Zpedia 

/ ¿Qué es un modelo de responsabilidad compartida?

¿Qué es un modelo de responsabilidad compartida?

Un modelo de responsabilidad compartida es un marco de riesgo y seguridad en la nube que define qué procesos y responsabilidades de ciberseguridad están ligados a un proveedor de servicios en la nube (CSP) y cuáles al cliente. Ya que cada vez se trasladan más arquitecturas de TI a la nube, un modelo de responsabilidad compartida favorece una seguridad más potente y determina la responsabilidad, ya que está relacionado con la seguridad de la nube.
Vea nuestro resumen de dos minutos
Protección contra la amenaza cibernéticaSeguridad en la nubeSeguridad de los datos
  1. Por qué es importante
  2. Cómo funciona
  3. Tipos de modelos
  4. Ventajas
  5. Mejores prácticas
  6. De qué modo ayuda Zscaler
  7. Recursos sugeridos
  8. Temas relacionados

¿Por qué son importantes los modelos de responsabilidad compartida?

En un entorno de centro de datos local, la responsabilidad de la seguridad recae únicamente en el propietario. La responsabilidad de mantener los controles de seguridad, las revisiones y la infraestructura física recae en el equipo de seguridad de la organización (u otra parte responsable, como TI), nunca en los proveedores de hardware. Sin embargo, cuando partes de una red utilizan o están compuestas por servicios de nube privados o públicos, algunas responsabilidades de seguridad recaen en el CSP.

Aquí es donde entra en juego un modelo de responsabilidad compartida, que describe con precisión qué tareas de seguridad, estados de datos, ubicaciones, etc. son del dominio del CSP y cuáles del cliente. Microsoft Azure, Google Cloud, Amazon Web Services (AWS) y otros CSP tienen cada uno su propio modelo, adaptado a sus ofertas específicas.

Cómo funcionan los modelos de responsabilidad compartida

La mayoría de los modelos de responsabilidad compartida le responsabilizan a usted, el cliente, de todo lo que esté bajo su control directo: datos, credenciales y configuraciones, así como cualquier funcionalidad que se encuentre fuera de los recursos en la nube del CSP, como los cortafuegos de su organización y otras medidas de seguridad de red interna.

La falta de claridad en torno a las responsabilidades puede contribuir a configuraciones erróneas que debiliten su postura de seguridad y, en última instancia, provoquen fallos de seguridad en la nube, por lo que es fundamental que comprenda cuáles son los deberes de seguridad de su organización en relación con los de sus proveedores.

Diferentes tipos de modelos de responsabilidad compartida

La forma en que se divide la responsabilidad depende del tipo de servicio en nube que utilice. Siempre será responsable de proteger sus datos, dispositivos, cuentas y gestión de acceso. Del mismo modo, los CSP siempre serán responsables de proteger la infraestructura física (sus hosts, centros de datos y redes). Veamos dónde entran en juego otras diferencias:

  • Software como servicio (SaaS): el CSP asume la responsabilidad de seguridad de los sistemas operativos, los controles de red y las aplicaciones que componen el servicio, así como de los datos generados en el servicio. La responsabilidad varía según la identidad y la infraestructura del directorio.
  • Plataforma como servicio (PaaS): aquí, la responsabilidad recae generalmente menos en el proveedor de la nube, y la responsabilidad de la seguridad de los controles de red, las aplicaciones y la infraestructura de ID/directorio que varía de un servicio a otro. Sin embargo, siguen siendo responsables del sistema operativo.
  • Infraestructura como servicio (IaaS): los CSP asumen la menor responsabilidad aquí y la carga de proteger todo excepto la infraestructura física del CSP recae únicamente sobre el cliente. El cliente se encarga de todas las revisiones del sistema operativo y de las aplicaciones, así como de los controles de la red.

Ventajas de un modelo de responsabilidad compartida

En sí mismo, el hecho de que el cliente tenga menor responsabilidad de un servicio en la nube es una ventaja importante en comparación con la responsabilidad total que usted asume con su infraestructura local privada,  pero hay más para ofrecer. Compartir la responsabilidad de la seguridad de la nube con un proveedor de servicios también le permite aprovechar:

  • Costes más bajos: en términos simples, aprovechar la seguridad y la infraestructura de un proveedor significa menos administración de su parte, lo que le permite ahorrar el precio de recursos adicionales que podrían estirar su presupuesto.
  • Ciberseguridad mejorada: delimitar claramente las responsabilidades de seguridad en la infraestructura de la nube reduce el riesgo de errores que conducen a vulnerabilidades e infracciones de datos.
  • Carga operativa reducida: cuanto mayor sea la responsabilidad de seguridad que asuma su CSP, más tiempo tendrá su equipo para centrarse en otras prioridades.

Desafíos de la responsabilidad compartida

Adoptar la nube y compartir la responsabilidad tiene muchas ventajas, pero aún hay ciertos desafíos potenciales a considerar.

Cumplimiento y responsabilidad final

Lo primero y más importante es poder confiar sus datos a su proveedor. Las políticas de seguridad de datos de su organización, ya sean reglas internas o regulaciones externas, tienen mucha influencia aquí. Si está seleccionando un proveedor, asegúrese de comprender lo que está aceptando. En muchos casos, su organización seguirá siendo culpable en última instancia si se violan esas reglas o regulaciones en una infracción de datos.

Comprensión y adaptación

Para cumplir con su parte del trato de seguridad, debe comprender exactamente dónde terminan sus responsabilidades y comienzan las del CSP. Su personal también necesita saber cómo utilizar las herramientas del CSP y navegar por sus controles para evitar la introducción de vulnerabilidades. Más allá de eso, debe poder adaptarse cuando las arquitecturas y los sistemas cambian (por ejemplo, cuando se introducen nuevas integraciones) para que usted y sus cargas de trabajo permanezcan seguros.

Mejores prácticas de responsabilidad compartida

Las mejores prácticas para un modelo de responsabilidad determinado se reducen a sus necesidades únicas y la oferta del proveedor, pero hay algunas prácticas generales a tener en cuenta en cualquier situación de responsabilidad de seguridad compartida:

  • Priorice la seguridad de los datos y sus otras responsabilidades. Dado que usted es responsable de proteger sus datos, dispositivos terminales, credenciales de usuario y administración de acceso sin importar el tipo de servicio en la nube que utilice, considere una prioridad cumplir con esas obligaciones. Esto se extiende a la descripción de deberes y responsabilidades dentro de su propia organización.
  • Sepa lo que ha acordado y esté preparado para responder a los cambios. El acuerdo de nivel de servicio (SLA) de un proveedor establecerá con precisión sus responsabilidades y las suyas. Sin embargo, rara vez están definidos de forma fija, por lo que es importante estar atento a las actualizaciones que un CSP pueda realizar a sus SLA y actuar en consecuencia si afectan su entorno de nube.
  • Utilice herramientas modernas de seguridad y visibilidad. Administrar la seguridad en un entorno de nube puede volverse extremadamente complicado dada la gran cantidad de recursos, niveles de permisos, API, posibles vectores de ataque, etc. Asegúrese de mantenerse actualizado sobre las últimas innovaciones en operaciones de seguridad  y capacidades de búsqueda de amenazas, y cómo podría adoptarlas.

¿Cómo puede su organización mantenerse segura en la nube?

La nube es el lugar donde residen los negocios modernos. Pocos discutirían esto. Pero lo que es igualmente innegable es que el uso de servicios en la nube expone a sus usuarios, terminales y datos a nuevos riesgos. Un aspecto fundamental para protegerse de esos riesgos es comprender completamente sus responsabilidades en materia de seguridad.

Pero esto es sólo una parte. Cumplir con sus responsabilidades puede ser una propuesta abrumadora cuando se trata con socios externos, múltiples cadenas de suministro y los crecientes riesgos de ransomware, phishing y otros ataques avanzados que apuntan a sus terminales, credenciales y datos. Estas facetas de su seguridad siempre estarán bajo su responsabilidad, y con tantas posibles vías de ataques y pérdida de datos, es fundamental que elija los socios de seguridad adecuados.

Proteja su transformación digital con Zscaler

Zscaler puede ayudarle a aprovechar todo lo que la nube tiene para ofrecer: flexibilidad, escalabilidad, alcance, facilidad de uso y más, de forma segura.

Zscaler Posture Control es una plataforma nativa de la nube, unificada y de alto rendimiento, diseñada desde cero para priorizar los riesgos de seguridad de la infraestructura y las aplicaciones en nubes distribuidas y en los ciclos de vida de desarrollo y DevOps, lo que le ayuda a mantener:

Proteja sus configuraciones

Mantenga controles exhaustivos de CSPM en toda la infraestructura, los recursos, los datos y las identidades de la nube.

Más información

Proteja sus derechos

Proteja las identidades humanas y de las máquinas al tiempo que aplica el acceso con menos privilegios.

Más información

Proteja la infraestructura como código

Desplace la seguridad a la izquierda con el desarrollador y los flujos de trabajo de DevOps para solucionar vulnerabilidades y problemas de cumplimiento.

Más información

Datos protegidos

Proteja los datos confidenciales en varios repositorios en la nube mientras mantiene la visibilidad, el control y el cumplimiento.

Más información

Proteja suis cargas de trabajo y aplicaciones

Aproveche la zero trust para proteger sin agentes los hosts, los contenedores (por ejemplo, Kubernetes) y las funciones sin servidor durante todo el ciclo de vida de la aplicación.

Más información

Recursos sugeridos

SaaS, IaaS y PaaS: qué significa el modelo de responsabilidad compartida para zero trust
Leer el blog
¿Qué es una plataforma de protección de aplicaciones nativas de la nube (CNAPP)?
Más información
Posture Control para aplicaciones nativas de la nube
Eche un vistazo
Posture Control de Zscaler
Más información

01 / 02