Una de las consideraciones más importantes para cualquier organización que migre cargas de trabajo y aplicaciones a la nube es asegurarse de que la infraestructura de nube en la que construyen sea segura. Para muchas organizaciones, la necesidad de cumplir con ciertos estándares de cumplimiento no es solo una cuestión de cumplir con las mejores prácticas de la industria, sino que, en casos específicos, es un requisito legal. Las organizaciones que manejan datos personales, financieros y de salud confidenciales deben verificar que cuentan con los controles adecuados para proteger esos datos, ya sea que residan en sus propios centros de datos locales o en la nube y mientras están en tránsito.
Si bien es técnicamente posible construir aplicaciones seguras sobre una infraestructura no compatible, no sería práctico para los clientes hacerlo. Como resultado, el cumplimiento de los estándares es un problema tanto para los proveedores de infraestructura en la nube como para sus clientes. De hecho, para la mayoría de las organizaciones, el cumplimiento de los estándares de seguridad es una condición previa necesaria en el proceso de selección de proveedores de la nube.
Cumpliendo con los estándares
Existen numerosos estándares de cumplimiento, como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), ISO / IEC 27001: 2013, HITRUST y SOC 2. PCI DSS, definido por la industria de tarjetas de pago para mantener segura la información de las tarjetas de crédito. PCI requiere medidas como cifrar la transmisión de los datos del titular de la tarjeta y usar un firewall para protegerla. Cualquier empresa que transmita, almacene, maneje o acepte datos de tarjetas de crédito, independientemente del tamaño o volumen de procesamiento, debe cumplir con el estándar PCI. ISO 27001 es un estándar internacional más general para la seguridad de los datos. HITRUST tiene como objetivo garantizar que las organizaciones puedan manejar de forma segura la información de salud de acuerdo con las regulaciones de HIPAA. Quizás el estándar de cumplimiento más común para todos los proveedores de servicios en la nube es el SOC 2. Los criterios de servicios de confianza del SOC 2 describen un marco de requisitos de control que se puede aplicar a todas las organizaciones que almacenan datos de clientes en la nube, incluidas todas las empresas de SaaS e IaaS, así como aquellas utilizando la nube para almacenar la información de sus propios clientes.
Los clientes deben esperar que sus proveedores de infraestructura en la nube pongan a disposición para su revisión su informe anual de auditoría SOC 2 Tipo 2 (que debe ser preparado por una empresa de auditoría independiente). Las auditorías SOC 2 Tipo 2 son evaluaciones integrales que miden la efectividad operativa de los controles de seguridad, disponibilidad, confidencialidad y privacidad de los datos del cliente. Proporcionan a los clientes información valiosa cuando realizan sus evaluaciones de riesgos de los proveedores de servicios en la nube. Los informes de auditoría de SOC 2 pueden asegurar a los clientes que el proveedor de la infraestructura en la nube ofrece una base segura, compatible con los estándares y segura para las aplicaciones críticas para el negocio.
Más allá de proporcionar un lenguaje común y comprensión para los proveedores de infraestructura en la nube y sus clientes con respecto a la implementación de controles de seguridad, el cumplimiento de los estándares también se considera un indicador de la cultura de seguridad interna dentro de una organización. De hecho, algunos clientes que pueden no necesitar el cumplimiento de un estándar específico como PCI aún pueden solicitarlo (o una hoja de ruta para lograrlo) porque dice algo sobre la efectividad operativa del proveedor de infraestructura.
Otro aspecto crítico de la ecuación de seguridad en la nube es comprender el modelo de responsabilidad compartida. Los proveedores de infraestructura en la nube suelen detallar de qué aspectos del marco de seguridad general son responsables y los que el cliente debe administrar por su cuenta. En términos generales, los proveedores de infraestructura son responsables de proteger la propia infraestructura, incluidas las personas, el hardware, el software, las redes y las instalaciones físicas que componen la plataforma de alojamiento. Los clientes suelen ser responsables de proteger sus propios entornos, incluido el sistema operativo invitado, las aplicaciones y los datos. Por ejemplo, el proveedor de infraestructura normalmente sería responsable de implementar la gestión de identidad para los sistemas y aplicaciones que alojan la plataforma en la nube, mientras que sus clientes serían responsables de implementar la gestión de identidad para los sistemas y aplicaciones dentro de sus entornos de nube. Es esencial que los clientes sepan dónde comienza su responsabilidad y dónde termina el proveedor de infraestructura para evitar cualquier brecha que pueda convertirse en vulnerabilidades.
Una infraestructura compatible facilita a los clientes la creación de aplicaciones seguras que cumplan los mismos estándares. Los proveedores de infraestructura pueden hacer que el proceso de cumplimiento sea más fácil para sus clientes si ellos mismos cumplen las normas; esto no solo hace que el mundo digital sea un poco más seguro, sino que también puede ofrecer una ventaja competitiva.
Las organizaciones a menudo invierten mucho tiempo, esfuerzo y dinero en lograr el cumplimiento de los estándares dentro de sus propias aplicaciones, redes e infraestructura local. Para las organizaciones que operan en industrias específicas, como los servicios financieros, la carga de mantener el cumplimiento de estándares como PCI DSS puede incluso ser un obstáculo para la migración a la nube (y los beneficios relacionados de rendimiento, escala y agilidad empresarial). Al ofrecer cumplimiento de estándares, los proveedores de infraestructura en la nube pueden reducir el riesgo y simplificar el proceso para los clientes que migran a la nube.