Protección de Datos en la Nube.

 ¿Qué es la protección de datos en la nube?

Proteger los datos de la nube se refiere a todas las medidas y practicas implementadas para garantizar la seguridad, privacidad e integridad de la información almacenada en servicios de computación en la nube.  

Como los datos son alojados en servidores de terceros en lugar de en infraestructuras locales, es fundamental protegerlos de posibles amenazas como accesos no autorizados, fugas de información, ciberataques o pérdidas de datos.

Para proteger los datos suelen usarse distintas técnicas o metodologías, veremos algunas de ellas a continuación.

Cifrado de datos.


El cifrado de datos en ciberseguridad es la conversión de datos de un formato legible a un formato codificado, de forma que, los datos cifrados solo se pueden leer o procesar luego de descifrarlos. 

Es usado tanto por usuarios como por grandes organizaciones, y esto es porque nos permite blindar información sensible como datos personales, datos bancarios o documentos de gran importancia. Es ampliamente usado en la tecnología de cómputo en la nube, porque nos permite proteger los datos mientras viajan desde el dispositivo cliente hasta el servidor.

Veamos el siguiente video de ESET Latinoamérica acerca del cifrado de datos:


Viéndolo de forma un poco más técnica, el cifrado implica convertir texto sin formato legible por humanos en un texto incomprensible, conocido como texto cifrado. Posteriormente, debe usarse una clave criptográfica; un conjunto de valores matemáticos que acuerdan tanto el emisor como el receptor. El receptor utiliza la clave para descifrar los datos y volver a convertirlos en texto sin formato legible. 

Existen dos tipos principales de cifrado, veámoslos en la siguiente infografía:


Para nuestra fortuna, los grandes prestadores de servicios de cómputo en la nube suelen incluir los servicios de cifrado con compatibilidad para sus plataformas. Vamos a ver dos de los más conocidos.

AWS KMS.

AWS KMS es un servicio que permite crear y controlar claves criptográficas que se utilizan para cifrar datos en los servicios de AWS y en las aplicaciones del usuario que usen AWS. Entre sus características principales se destacan:

  • Administración centralizada: Los usuarios pueden crear, rotar, deshabilitar y auditar claves desde una única consola. 
  • Integración con otros servicios de AWS: AWS KMS se integra fácilmente con otros servicios de AWS como S3 (almacenamiento), EBS (volúmenes de almacenamiento), RDS (bases de datos), Lambda (funciones sin servidor), entre otros. 
  • Seguridad de claves: Las claves están protegidas dentro de módulos de seguridad de hardware (HSM, por sus siglas en inglés), lo que garantiza un alto nivel de seguridad. 
  • Cifrado simétrico y asimétrico: AWS KMS soporta tanto claves simétricas (AES-256) como asimétricas (RSA y ECC), lo que permite una mayor flexibilidad para los casos de uso. 
  • Gestión automática de rotación de claves: AWS KMS puede rotar claves automáticamente a intervalos regulares, reduciendo la necesidad de intervención manual. 

Google Cloud KMS.

Google Cloud KMS es el servicio de gestión de claves de cifrado en Google Cloud, que permite crear, administrar y utilizar claves criptográficas en la infraestructura de Google Cloud para proteger los datos y las aplicaciones.

Algunas de sus características más importantes son:
  • Creación y gestión de claves: Los usuarios pueden crear claves simétricas y asimétricas (RSA, ECC) y gestionarlas (rotarlas, deshabilitarlas) desde la consola de Google Cloud. 
  • Cifrado de datos en varios servicios de Google Cloud: KMS se integra con servicios como Google Cloud Storage (almacenamiento), BigQuery (análisis de grandes datos), Compute Engine (máquinas virtuales), etc. 
  • Soporte para HSM (Hardware Security Module): Para casos en los que se necesita una mayor seguridad, Google ofrece Cloud HSM, que garantiza que las claves sean gestionadas por hardware dedicado. 
  • Integración con Cloud IAM: Permite gestionar permisos y políticas de acceso granulares para asegurar que solo los usuarios y servicios autorizados puedan usar las claves.
Gestionando las claves de cifrado.


La gestión de claves de cifrado aborda todo el ciclo de vida de las claves criptográficas, desde su generación hasta su almacenamiento, pasando por su protección, distribución, actualización y, finalmente, destrucción.  

Para asegurarnos que los datos estarán realmente protegidos debemos realizar una gestión y rotación efectiva de las claves de cifrado. Hay algunos principios que se aconsejan seguir, como lo son:
  • Utilizar un servicio centralizado de gestión de claves: Se recomienda usar un servicio como AWS KMS o Google Cloud KMS para administrar las claves de manera centralizada, puesto que, estos servicios ofrecen mayor control y visibilidad sobre las claves. Además, reduce la complejidad operativa y los riesgos asociados con la gestión manual de claves.
  • Definir una política clara de rotación de claves: Es aconsejable establecer políticas de rotación periódica de las claves, con un cronograma definido. La rotación de claves reduce el riesgo de que una clave comprometida afecte de manera prolongada la seguridad de los datos cifrados. 
  • Separación de responsabilidades: Se puede implementar el principio de mínimo privilegio y separación de responsabilidades. Para que así, solo personal autorizado tenga acceso a las claves criptográficas, incluyendo diferentes niveles de acceso según sus funciones. 
  • Monitoreo y auditoría del uso de claves:  Deberán realizarse auditorías continuas y monitoreos del uso de claves criptográficas. Servicios como AWS CloudTrail o Google Cloud Logging pueden registrar todas las operaciones realizadas con claves, lo que permite detectar actividades sospechosas o no autorizadas. 
  • Usar claves dedicadas para cada función: No se aconseja reutilizar una única clave para múltiples propósitos. Es mejor usar diferentes claves para distintos conjuntos de datos o servicios. De esta forma se reduce el impacto de una posible brecha de seguridad. 
  • Cifrado híbrido: Para mayor seguridad y eficiencia, puede usarse un esquema de cifrado híbrido, combinando cifrado simétrico y asimétrico. Las claves simétricas se usan a menudo para cifrar grandes cantidades de datos (porque es más rápido), y las claves asimétricas se utilizan para cifrar y proteger las claves simétricas. 
  • Eliminar claves obsoletas: Cuando una clave ya no es necesaria, debe deshabilitarse y eventualmente eliminarla de forma segura. No hay que mantener claves antiguas o sin usar en el sistema, esto para reducir el riesgo de que sean comprometidas en el futuro. 
  • Manejo de claves comprometidas: Debe elaborarse un protocolo para el manejo de claves comprometidas. Si una clave se ve comprometida, debe ser rotada inmediatamente, y todos los datos cifrados con esa clave deben ser re-cifrados con una nueva clave. 
Sobre las normativas.

Debido a que los sistemas informáticos pueden albergar información sensible o critica, se han establecido diferentes normativas que las empresas prestadoras de servicios informáticos deben acatar, con la finalidad de estandarizar la protección de los datos. Vamos a ver algunas relevantes para el entorno del cómputo en la nube.

GDPR (General Data Protection Regulation):


Es una normativa dirigida a proteger los derechos de privacidad y los datos personales de los ciudadanos de la UE. Gracias a su creación, las empresas en la nube deben garantizar que los datos de los ciudadanos europeos se almacenen, procesen y transfieran de manera segura. Algunas de sus características relevantes son:
  • Consentimiento explícito: Exige que las empresas deben obtener el consentimiento explícito del usuario antes de recopilar y procesar sus datos. 
  • Principio de minimización de datos: Solo deben recopilarse los datos necesarios para un propósito específico. 
  • Derecho al olvido: Los usuarios pueden solicitar la eliminación de sus datos personales, y las empresas que operan en la nube deben asegurar que pueden eliminar esos datos de manera efectiva. 
  • Transparencia y notificación de brechas de seguridad: Si hay una violación de datos, las empresas deben notificar a las autoridades dentro de 72 horas.
HIPAA (Health Insurance Portability and Accountability Act).


HIPAA es una normativa es aplicada en EE.UU., y el objetivo principal es el de regular la protección de la información médica sensible. Bajo este contexto, las organizaciones que manejan datos de salud en la nube (como hospitales) deben cumplir con las reglas de privacidad y seguridad. Como características relevantes tenemos:
  • Contratos de socio comercial (Business Associate Agreements - BAA): Las empresas que usan servicios en la nube para gestionar información médica deben firmar un BAA con el proveedor cloud, en el que este se compromete a cumplir con las regulaciones de HIPAA. 
  • Auditoría y monitoreo: Se requiere que los proveedores cloud permitan auditorías para garantizar que cumplen con los estándares de HIPAA.
  • Cifrado: Los datos deben estar cifrados tanto en reposo como en tránsito en la nube para mitigar riesgos de acceso no autorizado. 
  • Notificación de brechas: En caso de una violación de los datos, el proveedor cloud y la entidad cubierta (hospitales, clínicas, etc.) deben notificar a los afectados y al Departamento de Salud y Servicios Humanos (HHS) dentro de un plazo determinado. 
CCPA (California Consumer Privacy Act).

El objetivo de CCPA es regular la recolección y venta de datos personales de los residentes de California. Bajo esta normativa, las empresas deben garantizar que los datos de los consumidores no se usen sin su consentimiento y ofrecerles derechos como la opción de no vender sus datos. Veamos algunas de sus características de interés:
  • Derecho a saber y acceso: Los usuarios tienen derecho a saber qué datos personales se están recopilando sobre ellos y cómo se están utilizando. Las empresas que usan la nube deben ser capaces de acceder y proporcionar esta información de manera transparente. 
  • Derecho a la eliminación: Los usuarios pueden solicitar que sus datos sean eliminados. Deben implementarse mecanismos para eliminar los datos almacenados cuando un cliente lo solicite. 
  • Opt-out de venta de datos: Los residentes de California pueden optar por no permitir la venta de sus datos personales. Los sistemas en la nube que manejan datos deben permitir este tipo de control. 
  • Protección de menores: La CCPA tiene disposiciones adicionales para proteger los datos de menores de 16 años. Si se usan servicios en la nube para procesar esta información, deben garantizar que se cumplen estas reglas. 

En resumen.

La idea de tener todos nuestros datos alojados en la nube es claramente muy atractiva, los beneficios son muchos claro está, y si bien es recomendable migrar a este modelo, debemos hacerlo siendo conscientes de todas las medidas de seguridad que deben tomarse para evitar que los datos se vean comprometidos. Aquí entran en juego mecanismos como el cifrado de los datos, vital para asegurar todos nuestros datos en cloud. Por fortuna, los proveedores más importantes de servicios cloud brindan también servicios muy completos relacionados con el cifrado de los datos. No debemos olvidar también atender las normativas aplicables en materia de la protección de datos, esto para evitar conflictos legales y afectaciones a usuarios.



Alan Virgilio Castillo Gómez.

Fuentes y recursos.

Kaspersky ¿Qué es el cifrado de datos? Definición y explicación. Enlace: Cifrado de datos y cómo hacerlo (kaspersky.com)
ESET Latinoamérica. Cifrado de datos: qué es y cómo puede ayudarte a proteger tu información en Internet. Enlace: Cifrado de datos: qué es y cómo puede ayudarte a proteger tu información en Internet - YouTube
Google. Cloud Key Management. Enlace: Cloud Key Management | Google Cloud
Entrust ¿Cuáles son las mejores estrategias de gestión de claves empresariales? Enlace: ¿Cuáles son las mejores estrategias de gestión de claves empresariales? | Entrust



Comentarios

Publicar un comentario

Entradas populares de este blog

Introducción a la Seguridad en la Nube

Imagen
 ¿Cloud Computing? La computación en la nube, o Cloud Computing es la disponibilidad bajo demanda de recursos de procesamiento computacional (como infraestructura y almacenamiento), como un servicio vía Internet . Eliminando así la necesidad de que las personas y las empresas administren ellos mismos los recursos físicos y solo paguen por lo que usan.  Con el cómputo en la nube las  empresas o las personas pagan para acceder a un grupo virtual de recursos compartidos, abarcando procesamiento, almacenamiento y herramientas de redes. Todo se encuentra en servidores remotos que son propiedad de los proveedores de servicios y son administrados por ellos.   Con la siguiente infografía veremos algunas de las ventajas que brinda el cómputo en la nube: Para resumirlo, el cómputo en la nube se vale de la red para conectar a usuarios con una plataforma en la nube que les permite acceder a servicios de cómputo alquilados. Sobre los modelos de servicio... En el cómput...
Leer más

Identidad y Gestión de Accesos (IAM)

Imagen
  ¿Qué es una política de seguridad? Las políticas de seguridad dentro de informática son normas y directrices que van enfocadas a garantizar la confidencialidad, integridad y disponibilidad de la información y minimizar los riesgos que puedan afectar a la misma. Comúnmente se integran políticas y procedimientos como: Documento de buenas prácticas: Aborda el   uso aceptable de los sistemas y la información por parte del personal, directrices para mantener el puesto de trabajo despejado, el bloqueo de equipo desatendido, la protección de contraseñas, etc. Controles de acceso físico y lógico: Se trata de los mecanismos y sistemas implementados para controlar el acceso que pueden tener las personas a las instalaciones de la organización (accesos físicos) y el acceso a los sistemas de la organización (accesos lógicos). Gestión de usuarios: Son todas las instrucciones para dar alta a nuevos usuarios, cambiar su rol dentro de los sistemas y como cambiar sus permisos de acces...
Leer más

Introducción a IoT y su Ecosistema

Imagen
¿Qué es IoT? IoT (Internet of Things) traducido como "El Internet de las cosas" consiste en una red de objetos físicos ("cosas") que llevan incorporados sensores, software y diversas tecnologías con el fin de conectarse e intercambiar datos con otros dispositivos usando Internet. IoT se puede resumir en tres componentes fundamentales: Dispositivos inteligentes  Se trata de dispositivos, como un televisor, una cámara de seguridad o un equipo de ejercicio, que han sido dotados con capacidades de computación. Gracias a esto puede recopilar datos de su entorno, de las entradas de los usuarios o de los patrones de uso y comunica los datos a través de Internet hacia y desde su aplicación de IoT.  Aplicación de IoT  Una aplicación de IoT es un conjunto de servicios y software que integra los datos recibidos de varios dispositivos de IoT. Comunmente utiliza tecnología de machine learning (ML) o inteligencia artificial (IA) para analizar estos datos y tomar decisiones inform...
Leer más