo que debes proteger y estate siempre listo para realizar ajustes.

Revisión de acuerdos de nivel de servicio

• Conoce las obligaciones de tu CSP: El proveedor se compromete a darte un servicio, y te conviene saber exactamente a qué se obliga. Establece desde el principio a qué nivel de disponibilidad, rendimiento y atención de tickets se compromete.
• Conoce los remedios y penalizaciones disponibles: Si el CSP no cumple, tendrás que buscar una compensación por el mal servicio. ¿Tienes previstas y definidas soluciones de antemano? Normalmente suelen ser compensaciones económicas o descuentos en servicios futuros.
• Establece la escalabilidad y flexibilidad: Seguramente crecerás después de migrar, así que asegúrate de que tu nuevo entorno de computación en la nube tenga margen para expandirse. ¿Puede el servicio escalar rápidamente hacia arriba o hacia abajo? ¿Qué ocurre si creces muy deprisa? ¿Tienes la opción de actualizar tu servicio de manera fluida, o te verás atrapado en un solo contrato?
• Planifica múltiples estrategias de salida: Debes saber de antemano cómo romper la relación si es necesario. Si alguna vez tienes que desvincularte, asegúrate de contar con un plan de migración de datos para transferirlos de los servidores del proveedor a un lugar seguro, aunque sea a otro proveedor SaaS. 

Utiliza las herramientas que tienes para evaluar la seguridad en la nube

• Marcos de la industria: Ya existen algunas herramientas a nivel industrial para evaluar problemas de seguridad en un CSP, como la Cloud Controls Matrix (CCM) de la CSA y el Marco de Ciberseguridad de NIST. Utiliza estos recursos como parte de tu lista de verificación previa a la migración.
• Herramientas automatizadas: También existen algunas herramientas avanzadas que puedes probar y que automatizan el proceso de escaneo de vulnerabilidades y requisitos de cumplimiento regulatorio. No dudes en usarlas, ya que usualmente valen la pena por el costo.
• Gestión de la postura de seguridad en la nube (CSPM): CSPM puede escanear para detectar riesgos que aún no has identificado y tomar medidas activas para protegerte antes de que lleguen a tu infraestructura. Inclúyelo en tu postura general frente a amenazas.

La seguridad es lo primero para CTOs

Como puedes ver, hay muchos factores a tener en cuenta para una migración a la nube segura. Muchos de los grandes proveedores, especialmente Microsoft Azure, se encargarán de algunas de estas cuestiones por ti, pero te corresponde a ti asegurarte de que todo esté en orden.

He compartido mis mejores prácticas para evaluar la seguridad de los proveedores de servicios en la nube, pero hay más recursos de seguridad en la nube disponibles. Y puedes suscribirte a nuestro boletín para obtener las últimas novedades para CTOs.