La seguridad en la nube se centra principalmente en implementar políticas, procesos y tecnologías de forma conjunta para proteger los datos, facilitar el cumplimiento de las normativas y ofrecer control sobre la privacidad, el acceso y la autenticación a los usuarios y los dispositivos. 

Los proveedores de servicios en la nube suelen seguir un modelo de responsabilidad compartida, lo que significa que implementar la seguridad del cloud computing es una responsabilidad tanto del proveedor de servicios en la nube como tuya:el cliente. Puede entenderse como un framework de responsabilidades que define qué tareas de seguridad corresponden al proveedor de servicios en la nube y cuáles son obligaciones del cliente. Saber dónde terminan las responsabilidades de seguridad de tu proveedor y dónde comienzan las tuyas es un paso crucial para desarrollar una estrategia de seguridad en la nube resiliente. 

En términos generales, el proveedor siempre es responsable de la nube y de su infraestructura principal, mientras que se espera que el cliente proteja todo lo que se ejecute en la nube, como los controles de redes, la gestión de identidades y accesos, los datos y las aplicaciones.  

Los modelos de responsabilidad compartida varían según el proveedor de servicios y el modelo de servicio de cloud computing que uses. Cuanto más gestione el proveedor, más podrá proteger.

Es fundamental replantearse la estrategia de seguridad a medida que las empresas migran a la nube desde entornos on‐premise, sobre todo ahora, ya que las normativas actuales exigen análisis pormenorizados del gobierno de datos y del cumplimiento de las leyes. 

En un mundo cada vez más híbrido y multinube, tienes más libertad que nunca para crear donde y cuando quieras. Además, la seguridad es mucho más complicada que impedir que alguien acceda a tu red. Por desgracia, muchas organizaciones se preocupan por la seguridad cuando ya se encuentran en problemas y dejan a un lado las prácticas recomendadas para priorizar una transformación digital más rápida. Como resultado, los atacantes perciben los objetivos basados en la nube como una forma sencilla de obtener grandes beneficios y están adaptando sus tácticas para explotar las vulnerabilidades en consecuencia. 

Aunque la seguridad en la nube nunca puede garantizar una prevención completa ante ataques y vulnerabilidades, una estrategia bien diseñada de seguridad en la nube puede ser muy útil para evitar infracciones de seguridad o mitigar daños, y además optimiza el cumplimiento normativo y refuerza la confianza de los clientes.

La nube conlleva riesgos de seguridad similares a los que podrías encontrarte en entornos tradicionales, como amenazas internas, infracciones de seguridad de datos, pérdidas de datos, phishing, malware, ataques DDoS y APIs vulnerables.  

Sin embargo, es probable que la mayoría de las organizaciones tengan que enfrentarse a retos específicos de seguridad en la nube, como los siguientes: 

Los recursos basados en la nube se ejecutan en infraestructuras que están situadas fuera de tu red corporativa y que son propiedad de terceros. Por lo tanto, las herramientas de visibilidad de red tradicionales no son adecuadas para los entornos en la nube, por lo que es difícil monitorizar los recursos en la nube, cómo se accede a ellos y quién puede hacerlo. 

Una configuración errónea de la seguridad en la nube es una de las principales causas de infracciones de seguridad de datos en los entornos en la nube. Los servicios basados en la nube están diseñados para facilitar el acceso y el uso compartido de datos, pero muchas organizaciones quizá no entiendan por completo cómo proteger la infraestructura en la nube. Esto puede provocar errores de configuración, como dejar las contraseñas predeterminadas configuradas, no activar el encriptado de datos o gestionar los controles de permisos de forma incorrecta. 

Puedes acceder a los despliegues en la nube directamente a través de la Internet pública, lo que permite un acceso cómodo desde cualquier ubicación o dispositivo. Al mismo tiempo, esto implica que los atacantes pueden obtener recursos autorizados más fácilmente con credenciales vulneradas o control de acceso inadecuado.  

Puedes aprovisionar recursos de la nube y escalarlos vertical u horizontalmente según las necesidades de tu carga de trabajo. Sin embargo, muchas herramientas de seguridad antiguas no pueden aplicar políticas en entornos flexibles con cargas de trabajo efímeras y en constante cambio, que pueden añadirse o eliminarse en solo unos segundos. 

La nube añade otro nivel de requisitos normativos y de cumplimiento internos que puedes no respetar aunque no sufras una brecha de seguridad. Gestionar el cumplimiento en la nube es un proceso continuo y abrumador. A diferencia de los centros de datos on‐premise, donde tienes un control total sobre los datos y cómo se accede a ellos, a las empresas les resulta mucho más difícil identificar de forma coherente todos los recursos y controles en la nube, asignarles los requisitos relevantes y documentar todo correctamente. 

• Gestión de identidades y accesos (IAM): los servicios y las herramientas de IAM permiten a los administradores gestionar y controlar de manera centralizada quién tiene acceso a determinados recursos on‐premise y basados en la nube. La IAM te permite monitorizar y restringir cómo interactúan los usuarios con los servicios para aplicar políticas en toda tu organización. 
• Prevención de la pérdida de datos (DLP): DLP te ayuda a tener visibilidad sobre los datos que almacenas y tratas gracias a funciones que permiten descubrir, clasificar y desidentificar automáticamente los datos regulados en la nube. 
• Gestión de Información y eventos de seguridad (SIEM): las soluciones de SIEM combinan la gestión de información de seguridad y de eventos de seguridad para ofrecer funciones automatizadas de monitorización, detección y respuesta a incidentes ante amenazas en tus entornos en la nube. Gracias a las tecnologías de inteligencia artificial y aprendizaje automático, las herramientas de SIEM te permiten examinar y analizar los datos de registro generados en tus aplicaciones y dispositivos de red, así como actuar rápidamente en caso de que se detecte una posible amenaza. 
• Infraestructura de clave pública (PKI): la infraestructura de clave pública (PKI) es el framework que se utiliza para gestionar el intercambio de información seguro y encriptado con certificados digitales. Las soluciones de PKI suelen ofrecer servicios de autenticación para las aplicaciones y verifican que los datos se trasladan de forma segura y confidencial en todo momento. Los servicios de PKI basados en la nube permiten a las organizaciones gestionar y desplegar certificados digitales utilizados para la autenticación de usuarios, dispositivos y servicios.