Red Seguridad 84

red seguridad primer trimestre 2019 17 cloud opinión detecta cómo el nivel de conciencia- ción de personal sigue creciendo de forma continua, estando en niveles elevados. Los servicios en la nube están también afectados por el cumpli- miento de las distintas regulaciones, en particular, por el cumplimiento del RGPD. Este aspecto fue también analizado por el estudio, descubrien- do un elevado interés tanto en usua- rios europeos como en usuarios de fuera de Europa. El Reglamento, al menos en lo que a la nube se refie- re, ya es un fenómeno global, y se exigen garantías de su cumplimiento por los proveedores. Como balance general del estudio, las expectativas de los clientes de servicios en la nube en materia de seguridad siguen sin estar comple- tamente satisfechas, aunque los pro- veedores están acercándose a estos niveles progresivamente. Por último, cabe destacar que el Estudio del Estado del Arte de Seguridad en la Nube tendrá una nueva edición en 2019, en el cual les invitamos desde este momento a participar. En resumen, la nube forma cada vez parte más integral e inseparable de nuestros servicios TI. Pero no deben ser adoptados sin más, sin analizar los riesgos que de ellos se derivan y sin adoptar medidas de seguridad eficaces, en la línea de las buenas prácticas de seguridad ya identificadas. mejorar para que sus servicios sean tan satisfactorios como se esperan. El estudio también identifica a las empresas que más satisfechas se declaran con los servicios en la nube, las pymes, que aprecian en particular la detección, la gestión y la respuesta a incidentes de seguridad en la nube y su capacidad frente a ShadowIT. Las compañías de gran tamaño tam- bién valoran estas características, pero más como complemento y mejora de las capacidades internas propias de las que ya disponen. ShadowIT, definida como la capa- cidad de los departamentos No-IT de una organización de contratar y utilizar servicios en la nube sin la colaboración del departamento TI, e incluso ocultándolo delibera- damente, sigue siendo motivo de preocupación para las organizacio- nes. El estudio ha detectado que las entidades se han polarizado sobre este escenario: tienen una visión neutra o positiva que tolera ShadowIT o una visión negativa de este paradigma y hacen un esfuerzo para limitar o prohibir que ocurra. Adaptación Como se ha señalado anteriormente, el uso de servicios en la nube requie- re de un esfuerzo de adaptación por parte de las personas a estos servicios. Y por ello es necesario que la concienciación en seguridad de las organizaciones y su personal sea elevada. Afortunadamente, el estudio ponible para su descarga en la web de CSA, y cuya lectura y aplicación recomendamos. La correcta utiliza- ción de estas medidas de seguri- dad, adaptadas a las circunstancias, necesidades y riesgos de cada orga- nización, deberían facilitar que el uso de servicios en la nube no signifique la asunción de riesgos excesivos o desconocidos. Seguridad de los servicios En este escenario parece razonable plantearse algunas preguntas: ¿se están proporcionando y/o consu- miendo servicios en la nube suficien- temente seguros?, ¿qué problemas de seguridad están frenando o han retrasado la adopción de servicios en la nube? CSA-ES e ISMS Forum, en colaboración con los capítulos lati- noamericanos de CSA y con ISACA Madrid, ha completado en 2018 su Sexto Estudio del Estado del Arte de Seguridad en la Nube para conocer de primera mano estos factores. Este estudio se viene realizando de forma anual desde 2013, construyendo una valiosa visión histórica sobre la mate- ria y su evolución a lo largo de este periodo. Este documento identifica varios factores que se mantienen constantes en el tiempo. Por ejemplo, los clientes de servicios en la nube tienen muy altas expectativas sobre la seguridad que les va a ofrecer la nube. Por ello, plantean a sus proveedores un muy alto cumplimiento de requisitos de seguridad técnicos, de cumplimiento legal y de privacidad (particularmen- te en cumplimiento del Reglamento General de Protección de Datos, RGPD). Sin embargo, y aun estando cada vez más satisfechos con los servi- cios recibidos, este regocijo aún se queda ciertamente corto frente a las expectativas iniciales que tenían los clientes. Por ello, los proveedores de servicios en la nube aún tienen que El uso de servicios en la nube debe estar acompañado de un análisis de riesgos que ayude a identificar y gestionar los problemas de seguridad asociados a dichos servicios.