phone 915 752 750 email aec@aec.es

    Responsabilidad compartida en la Nube

    Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Responsabilidad compartida en la Nube

    Cloud Modelo de responsabilidad compartida

    Responsabilidad compartida en la Nube

    2 agosto, 2021 | Blog AEC GOVERTIS | GDPR Legal

    A la hora de realizar una migración a la nube, las organizaciones deben establecer una estrategia y establecer una serie de factores para tener en cuenta en este proceso, como pueden ser, las necesidades organizativas y los riesgos que se asumen al subir o trasladar cargas de trabajo a la nube. Por esta razón, es importante que en una primera fase de planificación se respondan a preguntas como:

    • la motivación que lleva a emprender una migración
    • los objetivos empresariales que se quieren alcanzar o
    • decidir qué elementos o recursos migrar.

    Ya sea por una decisión estratégica, ventajas tecnológicas o económicas, la seguridad es piedra angular de todo el proceso de migración. Partiendo desde la planificación, durante la propia migración y una vez que los datos, aplicaciones o procesos estén migrados. Para alcanzar el nivel de seguridad que demanda la organización y poder desplegar buenas prácticas de seguridad en la nube con garantías, uno de los aspectos más importantes a tener en cuenta es comprender las obligaciones bajo el modelo de responsabilidad compartida, es decir, conocer qué tareas de seguridad administra el proveedor de servicios en la nube y cuales son responsabilidad del cliente.

    Además, normalmente se piensa que las empresas contratan solo un proveedor de servicios en la nube y por norma general ocurre todo lo contrario, en la gran mayoría de las organizaciones el modelo que optan es el de multi nube, con lo cual toma mayor relevancia tener muy claro cuáles son las responsabilidades y obligaciones del cliente y proveedor, que permita definir una estrategia de seguridad y de cumplimiento que contemple las diferentes variables del entorno.

    Por otro lado, tampoco existe un modelo de responsabilidad compartida que sea común a todos los proveedores de servicios en la nube y este modelo de responsabilidad dependerá del tipo de servicio que se adopte, es decir las responsabilidades varían en función de si la carga de trabajo está hospedada en una implementación de software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS).

    Figura 1: Modelo de responsabilidad compartida de Microsoft

    Figura 1: Modelo de responsabilidad compartida de Microsoft

    Como se observa en la Figura 1 cuanto más se tienda a un servicio tipo SaaS menos responsabilidad recae en una organización cliente y más sobre el proveedor de servicios, este modelo de responsabilidad es análogo a los distintos proveedores.

    En un entorno IaaS el cliente tiene una responsabilidad o responsabilidad compartida de proteger y administrar el sistema operativo, la configuración de red, las aplicaciones, identidad y los datos. Para el caso que se observa en la Figura 2 de manera similar, con este proveedor de servicios en la nube, los clientes también serían responsables de la administración del sistema operativo (incluyendo parches de seguridad y actualizaciones), de cualquier utilidad o software de aplicaciones que el cliente haya instalado y de la configuración del firewall. El proveedor, en cambio, descargará la carga y responsabilidad al cliente de toda la administración de la infraestructura conformada por el hardware, software, las redes.

    Figura 2: Modelo de responsabilidad compartida de AWS

    Figura 2: Modelo de responsabilidad compartida de AWS

    En un entorno SaaS que es donde menos responsabilidad recae en el cliente, y a menudo suele ser el modelo más simple y seguro. No obstante, en este tipo de modelo el cliente sigue siendo el responsable de asegurarse de administrar los datos y clasificarlos correctamente, administrar los usuarios y los dispositivos finales.

    Los proveedores de servicios en la nube ofrecen una serie de medidas de seguridad, disponibilidad y de cumplimiento, pero estos beneficios que nos proporciona el proveedor no eximen a los clientes de la responsabilidad de proteger a sus usuarios, información, aplicaciones y los servicios ofrecidos.

    Es fundamental comprender los modelos de responsabilidad compartida por parte de las organizaciones que están planificando migrar a la nube, este análisis permitirá aplicar de manera eficaz las medidas y controles de seguridad y de esta manera aprovechar al máximo los servicios ofrecidos por el proveedor.

    Referencias

    https://aws.amazon.com/es/compliance/shared-responsibility-model/

    https://docs.microsoft.com/es-es/azure/security/fundamentals/shared-responsibility

    https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-the-shared-responsibility-model-in-gke-container-security-shared-responsibility-model-gke

    Augusto Angulo

    Equipo Govertis

    Tags: