Mesa redonda ‘Seguridad en la nube’ en After Work, con Pío Sierra (acens)

El programa After Work de Capital Radio ha celebrado una mesa redonda sobre ‘Seguridad en la nube’ el pasado jueves 24 de octubre (podcast, 33m45s-1:28:28), presentado por Eduardo Castillo. Han participado varios expertos de seguridad TI, quienes nos han dado algunas claves para mejorar nuestra protección con el Cloud.

 

 

 

 

A continuación recogemos las principales declaraciones:

  • Pío Sierra (Product Manager de servicios de seguridad de acens): “La gestión en la Nube no tiene porqué ser muy complicada. Lo que sí es que indudablemente presenta unos retos que en realidad algunos de ellos son bastante distintos a los que tenía la seguridad tradicional cuando estamos hablando de instalaciones que teníamos en casa, en un data center, etc. El trabajar con la Nube supone muchas ventajas, como es el poder acceder a APIs de terceros, sistemas de comunicación distribuidos, sistemas federados de identidad, etc. Todas esas ventajas son la zanahoria que tenemos para utilizarlos, y además vivimos en un mundo en el que estar intercomunicado y poder acceder a ellas es fundamental, es decir, no es opcional. Pero trabajar en ese entorno abierto en el cual no podemos estar seguros de quién tiene acceso a nuestros datos en ocasiones, no podemos estar seguros de que podemos cortar el acceso a nuestras aplicaciones, supone unos nuevos retos que hay que enfrentar de una manera un poco distinta. Hay que buscar soluciones a la vez perimetrales y a la vez engarzadas en cada uno de los sistemas con los que estamos trabajando. Hay que trabajar con los partners adecuados que te proporcionan los niveles de seguridad que tú necesitas”.

 

“La vida personal y la vida profesional cada vez se van diluyendo. Lo mismo está pasando en la nube. Cuando hablábamos antes del perímetro de seguridad nos imaginábamos un castillo digital donde teníamos una serie de firewalls protegiendo nuestro entorno de computación, pero hoy en la nube lo que tenemos es una integración con diferentes nubes, nuestro data center está conectado con muchos proveedores de servicios Cloud, lo que hace entornos Multicloud. Al final lo que tenemos que pensar es en un sistema de seguridad más bien disperso, sin fronteras, que nos permita de alguna forma que nuestros usuarios, nuestros empleados, puedan trabajar con agilidad pero con seguridad desde cualquier parte del mundo y conectados a través de cualquier medio”.

 

“Cuando te vas a la nube es como cuando te mudas de casa, que dicen ‘esto está para entrar a vivir’, ¿para a entrar a vivir quién? Depende, bueno, cuando te mudas de oficina, puede estar todo muy bien preparadito pero está vacío, y tú dices aquí quiero poner este despacho, aquí poner esta cocina, aquí quiero poner esta sala de reuniones, aquí quiero que sólo entren mis empleados, aquí quiero que entren visitantes… entonces tengo que adecuar todas estas cosas que si las hago antes de entrar a vivir o antes de entrar a trabajar es mucho más fácil que cuando ya estoy dentro, porque cuando ya estoy dentro cualquier reforma es un engorro, es mucho más trabajoso, mucho más costoso y mucho más largo. Entonces preparar la zona donde vas a aterrizar de primeras es muy importante para que cumpla las normativas de seguridad, incluso las normativas aplicadas a la industria de cada uno, si es de la industria farmacéutica, si es del sector financiero…”.

 


“De todo lo que tiene una empresa en la Nube, ¿debemos protegerlo todo, sólo una parte? Ésa es la pregunta del millón. Siempre cuando se habla de seguridad queremos proteger las cosas pero no todo requiere de las mismas medidas. Pues depende un poco de lo que cada empresa tenga en la nube. Básicamente lo que se está subiendo es información y se están prestando servicios desde la nube, y eso es justamente lo que tenemos que proteger. La información que estamos subiendo, si tiene datos de carácter personal es muy importante cumplir con el RGPD y los proveedores de servicios en la nube lo que nos dan son las herramientas para que nosotros podamos proteger la información de forma adecuada, otra cosa es que nosotros sepamos usar esas herramientas para saber hacerlo”.

“Yo no estoy muy de acuerdo en el tema de que se utilicen recursos compartidos sea un riesgo mucho más alto de lo que teníamos hasta ahora. Esos recursos están aislados hasta cierto punto por sistemas de virtualización, y a ti lo que te garantizan de alguna forma los proveedores es que tus recursos van a estar adecuadamente aislados de los del resto. Y es verdad que también hacen otra cosa, y es que como tienen tantos clientes el dimensionamiento de sus sistemas es muchísimo mayor que el que puede tener cualquier empresa media. Entonces digamos que están un poquito compensados los riesgos por las medidas de seguridad que ya tienen estos proveedores”.

 

  • Eusebio Nieva (Director técnico de Checkpoint España):

“Aparte de las amenazas tradicionales que por el hecho de estar conectados a Internet seguimos teniéndolas en la nube con mayor o menor medida, porque los proveedores de la nube te garantizan hasta cierto punto aislamiento; garantizan que ellos se encargan de la seguridad de la infraestructura que te proporcionan pero a partir de ahí es tuya la responsabilidad. Entonces partiendo de eso tenemos la misma responsabilidad que si tuviéramos los equipos en nuestra casa, tenemos que hacer las mismas medidas de seguridad y además la nube incorpora problemas adicionales. Es cierto que te da muchas más facilidades para automatizar, para hacer las cosas más sencillas o de manera mucho más rápida y eficiente y mucho más ágil, pero por otra parte tenemos otros problemas adicionales que por el mero hecho de estar en la nube aparecen. Ahora es mucho más importante la gestión de la configuración, es fundamental en la nube, la gestión de la autorización también es fundamental, y por supuesto el acceso y el aislamiento de la arquitectura. Al tener la arquitectura como código el problema que está surgiendo ahora, entre comillas problema, bendito problema, es que los que crean esa infraestructura son o vienen del mundo de la programación. ¿Qué quiere decir con esto? Que al final la forma de plasmar esa arquitectura en código, si no tienen unas bases de cómo crear esa arquitectura de manera segura, es posible que en algunos momentos estemos más en la utilidad que en la seguridad. Vamos a implantar esa arquitectura y que funcione, y funciona rápida y es capaz de escalar. Ahora, ¿alguien se ha planteado si alguno de esos equipos tiene un problema qué ocurre? […] Hemos visto que la mayoría de los ataques a la nube han venido precisamente o bien por fallos de configuración o bien por fallos de autorización”.

 

 

Si quieres estar a la última en tecnología y conocer todo lo que se mueve en el sector, ¡suscríbete a nuestro boletín!

Logotipo de acenews

Déjanos un comentario o cuéntanos algo.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.