ciberseguridad

• Información General

• Seguridad de Red

• Seguridad de las Aplicaciones (AppSec)

• Seguridad de la Información y Datos

• Gestión de Identidad y Accesos (IAM)

• Seguridad Operativa (OpSec)

• Seguridad Móvil

• Seguridad en la Nube

• Recuperación ante Desastres y Continuidad del Negocio

• Guía Sobre Ciberseguridad

• Noticias

Seguridad en la Nube

• Disciplina de la ciberseguridad dedicada a asegurar los sistemas informáticos en la nube. 

• Incluye mantener los datos privados y seguros a través de la infraestructura, las aplicaciones y las plataformas en línea.

• Tecnología, protocolos y buenas prácticas que protegen los entornos informáticos en la nube, las aplicaciones que se ejecutan en la nube y los datos almacenados en ella. 

• Asegurar estos sistemas implica los esfuerzos de los proveedores de la nube y de los clientes que los utilizan, bien se trate de una persona, una pequeña o mediana empresa o una organización.

• Los proveedores de servicios en la nube alojan los servicios en sus servidores a través de conexiones de internet siempre activas. 

• Debido a que su negocio depende de la confianza de los clientes, se utilizan métodos de seguridad en la nube para que los datos de los clientes se mantengan privados y almacenados de forma segura. 

• No obstante, la seguridad en la nube también está parcialmente en manos del cliente, que debe centrarse sobre todo en la configuración adecuada del servicio y en los hábitos de uso seguro. 

Categorías

• Seguridad los datos: prevención de amenazas; herramientas y tecnologías que permiten a los proveedores y los clientes insertar barreras entre el acceso y la visibilidad de los datos confidenciales (cifrado, VPN, etc.).

• Gestión de Identidades y Accesos (IAM): privilegios de acceso que se ofrecen a las cuentas de los usuarios; autenticación y autorización; restringir a los usuarios (legítimos y maliciosos) el acceso y el compromiso de los datos confidenciales y sistemas; gestión de contraseñas, autenticación de varios factores, etc.

• Gobernanza: políticas de prevención, detección y mitigación de amenazas; pueden ayudar a rastrear y priorizar las amenazas para mantener los sistemas esenciales vigilados cuidadosamente; se aplican sobre todo en los entornos empresariales; pueden ser útiles para cualquier usuario.

• Planificación de la Retención de Datos (DR) y la Continuidad del Negocio (BC): medidas técnicas de recuperación de desastres en caso de pérdida de datos; copias de seguridad; sistemas técnicos para garantizar la continuidad de las operaciones.

• Cumplimiento legal: protección de la privacidad del usuario; las empresas deben seguir los reglamentos; enmascaramiento de datos, que oculta la identidad dentro de los datos mediante métodos de cifrado.

Alcance

• Redes físicas: enrutadores, energía eléctrica, cableado, controles de clima, etc.

• Almacenamiento de datos: discos duros, etc.

• Servidores de datos: hardware y software informáticos de la red central.

• Plataformas de virtualización de equipos informáticos: software de máquinas virtuales, máquinas anfitrionas y máquinas invitadas.

• Sistemas operativos (OS): software que soporta todas las funciones informáticas.

• Middleware: gestión de la interfaz de programación de aplicaciones (API).

• Entornos de ejecución: ejecución y mantenimiento de un programa en ejecución.

• Datos: toda la información almacenada, modificada y a la que se ha accedido.

• Aplicaciones: servicios tradicionales de software (correo electrónico, software de impuestos, paquetes de productividad, etc.).

• Hardware de usuario final: ordenadores, dispositivos móviles, dispositivos de Internet de las Cosas (IoT), etc.

Tipos de Servicios en la Nube

• Núcleo.

• Servicios en la nube de software como servicio (SaaS) .

• Servicios en la nube de plataforma como servicio (PaaS) .

• Servicios en la nube de infraestructura como servicio (IaaS).

Núcleo

• El núcleo de cualquier servicio de la nube de terceros implica que el proveedor administre la red física, el almacenamiento de datos, los servidores de datos y las plataformas de virtualización de los ordenadores. 

• El servicio se almacena en los servidores del proveedor y se virtualiza a través de su red administrada internamente para entregarse a los clientes para su acceso remoto. 

• Esto transfiere los costes de hardware y otras infraestructuras para proporcionar a los clientes acceso a sus necesidades informáticas desde cualquier lugar a través de su conexión a internet.

Servicios en la Nube de Software como Servicio (SaaS) 

• Proporcionan a los clientes acceso a aplicaciones que están puramente alojadas y se ejecutan en los servidores del proveedor. 

• Proveedores: administran las aplicaciones, los datos, el tiempo de ejecución, el middleware y el sistema operativo. 

• Clientes: solamente se encargan de obtener y utilizar las aplicaciones. 

• Ejemplos: Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx, etc. 

Servicios en la Nube de Plataforma como Servicio (PaaS) 

• Proporcionan a los clientes un host para el desarrollo de sus propias aplicaciones, que se ejecutan dentro del propio espacio “sandbox” del cliente en los servidores del proveedor. 

• Proveedores: administran el tiempo de ejecución, el middleware y el sistema operativo. 

• Clientes: se encargan de gestionar sus aplicaciones, datos, acceso de usuarios, dispositivos de usuarios finales y redes de usuarios finales. 

• Ejemplos: Google App Engine, Windows Azure, etc.

Servicios en la Nube de Infraestructura como Servicio (IaaS)

• Ofrecen a los clientes hardware y plataformas de conectividad remota para alojar la mayor parte de sus tareas informáticas, incluido el sistema operativo. 

• Proveedores: solo administran los servicios básicos en la nube. 

• Clientes: se encargan de asegurar todo lo que se apila en un sistema operativo, incluidas las aplicaciones, los datos, los tiempos de ejecución, el middleware y el propio sistema operativo; deben gestionar el acceso de los usuarios, los dispositivos de usuarios finales y las redes de usuarios finales. 

• Ejemplos: Amazon Web Services (AWS), Microsoft Azure, Google Compute Engine (GCE), etc.

Tipos de Entornos

• Entornos de nubes públicas: compuestos por servicios en la nube de varios usuarios en los que un cliente comparte los servidores de un proveedor con otros clientes, como un edificio de oficinas o un espacio de trabajo; servicios de terceros dirigidos por el proveedor para dar acceso a los clientes a través de la web.

• Entornos de nubes privadas de terceros: se basan en el uso de un servicio en la nube que proporciona al cliente el uso exclusivo de su propia nube; normalmente son propiedad de un proveedor externo, y se administran y operan fuera del sitio.

• Entornos de nubes privadas internas: se componen de servidores de servicios en la nube de un solo usuario, pero se operan desde su propio centro de datos privado; es gestionado por las propias empresas para permitir la configuración completa de cada elemento.

• Entornos de varias nubes: incluyen el uso de dos o más servicios en la nube de proveedores independientes; pueden ser cualquier combinación de servicios públicos o privados en la nube.

• Entornos de nubes híbridas: consisten en el uso de una combinación de nube privada de terceros o centro de datos de nubes privadas in situ con una o más nubes públicas.

Riesgos

• Riesgos de la infraestructura basada en la nube: incluidas las plataformas informáticas heredadas incompatibles y las interrupciones de los servicios de almacenamiento de datos de terceros.

• Amenazas internas: debidas a errores humanos como, por ejemplo, la mala configuración de los controles de acceso de los usuarios.

• Amenazas externas: causadas casi exclusivamente por actores maliciosos, como malware, phishing y ataques de DDoS.

Retos

• No existe un perímetro: los profesionales de la ciberseguridad deben adoptar un planteamiento más centrado en los datos.

• Interconexión: la seguridad tiene que estar en la nube y no servir como elemento exclusivo para proteger frente al acceso a los datos que allí se almacenan.

• Almacenamiento de los datos por parte de terceros.

• Acceso a través de internet.

• Corte de energía: podría conllevar una pérdida de datos permanente.

Importancia

• La introducción de la tecnología de la nube ha obligado a todos a reevaluar la ciberseguridad. 

• Los datos y aplicaciones pueden estar flotando entre sistemas locales y remotos, y estar siempre accesibles por internet. 

• De ahí que protegerlos sea más difícil que cuando solo se trataba de impedir que usuarios no deseados accedieran a una red corporativa.

• La seguridad en la nube requiere ajustar algunas prácticas informáticas previas, pero se ha vuelto más esencial por dos razones clave:

  • 1. Comodidad por encima de la seguridad.

  • 2. Centralización y almacenamiento para múltiples usuarios.

Seas Autónomo/a, una PYME o una gran empresa, desde U2-LAB™ te ayudamos con todo lo que necesites, en todo momento, desde el inicio del proyecto hasta su finalización y más allá, para que estés tranquilo/a y puedas dedicarte a lo que realmente importa: hacer crecer tu negocio/empresa y ofrecer a tus clientes servicios de la máxima calidad, eficaces y eficientes.