¿Qué tan confiables son los servicios en la nube?

Para nadie es un secreto lo que está sucediendo en el marco de la ciberseguridad en Colombia y Latinoamérica, y es que prácticamente cada mes nos encontramos con noticias no muy alentadoras en ataques exitosos de ciberdelincuentes a grandes empresas de nuestro país. La última víctima fue un gigante de las telecomunicaciones y DataCenter de América Latina. 

La trascendencia de este último ataque con respecto a otros del mismo año, es que fue dirigido a un prestador de servicios de nube privada que atiende otras compañías en Colombia y Latinoamérica, además de gobierno y algunas entidades importantes del sector público de nuestro país. 

Esto nos hace pensar qué tan seguros nos encontramos o qué tan disponibles están nuestros servicios críticos de TI (ERP, CRM, Archivos, Bases de Datos entre otros) cuando respaldamos y confiamos en servicios de Nube

Las necesidades empresariales en nube se extienden mucho más allá de atributos como agilidad y escalabilidad, ahora la seguridad, la confianza y tener acceso a portafolios transversales para las nuevas necesidades de las industrias son prioridades más importantes.

¿Son infalibles los servicios de nube? 

Lo cierto es que ningún servicio de nube, sea público o privado, es totalmente seguro contra ataques y robo de información, esto debido a que la responsabilidad del robo de la data o disponibilidad de los servicios siempre será compartida con el cliente final. 

Así entonces, según el tipo de servicios en nube que se contrate (IaaS, PaaS, SaaS, On-Premises) habrá mayor o menor responsabilidad en la protección de la información. Se presenta a continuación una ilustración para explicar con más detalle la división de responsabilidades en los diferentes modelos de nube.

Gráfico 1. División de Responsabilidades

Ahora bien, en la medida que más nos podamos mover de un entorno On-premise a entornos SaaS, menor será la responsabilidad que deberíamos tener o asumir con respecto a la información guardada en la nube. 

Como vemos en el gráfico 1 para modelos IaaS (Infraestructura como Servicio), que es el modelo más común cuando se realiza una migración a entornos de nube, hay un nivel de responsabilidad del proveedor cercano al 30% y para el cliente final un 70% aproximadamente. 

Este 30% de responsabilidad del proveedor de nube está compuesto por tres componentes principales: Servidores Físicos, Red Física (Incluye seguridad de perímetro) y DataCenter Físico. 

El 70% restante del sistema está compuesto por los siguientes componentes y son responsabilidad del cliente final: Sistema Operativo, Controles de Red, Aplicaciones, Identidades, Cuentas y Accesos (Usuarios de la Empresa), Dispositivos (Móviles y PCs) e Información y Datos. 

Nube privada o nube pública ¿cuál tiene menos riesgo de falla? 

La nube, en resumen, es el cúmulo de grandes centros de cómputo que albergan diferentes servicios de infraestructura de TI para ser revendidos en modalidad de arriendo a los clientes. Esto quiere decir que estos proveedores deben invertir grandes cantidades de dinero en la seguridad física, en seguridad contra ciberataques, en personal certificado y en monitoreo constante para evitar la indisponibilidad de los servicios que venden.

Hoy en el mundo existen un sin número de proveedores para todo tipo de nubes (Públicas o Privadas), en el caso de Colombia y en general en el mundo, hay muchos más proveedores de nube privada, (DataCenter locales con poca redundancia) que pública (DataCenter con alta redundancia).

¿Pero cuál realmente tiene menos riesgos de falla? 

En un mercado altamente competitivo, pero a su vez con alto crecimiento año tras año, y gracias a la gran tendencia que lleva a las empresas a migrar a la nube, algunos de los proveedores de nube privada invierten en algunos casos solo en la continuidad del servicio en la capa de infraestructura física (mantenimiento físico de sus servidores, redundancia de sus plantas eléctricas, servicios de internet, hiperconvergencia), dejando en algunas ocasiones poca inversión en la capa de seguridad de la información. 

En contraste a esto, los proveedores de nube pública invierten cada año miles de millones de dólares en temas de ciberseguridad5 , esto debido a que atienden un mercado mucho más grande a nivel mundial y deben cumplir con altos estándares de normatividad en los cuales están certificados. 

El proveedor de nube es quien debe garantizar bajo los más altos estándares de seguridad, gobernanza y cumplimiento que los Servidores, que la Seguridad Perimetral y los DataCenter NO sean vulnerados por los ciberataques de última generación (Ransomware Inteligentes), ya que son estos componentes la base principal que sostiene los servicios y aplicaciones críticas de todos los clientes que administran. 

Así también, los proveedores de nube deben cumplir con altos estándares normativos de protección de la información a nivel país, a nivel internacional y a nivel industria, que les permitan evitar una posible negligencia en la seguridad informática de sus servicios de nube y que por ende afecten a sus clientes finales. 

Según el último informe de IDC, la nube pública creció un 22,9% en el 2022 sobrepasando los 500 billones de dólares a nivel global, así mismo, el gasto de los 5 proveedores más grandes de nube pública (Microsoft, Amazon Web Services, Salesforce Inc., Google, y Oracle) representan más del 41% del total del mercado y crecen 27,3% años tras año (Ver Gráfico 2). 

Es por esto, por lo que los proveedores de nube pública continúan teniendo más cargas de trabajo en sus DataCenter versus la nube privada (DataCenter locales), y siguen generando más confianza para la mayoría de las empresas de todos los tamaños a nivel 

Global.

Gráfico 2. Gasto de nube publica para el 2022

¿Qué deben hacer los clientes para evitar afectaciones de sus empresas cuando están en la nube? 

1. Contar con un aliado experto que administre sus entornos de nube y que esté especializado en seguridad informática de perímetros modernos, lo anterior les permitirá estar seguros y tranquilos con las capas de responsabilidad compartidas que su proveedor de nube no cubre (Ver Gráfico 1). 

2. Adoptar esquemas modernos como “Confianza Cero” que les permitan estar mucho más seguros contra las nuevas generaciones de amenazas más inteligentes (Ransomware como Servicio 3 ). 

3. Tener y administrar las copias de seguridad en otras nubes o regiones diferentes y ojalá con servicios de DRP (Disaster Recovery Plan) que garanticen la continuidad de sus sistemas (Multi-Cloud). 

4. Verificar el nivel de cumplimiento de estándares internacionales en seguridad de la información de su proveedor de nube. 

5. Garantizar con su proveedor tiempos de disponibilidad mínimos del 99.5% para todos los servicios de nube en conjunto con la infraestructura física (Servidores, DataCenter y Seguridad).

¿Qué se debe de tener en cuenta para escoger el proveedor de nube correcto? 

1. Su proveedor de nube debe garantizar que hace las inversiones en seguridad suficientes que garanticen la disponibilidad de sus sistemas. 

2. Su proveedor de nube debe contar con altos niveles de monitoreo para su infraestructura actual. 

3. Su proveedor de nube debe garantizar que cumple con altos estándares de certificación y cumplimiento a nivel internacional en seguridad de la información. 

4. Su proveedor de nube debe de tener un entendimiento profundo de las necesidades de su industria. 

5. Su proveedor de nube debe garantizar que su DATA no sea extraída por terceros. 

6. Su proveedor de nube debe garantizar altos niveles de servicio (SLA/ANS) con devolución de dinero en caso de indisponibilidad. 

7. Su proveedor de nube debe generar altos niveles de confianza y seguridad, así mismo tener un amplio portafolio de soluciones. 

8. Su proveedor de nube debe permitirle escalar o disminuir su infraestructura a necesidad con altos niveles de resiliencia y redundancia. 

¿Cuál es la propuesta de valor diferencial que puede ofrecer un proveedor de nube pública como Microsoft?  

  • Microsoft es hoy el proveedor de nube más grande del mundo con más de 60 regiones habilitadas y más de 200 centros de datos físicos en 140 países 4 (Ver Gráfico 3).  
  • Mas de 90 Certificaciones en seguridad a nivel mundial. El conjunto de ofertas de cumplimiento normativo más completo entre los proveedores de servicios en la nube (Ver Gráfico 4 y 5).  
  • Microsoft es el proveedor de nube que más invierte en ciberseguridad. Desde el 2015 viene invirtiendo más de $1 Billón de dólares cada año (Ver Gráfico 6).  
  • En el 2021 Microsoft comprometió $20 Billones de dólares en los siguientes 5 años para ofrecer herramientas de seguridad más avanzadas.  
  • Microsoft emplea cerca de 3500 profesionales en ciberseguridad dedicados a las plataformas de nube. 
  • Microsoft tiene hoy la telemetría en seguridad más grande del mundo. 43 trillones de señales y advertencias son analizados diariamente.  
  • Microsoft utiliza inteligencia artificial para contrarrestar las amenazas digitales más sofisticadas.  
  • Microsoft puede entregar disponibilidades cercanas del 99.9999999999999999% (16 9s) en su nube de Azure y es líder en la industria en RPO y RTO (Continuidad del negocio) (Ver Gráfico 7).  
  • Más del 95% de las empresas incluidas en la lista Fortune 500 utilizan Azure (Ver Gráfico 8).

GRÁFICO 3 – DATACENTER GLOBALES MICROSOFT

GRÁFICO 4 – CERTIFICACIONES EN SEGURIDAD Y CUMPLIMIENTO POR REGIONES

GRÁFICO 5 – CERTIFICACIONES EN SEGURIDAD Y CUMPLIMIENTO POR INDUSTRIAS

GRÁFICO 6 – SEGURIDAD DE LA INFORMACIÓN EN AZURE

GRÁFICO 7 – MAYOR DISPONIBILIDAD Y CONTINUIDAD DE NEGOCIOS

GRÁFICO 8 – EMPRESAS FORTUNE 500

No Comments

Sorry, the comment form is closed at this time.

En ExpertechHemos cambiado nuestro PBX 6045011991

Para brindarte un mejor servicio

Hola, ¿cómo podemos ayudarte?