/ ¿Qué es un modelo de responsabilidad compartida?
¿Qué es un modelo de responsabilidad compartida?
¿Por qué son importantes los modelos de responsabilidad compartida?
En un entorno de centro de datos local, la responsabilidad de la seguridad recae únicamente en el propietario. La responsabilidad de mantener los controles de seguridad, los parches y la infraestructura física recae en el equipo de seguridad de la organización (u otra parte responsable, como TI), nunca en el o los proveedores de hardware. Sin embargo, cuando partes de una red utilizan o están compuestas por servicios de nube privados o públicos, algunas responsabilidades de seguridad recaen en el CSP.
Aquí es donde entra en juego un modelo de responsabilidad compartida, que describe con precisión qué tareas de seguridad, estados de datos, ubicaciones, etc. son del dominio del CSP y cuáles del cliente. Microsoft Azure, Google Cloud, Amazon Web Services (AWS) y otros CSP tienen cada uno su propio modelo, adaptado a sus ofertas específicas.
Cómo funcionan los modelos de responsabilidad compartida
La mayoría de los modelos de responsabilidad compartida lo responsabilizan a usted, el cliente, por todo lo que esté bajo su control directo: datos, credenciales y configuraciones, así como cualquier funcionalidad que se encuentre fuera de los recursos en la nube del CSP, como los firewalls de su organización y otras medidas de seguridad de red interna.
La falta de claridad en torno a las responsabilidades puede contribuir a configuraciones erróneas que debiliten su postura de seguridad y, en última instancia, provoquen fallas de seguridad en la nube, por lo que es fundamental que comprenda dónde se encuentran las obligaciones de seguridad de su organización en relación con las de sus proveedores.
Diferentes tipos de modelos de responsabilidad compartida
La manera en que se divide la responsabilidad depende del tipo de servicio en nube que utilice. Siempre será responsable de proteger sus datos, dispositivos, cuentas y gestión de acceso. Del mismo modo, los CSP siempre serán responsables de proteger la infraestructura física (sus hosts, centros de datos y redes). Veamos dónde entran en juego otras diferencias:
- Software como servicio (SaaS): el CSP asume la responsabilidad de seguridad de los sistemas operativos, los controles de red y las aplicaciones que componen el servicio, así como de los datos generados en el servicio. La responsabilidad varía según la identidad y la infraestructura del directorio.
- Plataforma como servicio (PaaS): en este caso, la responsabilidad suele recaer menos en el proveedor de la nube, ya que la responsabilidad de la seguridad de los controles de red, las aplicaciones y la infraestructura de identificación/directorio varía de un servicio a otro. Sin embargo, siguen siendo responsables del sistema operativo.
- Infraestructura como servicio (IaaS): los CSP asumen aquí la menor responsabilidad, recayendo únicamente en el cliente la carga de asegurar todo excepto la infraestructura física del CSP. El cliente se encarga de todos los parches del sistema operativo y de las aplicaciones, así como de los controles de la red.
Ventajas de un modelo de responsabilidad compartida
En sí misma, la menor responsabilidad del cliente de un servicio en la nube es una gran ventaja si se compara con la responsabilidad total que asume con su infraestructura privada en las instalaciones, pero aún hay más. Compartir la responsabilidad de la seguridad de la nube con un proveedor de servicios también le permite aprovechar:
- Costos más bajos: en términos simples, aprovechar la seguridad y la infraestructura de un proveedor significa menos administración de su parte, lo que le permite ahorrar el precio de recursos adicionales que podrían estirar su presupuesto.
- Ciberseguridad mejorada: delimitar claramente las responsabilidades de seguridad en la infraestructura de la nube reduce el riesgo de errores que conducen a vulnerabilidades y violaciones de datos.
- Carga operativa reducida: cuanto mayor sea la responsabilidad de seguridad que asuma su CSP, más tiempo tendrá su equipo para centrarse en otras prioridades.
Desafíos de la responsabilidad compartida
Adoptar la nube y compartir la responsabilidad tiene muchas ventajas, pero aún hay ciertos desafíos potenciales a considerar.
Cumplimiento y responsabilidad final
Lo primero y más importante es poder confiarle sus datos a su proveedor. Las políticas de seguridad de datos de su organización, ya sean reglas internas o regulaciones externas, tienen mucha influencia aquí. Si está seleccionando un proveedor, asegúrese de comprender lo que está aceptando. En muchos casos, su organización seguirá siendo culpable en última instancia si se violan esas reglas o regulaciones en una violación de datos.
Comprensión y adaptación
Para cumplir con su parte del trato de seguridad, debe comprender exactamente dónde terminan sus responsabilidades y comienzan las del CSP. Su personal también necesita saber cómo utilizar las herramientas del CSP y navegar por sus controles para evitar la introducción de vulnerabilidades. Más allá de eso, necesita ser capaz de adaptarse cuando las arquitecturas y los sistemas cambian (como cuando se introducen nuevas integraciones) para que usted y sus cargas de trabajo permanezcan seguros.
Mejores prácticas de responsabilidad compartida
Las mejores prácticas específicas de un modelo de responsabilidad determinado dependen de sus necesidades únicas y de la oferta del proveedor, pero hay algunas prácticas generales que deben tenerse en cuenta en cualquier situación de responsabilidad de seguridad compartida:
- Priorice la seguridad de los datos y sus otras responsabilidades. Puesto que usted es responsable de la seguridad de sus datos, dispositivos finales, credenciales de usuario y gestión de accesos, independientemente del tipo de servicio en la nube que utilice, convierta en una prioridad el cumplimiento de estas obligaciones. Esto se extiende a la descripción de deberes y responsabilidades dentro de su propia organización.
- Sea consciente de lo que ha acordado y esté preparado para responder a los cambios. El acuerdo de nivel de servicio (SLA) de un proveedor establecerá con precisión las responsabilidades suyas y del proveedor. Sin embargo, rara vez son definitivos, por lo que es importante estar atento a las actualizaciones que un CSP pueda hacer a sus SLA y actuar en consecuencia si afectan a su entorno en la nube.
- Utilice herramientas modernas de seguridad y visibilidad. Administrar la seguridad en un entorno de nube puede volverse extremadamente complicado dada la gran cantidad de recursos, niveles de permisos, API, posibles vectores de ataque, etc. Asegúrese de mantenerse actualizado sobre las últimas innovaciones en operaciones de seguridad y capacidades de búsqueda de amenazas y cómo podría adoptarlas.
¿Cómo puede su organización mantenerse segura en la nube?
La nube es donde residen las empresas modernas. Pocos discutirían esto. Lo que es igualmente innegable, sin embargo, es que el uso de servicios en la nube expone a sus usuarios, puntos finales y datos a nuevos riesgos. Un aspecto fundamental para protegerse de esos riesgos es asegurarse de comprender completamente sus responsabilidades en materia de seguridad.
Pero esto es solo una parte. Cumplir con sus responsabilidades puede ser una propuesta desalentadora cuando tiene que tratar con socios externos, múltiples cadenas de suministro y los crecientes riesgos del ransomware, el phishing y otros ataques avanzados que tienen como objetivo sus puntos finales, credenciales y datos. Estas facetas de su seguridad siempre recaerán sobre usted, y con tantas posibles vías para los ataques y la pérdida de datos, es primordial que elija a los socios de seguridad adecuados.
Asegure su transformación digital con Zscaler
Zscaler puede ayudarle a aprovechar todo lo que la nube tiene para ofrecer: flexibilidad, escalabilidad, alcance, facilidad de uso y más, de manera segura.
Zscaler Posture Control es una plataforma unificada, de alto rendimiento y nativa de la nube construida desde cero para priorizar los riesgos de seguridad de la infraestructura y las aplicaciones en nubes distribuidas y a lo largo de los ciclos de vida de desarrollo y DevOps, ayudándole a mantener:
Proteja sus configuraciones
Mantenga controles exhaustivos de CSPM en toda la infraestructura, los recursos, los datos y las identidades de la nube.
Derechos seguros
Proteja las identidades humanas y de las máquinas al tiempo que aplica el acceso con privilegios mínimos.
Infraestructura segura como código
Desplace la seguridad a la izquierda con el desarrollador y los flujos de trabajo de DevOps para solucionar vulnerabilidades y problemas de cumplimiento.
Datos protegidos
Proteja los datos confidenciales en varios repositorios en la nube mientras mantiene la visibilidad, el control y el cumplimiento.
Proteja sus cargas de trabajo y aplicaciones
Aproveche Zero Trust para proteger hosts, contenedores y funciones sin servidor sin agentes a lo largo de todo el ciclo de vida de la aplicación.
Recursos sugeridos
Explorar artículos relacionados de Zpedia
¿Qué es un perímetro definido por software (SDP)?
¿Qué es el aislamiento del navegador remoto?
¿Qué es el smishing (phishing por SMS)?
¿Qué es el movimiento lateral?