Existe mucha falta de conocimiento e información acerca de la responsabilidad de los datos en la nube pública, o de las cargas nativas del Cloud. En este Blog, arrojamos algo de luz al respecto.

 

Los datos de su empresa en la nube son su responsabilidad

Migrar a la nube elimina los dolores de cabeza de actualización, seguridad y administración de la infraestructura de TI en las instalaciones. Sin embargo, depende de su personal de TI garantizar que los datos empresariales se puedan recuperar en todo momento y recuperarlos rápidamente cuando sea necesario. Microsoft 365, aloja sus datos en la nube, pero hacer una copia de seguridad es responsabilidad de su empresa. Los proveedores de servicios en la nube (en este caso, Microsoft) se centran en el tiempo de actividad y la disponibilidad; sin embargo, como cliente de su servicio en la nube, usted tiene la responsabilidad de proteger los datos de su empresa.

 

¿Qué responsabilidad tiene cada uno?

Muchas organizaciones creen que la nube es intrínsecamente segura y, como resultado, no es necesario implementar copias de seguridad y recuperación de datos efectivas. Pero la seguridad de los datos en la nube es una responsabilidad compartida entre el proveedor de la nube y el cliente.

 

La responsabilidad del proveedor de la nube es:
– Salvaguardar la infraestructura.
– Garantizar el acceso.
– Configurar hosts físicos.
– Almacenamiento.
y otros recursos.
En resumen: para garantizar que la infraestructura subyacente esté disponible.

 

Las responsabilidades del cliente son:
– Administrar los usuarios y sus privilegios de acceso.
– Salvaguardar las cuentas en la nube del acceso no autorizado.
– Cifrar y proteger los activos de datos basados en la nube.
– Administrar el cumplimiento.

 

Como resultado, depende del cliente asegurarse de que exista una solución eficaz de copia de seguridad y recuperación para garantizar que los datos en sí estén disponibles. De lo contrario, los datos en la nube pueden estar sujetos a amenazas maliciosas, así como a eliminaciones no intencionales, lo que afectará las cargas de trabajo clave en todo el entorno de TI.

 

Las herramientas nativas de la nube no son suficientes para proteger mis datos

Los proveedores de la nube han desarrollado herramientas nativas para funciones básicas de retención o copia de seguridad. Sin embargo, la adopción y la confianza en estas soluciones pueden generar varios desafíos. En primer lugar, estos a menudo tienen períodos de retención predeterminados (por ejemplo, 30 días para M365) que no cumplen con los requisitos de la empresa.

También pueden ser complejos de usar cuando se modifican los valores predeterminados, y los tiempos de recuperación típicos pueden no cumplir con los requisitos de SLA, particularmente a escala. Estos servicios nativos también están aislados, en el sentido de que no están diseñados para proteger fuentes de datos más allá de las que alojan, es decir, aquellas que se ejecutan en las instalaciones o en otras nubes.

Como resultado, las organizaciones a menudo terminan con múltiples sistemas para administrar cuando usan tales herramientas, lo que aumenta la complejidad y los costos, crea una superficie de ataque más amplia para riesgos e infracciones de seguridad y plantea desafíos para cumplir con los SLA comerciales y los requisitos de cumplimiento.

 

¿Cuál es exactamente la parte del cliente final de la responsabilidad compartida?

Pase lo que pase, la seguridad en la nube es una responsabilidad compartida, ya que los servicios en la nube no son «seguros de forma predeterminada». Todo lo que ingresa a la nube desde los usuarios de su organización y los dispositivos finales es responsabilidad de su organización.

La firma líder en la industria de investigación y asesoría en TI, Gartner: predice que para 2022, el 95% de las brechas de seguridad en la nube serán el resultado de la supervisión del cliente. A la luz de esta previsión, es fundamental que las empresas comprendan plenamente los modelos de responsabilidad compartida para poder implementar las medidas de seguridad necesarias que se espera que manejen.

Si bien la nube ofrece importantes ventajas de simplicidad y seguridad. Las mayores vulnerabilidades aún provienen de errores humanos. Si hace su tarea sobre los modelos de responsabilidad compartida: implementa medidas de seguridad complementarias y educa a sus usuarios, su organización puede aprovechar al máximo los servicios basados en la nube sin temor.

 

Básicamente, la responsabilidad de los datos en el Cloud es de las organizaciones y los SLA. Los cuales ofrecen servicios nativos del Cloud muy básicos en cuanto a retención y recovery. Son muy limitados, inflexibles y no son suficientes para cumplir las necesidades de las compañías (compliance, legal, necesidades específicas, etc.).

AWS, Google y Microsoft

Las fuentes de información de AWS, Google y de Microsoft lo explican muy bien con más detalles:

 

https://aws.amazon.com/es/compliance/shared-responsibility-model/

https://docs.microsoft.com/es-es/azure/security/fundamentals/shared-responsibility

https://cloud.google.com/architecture/framework/security/shared-responsibility-shared-fate

Muchas organizaciones creen que la nube es intrínsecamente segura. Pero existe la idea errónea de que una vez que se mueva a la nube o SaaS, el proveedor se encargará de todo por usted. Aunque si lee el «Modelo de responsabilidad compartida» de su proveedor o los términos legales de su suscripción, como el EULA (Acuerdo de licencia de usuario final, Sección 6b), encontrará que nada está más lejos de la verdad.

 

En resumen, sus datos y su seguridad, incluidas las copias de seguridad y su protección contra el ransomware, son su responsabilidad.

 

Si quieres conocer un poco más sobre las soluciones de Backup & Disaster Recovery frente a ataques de Ransomware, desde ITGLOBAL proponemos algunas soluciones para cubrir esa necesidad.

 

 

[vc_btn title=»CONTACTAR CON UN EXPERTO» color=»warning» align=»right» link=»url:https%3A%2F%2Fwww.itglobal.es%2Fcontacto%2F|title:%C2%A1QUIERO%20SABER%20M%C3%81S!|target:_blank»]

 

Relatetd Post

Comments are closed