¿Qué es el modelo de responsabilidad compartida en la computación en la nube?

El modelo de responsabilidad compartida describe las obligaciones de seguridad especificando los derechos y responsabilidades tanto del proveedor de servicios en la nube como del cliente. En esencia, aclara quién es responsable de cada aspecto de la seguridad para garantizar una protección eficaz del entorno de la nube. Los detalles de esta división son un poco diferentes según el modelo de servicio (SaaS, PaaS, IaaS).

Las diferencias entre los tres modelos incluyen:

• SaaS (Software como servicio): El proveedor gestiona la infraestructura subyacente, la aplicación y los datos, mientras que el cliente se encarga del acceso de los usuarios y la clasificación de los datos.
• PaaS (Plataforma como servicio): El proveedor es responsable del sistema de soporte, incluidos el servicio web, el sistema operativo, etc., mientras que el cliente es responsable de todas las aplicaciones y datos.
• IaaS (Infraestructura como servicio): El proveedor controla la capa física, mientras que el cliente controla las aplicaciones, los sistemas operativos y los datos.

Estas son las responsabilidades detalladas de los proveedores de SaaS:

• Physical security: Protect data centers and hardware.
• Network security: Protection against the threats posed by unauthorized access or cyber-attacks.
• Application security: Updating software to fix security weaknesses or bugs to prevent breaches
• Data security: Cifrar los datos tanto cuando se almacenan como durante la transmisión, y asegurarse de que haya copias de seguridad o recuperación ante desastres.
• Seguridad operacional: Detectar amenazas y responder a incidentes de seguridad.

El cliente de SaaS debe considerar:

• Seguridad del dispositivo: Proteger el dispositivo que se utiliza para acceder a la aplicación SaaS.
• Gestión de acceso: Gestionar las limitaciones adecuadas de los usuarios y su capacidad para acceder a una aplicación, los procedimientos para verificar su identidad y la autorización para acceder a la aplicación.
• Capacitación en concientización sobre seguridad: Capacitación de los empleados sobre medidas de seguridad y riesgos de phishing.
• Clasificación de datos: Identificar datos confidenciales y establecer medidas para protegerlos.
• Incident response: Having a contingency plan as to how the security threats could be handled.

Organizations and Software as a Service providers and suppliers should:

1. Regularly review the SaaS provider’s security documentation and certifications: Infórmese sobre sus prácticas de seguridad y asegúrese de que cumplan con los estándares de su organización.
2. Establezca canales de comunicación claros: Mantenga una comunicación clara con su proveedor de SaaS para discutir inquietudes de seguridad, informar cualquier problema y mantenerse actualizado sobre los cambios de seguridad.
3. Participe en programas de concientización sobre seguridad: Anime a tus empleados a tomar la capacitación en seguridad que proporciona el proveedor de SaaS.
4. Realizar evaluaciones de seguridad conjuntas: Colaborar para identificar y reducir los riesgos en el entorno compartido.
5. Establecer un Acuerdo de Nivel de Servicio (SLA): Establecer los requisitos y deberes de seguridad en un documento contractual firmado por ambas partes.