¿Qué seguridad le pides a tu proveedor cloud?

Publicado el 02/11/2016, por INCIBE
¿Qué seguridad le pides a tu proveedor cloud?

Los servicios cloud ponen al alcance de la pyme las ventajas y funcionalidades de la tecnología que de otra forma no podrían permitirse. Los proveedores de estos servicios ofrecen escalabilidad y flexibilidad para adaptarse sobre la marcha (pay as you go) a nuestras necesidades en cuanto a capacidad de procesamiento y de almacenamiento. También nos permiten tener siempre disponibles y accesibles desde cualquier lugar nuestras aplicaciones. Todo esto con la posibilidad de contratar no solo la infraestructura o el software, sino también su mantenimiento. Pero, ¿cumplen también nuestros requisitos de seguridad?

Y es que tanto los servicios en la nube, como los que ofrecemos desde nuestras instalaciones, no están exentos de amenazas. Según el informe «The threacherous 12» de CSA en la nube las amenazas son entre otras: la fuga y pérdida de datos, fallos en el control de accesos, vulnerabilidades de los sistemas, secuestro de cuentas, empleados maliciosos, etc. podrían tener un gran impacto en nuestro negocio, acarreando multas por incumplimiento legal y afectando a nuestra reputación.

La oferta de servicios cloud es muy amplia. Entre los servicios que se pueden contratar están desde aplicaciones finales como el correo electrónico corporativo, un CRM o un ERP, que podremos administrar desde una consola web, hasta infraestructuras completas como un centro de datos, pasando por plataformas para almacenamiento, servidores web, etc. Estas opciones de contratación se conocen como SaaS (Software como Servicio), IaaS (Infraestructura como Servicio) y PaaS (Plataforma como Servicio), respectivamente.

Elegir la forma de contratación que nos interesa, va a depender del servicio que queramos subir a la nube y de sus requisitos de seguridad. Así, no es lo mismo contratar un servicio para el correo electrónico, para almacenar y compartir ficheros o alojar una web, que migrar por completo nuestra empresa a la nube.

Lo que está claro es que antes de lanzarse a firmar con un proveedor en la nube, sea para una aplicación, una plataforma o una infraestructura, tenemos que hacer un análisis detallado de los objetivos de negocio que queremos conseguir, incluidos los de seguridad. Cuando tengamos claro estos objetivos, escucharemos a los proveedores para ver cuáles de ellos entienden nuestra necesidad, los requisitos de ciberseguridad y nuestro mercado.

Tendremos también en cuenta la ubicación de los centros de datos del proveedor de servicios cloud, ya que la legislación sobre seguridad y privacidad varía de unos países a otros. Si nuestro negocio está en España o en la UE, tendremos que asegurarnos que también que lo esté el servicio en la nube, para cumplir con la legislación. En concreto para cumplir la LOPD, los proveedores en la UE nos ofrecen más garantías en materia de protección de datos. Si el proveedor, a su vez, subcontrata servicios a terceros y nuestros datos pueden cambiar de ubicación, tendremos que saberlo.

Otros aspectos a considerar relativos a la seguridad son:

  • las medidas de seguridad adoptadas por el proveedor para conservar nuestros datos, como actualizaciones, backups, auditorías, medidas contra incendios, etc.;
  • la seguridad que aplican en las transacciones y transferencias de datos;
  • la garantía de que nuestros datos están separados y no accesibles por otros clientes de la nube;
  • la disponibilidad de nuestros datos, o sus medidas de continuidad de negocio en caso de incidente o de desastre;
  • las condiciones del servicio de atención al cliente que nos ofrecen, si es por teléfono, en nuestro idioma, 24x7, etc.;
  • su flexibilidad o cómo escala los servicios si aumentan o disminuyen nuestras necesidades;
  • las opciones de portabilidad cuando termine el servicio o si cambian las condiciones.

Como clientes de los proveedores cloud, firmaremos ANS o Acuerdos de Nivel de Servicio, en los que se han de reflejar todos estos aspectos para cumplir nuestros requisitos de seguridad para cada servicio que contratemos. Generalmente los proveedores nos ofrecerán uno de estos tipos de acuerdos: fijo o de adhesión, negociado o mixto. En el primero las condiciones son fijas, en el segundo se adaptarán a nuestras necesidades y el tercero una mezcla de los anteriores. Como suele ocurrir cuanto más adaptable sea, también será más caro. No obstante, tendremos que valorar las opciones para cada servicio que queramos subir a la nube. Unos tendrán más requisitos de seguridad, por ejemplo los que tratan con datos personales, que otros.

Por otra parte no olvides que como cliente debes:

  • poder ejercitar tu derecho a acceder a los registros (logs) sobre quién accede a tus datos y a los servicios que tienes desplegados;
  • verificar la seguridad del proveedor respecto al servicio que te ofrece mediante una auditoría externa;
  • ser notificado ante cualquier incidente de seguridad del proveedor que afecte a tus datos o a los servicios que tienes desplegados;
  • poder solicitar al proveedor una certificación de seguridad adecuada al tratamiento de tus datos o comprobar si está adherido a algún sello de confianza o a algún código de conducta;
  • exigir un certificado de destrucción de tus datos una vez terminado el contrato;
  • poder verificar cómo aplica las medidas de seguridad que implementa el proveedor como firewalls, detección de antivirus, autenticación multifactor para el panel de control, cifrado o auditorías de seguridad periódicas;
  • comprobar el historial de caídas de los servidores del proveedor o si ha sufrido algún incidente de fuga de datos.

Tener en cuenta la seguridad es importante siempre que vayamos a tratar datos críticos de la empresa en la nube. Si quieres saber más consulta:

Resumiendo, al contratar servicios en la nube nos aseguraremos que estamos completamente conformes con la ciberseguridad que nos ofrece el proveedor y que es coherente con nuestras necesidades para cada servicio que contratemos.