Seguridad Cloud y responsabilidad compartida

La construcción de servicios TI basadas en plataformas cloud requiere prestar especial atención a la seguridad, y esto es responsabilidad tanto del proveedor cloud como del cliente que utiliza sus servicios. ¡El proveedor cloud no lo hace todo por ti!

A finales del mes pasado el banco estadounidense Capital One (uno de los principales emisores de tarjetas de crédito en EEUU) identificó una brecha en su infraestructura que permitió a un hacker acceder a la información personal de 100 millones de clientes.

La intrusión se produjo en Marzo de este año, y tuvo lugar sobre los sistemas de gestión de datos de Capital One basados en Amazon AWS.

Esta preocupante noticia ha puesto sobre la mesa un debate que no es nuevo en el mundo Cloud: ¿es seguro el cloud computing?

Amazon AWS argumenta que la intrusión sufrida por Capital One no fue debido a ningún bug ni vulnerabilidad en sus sistemas, sino a una configuración inadecuada de los servicios AWS que Capital One estaba utilizando.

Este planteamiento queda definido el Modelo de Responsabilidad Compartida de AWS en donde se establecen las ámbitos de responsabilidad de AWS y del cliente.

El cliente es responsable de construir su servicio de TI utilizando los elementos Cloud más apropiados y desplegarlos de un modo seguro, siguiendo las mejores prácticas y los marcos de trabajo más conveniente (en AWS tenemos, entre otros, el Well-Architected Framework), utilizando por supuesto herramientas ITAM/ITSM... como Proactivanet 😉 para disponer de un inventario de activos oportuno y una adecuada gestión de incidencias, problemas, cambios, entregas, … etc.

Espero que te haya gustado, un saludo

David Menéndez Cisterna