¿Te preocupa la seguridad y normativa en la Nube?

Cuando pensamos en la nube, solemos pensar en aspectos como agilidad, elasticidad, robustez y optimización de costes. Sin embargo, aspectos como la seguridad y el cumplimiento normativo suelen estar un poco difusos debido a, principalmente, el desconocimiento. En este blog hablaremos de ellos, y veremos cómo la nube facilita el cumplimiento normativo, poniendo como ejemplo el Esquema Nacional de Seguridad.

Cumplimiento Normativo y de Seguridad

Actualmente, para cada sector, industria e incluso región o país, existen diversas normativas de obligado cumplimiento, como pueden ser:

• El PCI DSS en el sector financiero,
• O la HIPAA en el sector sanitario.

Estas normativas marcan una serie de requerimientos de obligado cumplimiento en torno a las metodologías, soluciones y configuraciones permitidas para tratar con datos financieros, datos médicos, etc. Son regulaciones diferentes en función del sector o la industria en la que se opera.

Tradicionalmente, las compañías sufren los procesos asociados a que un tercero verifique la adecuación y el cumplimiento de dichas normativas, tanto a nivel metodológico, como si hablamos de las soluciones que sirven como plataforma para las áreas de negocio sujetas a dichas normativas.

Si nos enfocamos en la IT de una compañía, debido al cada vez mayor ritmo de cambio y a la heterogeneidad de las soluciones, garantizar el cumplimiento normativo se ha convertido en un verdadero dolor de cabeza.

Esquema Nacional de Seguridad

A modo de ejemplo, usaremos el Esquema Nacional de Seguridad (ENS), ya que, aunque haya nacido en el marco de la Administración Pública, representa un marco normativo orientado a LA SEGURIDAD, un aspecto transversal a todas las compañías.

El ENS es una normativa orientada a establecer los principios que regulan y segurizan el acceso, la integridad, la disponibilidad y la veracidad empleada en los medios electrónicos empleados en el ámbito de la Administración Pública, ya sean internos o utilizados para comunicarse con ella, enfocándose en los siguientes principios:

• Seguridad Integral
• Gestión de Riesgos
• Prevención, Reacción y Recuperación

ENS más allá de la Administración Pública

Como comentábamos, el ENS no es más que una normativa (de obligado cumplimiento para la Administración Pública) que marca unos principios que garantizan la seguridad, la prevención y la respuesta y recuperación de acuerdo a los criterios marcados por el Centro Criptológico Nacional (CCN).

Igualmente, resulta de obligado cumplimiento para cualquier compañía que preste algún servicio a la Administración Pública, por lo que se abre el ámbito de aplicación a empresas del sector privado.

La seguridad en Amazon Web Services (AWS)

Como hemos comentado en otros blogs, Amazon AWS tiene muy bien definidos los criterios que debe cumplir un ecosistema para considerarse acorde a las mejores prácticas, las cuales se engloban dentro del Well Architected Framework de AWS.

Puesto que estamos hablando de seguridad, nos enfocaremos precisamente en el Security Pillar, el cual describe la manera de aprovechar los servicios cloud para proteger los datos y los sistemas de las compañías.

Es importante resaltar el modelo de seguridad compartido en la nube, en el cual:

• AWS provee la seguridad de la nube.
• El cliente es responsable de la seguridad en la nube, es decir, de la configuración y despliegue de los servicios de manera segura, de acuerdo con las mejores prácticas y/o normativas de seguridad a las que estén sujetos:

ENS y AWS

Previamente, comentábamos que el proceso de alinear la IT de nuestra compañía con las normativas a las que está sujeta no sencillo por la heterogeneidad y a la velocidad de cambio.

Es en esta área, donde AWS, de nuevo, nos facilita la tarea de validar el ecosistema desplegado en su nube frente a diversas normativas, entre ellas el ENS.

Para poder analizar nuestro ecosistema AWS y determinar si cumple con los requerimientos de una normativa concreta, Amazon pone a nuestra disposición 3 elementos clave que nos facilitan dicha tarea:

1. Servicios Cloud Orientados a verificar el Cumplimiento

En este caso, el servicio AWS Config es un servicio que permite:

• Examinar, auditar y evaluar las configuraciones de sus recursos de AWS.
• Monitorizar y registrar constantemente las configuraciones de sus recursos de AWS.
• Automatizar la evaluación de las configuraciones registradas con respecto a las configuraciones deseadas.
• Revisar los cambios en las configuraciones y las relaciones entre los recursos de AWS,
• Profundizar en los historiales detallados de configuración de recursos
• Determinar la conformidad general con respecto a las configuraciones especificadas en sus pautas internas.

2. Conformance Packs

Digamos que los Conformance Packs son las plantillas que contienen las reglas que han de ser verificadas por AWS Config. De esta forma, podríamos verificar de manera muy sencilla que nuestra arquitectura en AWS cumple con el ENS, con la HIPAA o con PCI DSS, por ejemplo.

3. Guías del CCN

Por otro lado, el CCN pone a nuestra disposición una serie de guías (la familia CCN-STIC-887) orientadas a facilitar el entendimiento de cómo realizar la configuración de los servicios AWS de acuerdo al marco de buenas prácticas elaborado por el CCN:

• Hablando de aspectos generales como la conectividad híbrida (CCN-STIC-887C Guía de configuración segura de conectividad híbrida en AWS) o de servicios concretos.
• Como Amazon Workspaces (la solución Desktop as a Service de AWS) (CCN-STIC-887E Guía de configuración segura Amazon WorkSpaces).

Como vemos, aparte de ofrecernos servicios nube orientados a que nuestra IT sea más ágil, elástica, robusta y económica, AWS nos facilita además verificar el cumplimiento normativo.

Blogs Relacionados:

> Validación del Cumplimiento del ENS Alto en AWS

> Esquema Nacional de Seguridad Protección de la Información de 1º nivel