Ya es sabido que la mayoría de las organizaciones han decidido llevar muchos de sus servicios a la nube, como parte de su plan estratégico o por fuerza mayor, y eso que ya no hablamos de servicios como los de correo electrónico, directorio de archivos (file server) o plataformas educativas, sino de aplicaciones de negocios, servicios de seguridad sobre las comunicaciones (Firewalls, Proxy en nube, etc.), e incluso las aplicaciones de gestión y gobierno.
En un entorno así, surge la pregunta si seguimos gobernando la seguridad de la información, independientemente a los entornos que tengamos.
Por un lado, sabemos que hace no mucho se aprobó el Real Decreto 43/2021 en el que se establecen una serie de obligaciones organizativas y de cumplimiento para los operadores de servicios esenciales y los operadores de servicios digitales en el que destacamos entre otras obligaciones, la definición de las medidas técnicas y organizativas para la adecuada gestión de los riesgos de ciberseguridad y por otra parte, la designación de un Responsable de Seguridad.
En cuanto a las medidas técnicas y organizativas, estas deberán estar incluidas en la denominada Declaración de Aplicabilidad, como un conjunto de compromisos en la que el operador cumplirá y dará control y seguimiento. Estas medidas incluyen políticas de seguridad, análisis y gestión de los riesgos, prevención, respuesta y recuperación de incidentes, líneas de defensa, reevaluación periódica y segregación de tareas. Incluyen también en estas medidas los planes de recuperación y aseguramiento de la continuidad de las operaciones.
En cuanto a la designación del Responsable de Seguridad, no cabe duda de que, con esta aprobación, se ha puesto en mayor valor la figura del CISO, dándole mayor independencia y facultades de coordinación y comunicación con las distintas áreas de negocio y principalmente, con la alta dirección.
El Responsable de Seguridad de la Información, por tanto, deberá garantizar el cumplimiento de dichas medidas técnicas y organizativas que deberán también trasladarse a los distintos entornos en los que, los sistemas y las redes de información se encuentran como, por ejemplo, los servicios contratados en los entornos cloud.
Ahora bien, siendo prestadores de servicios esenciales u operadores de servicios digitales debemos considerar algunas medidas de seguridad en los servicios cloud, como:
- Al analizar y evaluar los riesgos, incluyendo la gestión de riesgos de terceros o proveedores: En este punto debemos identificar los servicios contratados en entornos cloud, los cuales estarán relacionados con los servicios esenciales. Identificaremos los activos de información relacionados a dichos servicios y estableceremos escenarios de riesgos concretos, según el modelo de responsabilidad compartida que ofrecen los distintos proveedores Cloud. Posteriormente evaluaremos dichos riesgos para luego, según los criterios de aceptación definidos por la organización, establecer planes de tratamientos.
- Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas: Dentro de la denominada “Declaración de aplicabilidad” que nos exige la norma, debemos incluir aquellos controles de seguridad que hemos identificados en los planes de tratamiento de riesgos. La norma hace referencia al cumplimiento del Esquema Nacional de Seguridad, pero no excluyen otras que pudiéramos incluir, por ejemplo, ISO/IEC 27001.
La implementación de estos controles podrán ser responsabilidad nuestra o responsabilidad del proveedor de servicios cloud, en cualquiera de los casos, el gobierno de la seguridad seguirá siendo nuestra.
- Detección y gestión de incidentes: Como operadores de servicios esenciales o proveedores de servicios digitales, debemos gestionar y resolver los incidentes de seguridad de las redes y los sistemas de información relacionados a la prestación de servicios. Como parte de esta obligación, estableceremos o adoptaremos acuerdos de niveles de servicios con los proveedores Cloud, con la finalidad de garantizar el cumplimiento de nuestros tiempos de atención y respuesta a incidentes.
- Planes de recuperación y aseguramiento de la continuidad de las operaciones: Dependiendo la criticidad del servicio contratado con los proveedores cloud, podremos establecer planes de continuidad en conjunto e incluso solicitar la realización periódica de auditoría para el cumplimiento de los tiempos establecidos de recuperación. De la misma forma y de ser el caso, en el contrato deberán estar señalado el cumplimiento legal correspondiente a la recuperación de información que podrá transferirse entre distintas entidades y/o ubicaciones geográficas. Tenemos como ejemplo reciente el incidente en el datacenter del proveedor OVH que ha producido pérdidas de información a multitud de clientes.
- Registro de actividad de los usuarios: En este punto debemos ser muy cuidadosos al evaluar los servicios cloud, pues tendremos que verificar si la aplicación o el servicio nos permite contar con los registros de usuario para luego poder vincularla con alguna herramienta de automatización y obtener informes confiables de manera eficiente.
Son estas algunas de las medidas específicas que incluiríamos para gestionar la seguridad de los servicios en entornos cloud.
Concluyo este artículo señalando la importancia de focalizar los esfuerzos e identificar correctamente las responsabilidades compartidas con nuestros proveedores de servicios cloud para una adecuada implementación de controles de seguridad.
Sepamos que somos nosotros los responsables del gobierno de la seguridad de la información sobre las redes y los sistemas directamente relacionados a los servicios esenciales.
Equipo GRC