¿Qué es el cumplimiento en la nube?

El cumplimiento en la nube se refiere al proceso de adherirse a estándares normativos, mandatos y leyes internacionales y mejores prácticas sectoriales (marcos, referencias) en el contexto de la computación en la nube. Este proceso tiene el objetivo de garantizar que los servicios de la nube y los datos que gestionan cumplen criterios específicos en materia de seguridad, privacidad y operaciones. Las organizaciones deben satisfacer diversos requisitos de cumplimiento (como MITRE ATT&CK®, CIS, NIST e ISO) y normativas, como el RGPD, el FedRAMP o la HIPAA, para generar y mantener la confianza de sus clientes. Lograr el cumplimiento en la nube requiere que se implementen medidas de seguridad sólidas, realizar auditorías periódicas y monitorizar continuamente el entorno para que la empresa esté protegida frente a las brechas y garantizar la observancia de la normativa.

El marco de cumplimiento normativo cambia rápidamente, debido a la aparición de nuevas normativas, marcos y referencias para abordar cuestiones relacionadas con el crecimiento exponencial de los datos que recopilan las organizaciones. Estas regulaciones abarcan no solo la privacidad y la protección de los datos, sino también áreas como la ciberseguridad, los informes financieros y los estándares medioambientales. La tecnología de la información también está evolucionando a medida que las organizaciones pasan de datacenters locales a infraestructura basada en la nube, lo que genera nuevos retos y oportunidades para el cumplimiento en los diversos ámbitos operativos. Debido a todo ello, muchas organizaciones sienten incertidumbre en cuanto a sus obligaciones de cumplimiento y a cómo definir el cumplimiento en la nube. Sin embargo, lo cierto es que, en la mayoría de los casos, los requisitos siguen siendo los mismos, independientemente de si los datos se alojan en entornos locales o en la nube pública. En esta publicación, hablaremos de la importancia de preservar el cumplimiento, de los desafíos a los que se enfrentan las organizaciones para lograr el cumplimiento en la nube y de los mecanismos disponibles para implementar las mejores prácticas.

¿Por qué es importante el cumplimiento en la nube?

En el mundo digital actual, empresas y organizaciones tienen acceso a enormes repositorios de datos, que incluyen no solo información de clientes, sino también datos comerciales privados, registros financieros y propiedad intelectual. Entre estos datos a menudo se incluye información confidencial, como detalles de tarjetas de pago, direcciones y números de la Seguridad Social. Los clientes y las partes interesadas confían en que estas empresas protejan sus datos, ya que las brechas de seguridad pueden tener consecuencias catastróficas.

Para proteger la información confidencial de los adversarios y mitigar los riesgos de seguridad, las organizaciones deben cumplir con normativas y marcos nacionales, internacionales y sectoriales, diseñados no solo para evitar brechas de datos y usos indebidos, sino también para garantizar que se aplican medidas de seguridad sólidas. El incumplimiento de alguna de estas regulaciones puede acarrear graves repercusiones, como sanciones elevadas, la pérdida de la ventaja competitiva y un daño significativo a la reputación.

Las brechas de seguridad pueden mermar la confianza de los consumidores, lo que reduce los índices de fidelidad y genera pérdidas de beneficios que afectan negativamente a todas las partes interesadas. Las organizaciones deben priorizar el cumplimiento en la nube para atender los problemas de seguridad, gestionar los riesgos para la reputación y preservar la integridad operativa en un panorama cada vez más digital.

¿Cuáles son los retos del cumplimiento en la nube?

La adopción de la computación en la nube introduce desafíos de cumplimiento únicos vinculados la naturaleza de los entornos de la nube. A continuación se presentan los principales desafíos a los que pueden enfrentarse las organizaciones para garantizar el cumplimiento en la nube:

• Certificaciones y evaluaciones: Para cumplir con los requisitos normativos y regulatorios aplicables, tanto tu organización como tu proveedor de servicios en la nube deben poder demostrar su cumplimiento. Es decir, debes asegurarte de que tu plataforma de nube cuenta con las evaluaciones y certificaciones necesarias. Además de estas certificaciones, la monitorización continua del cumplimiento es indispensable: las leyes de protección de datos cambian, se promulgan nuevas normativas y el estado de cumplimiento de los proveedores de la nube puede verse alterado.
• Ubicación de los datos: la mayoría de leyes de protección de datos exigen que los datos se alojen en los territorios permitidos, lo que hace necesario seleccionar cuidadosamente las regiones de la nube para garantizar el cumplimiento. El desafío se agrava para aquellas organizaciones sujetas a múltiples regulaciones, que pueden requerir aplicar una estrategia multinube para abordar adecuadamente todos los datos regulados.
• Complejidad de la nube: tener visibilidad y control sobre los datos es fundamental para su protección. Sin embargo, no se trata de algo sencillo debido a la naturaleza dinámica y compleja de los entornos de la nube. Dado que muchos de sus componentes están en movimiento, resulta difícil controlar todos los recursos de datos y evaluar los riesgos asociados. Las organizaciones deben aplicar prácticas sólidas de gestión de datos y herramientas específicamente diseñadas para lograr visibilidad y control en entornos de nube.
• Estrategia de seguridad diferente: las herramientas de seguridad tradicionales no suelen ser válidas para la nube, ya que las direcciones IP cambian con frecuencia y los recursos se lanzan y terminan continuamente. Las disposiciones normativas suelen exigir medidas técnicas y organizativas adecuadas para la protección de datos, lo que hace necesarias soluciones de seguridad que se adapten a la infraestructura de la nube. Estas soluciones deben centrarse especialmente en la gestión de la configuración y la protección de las cargas de trabajo a nivel individual para adecuarse al entorno de la nube.
• Modelo de responsabilidad compartida: en la nube, las obligaciones de seguridad y cumplimiento se reparten entre el proveedor de la nube y el cliente. Cada proveedor de servicios de la nube cuenta con un modelo de responsabilidad compartida publicado que delimita el rol de cada parte. Por ejemplo, los proveedores de la nube son responsables de la seguridad de sus datacenters físicos, de su hardware y de los hipervisores. Por el contrario, los clientes son los responsables de sus sistemas operativos invitados, de sus aplicaciones y de sus configuraciones de red. De un modo similar, las responsabilidades de cumplimiento están divididas. El proveedor de la nube garantiza el cumplimiento de la infraestructura y los servicios que ofrece, y los clientes deben asegurarse de que sus implementaciones en la plataforma del proveedor cumplan con las regulaciones pertinentes.
• Monitorización continua del cumplimiento: debido a la naturaleza dinámica de los entornos de la nube, el cumplimiento no es una cuestión puntual, sino que requiere procesos continuos de seguimiento y adaptación. Las organizaciones deben implementar sistemas de monitorización continua del cumplimiento para detectar y abordar los problemas de cumplimiento lo antes posible. Para ello son necesarias auditorías periódicas, herramientas de monitorización en tiempo real y la actualización de directivas y procedimientos según sea necesario para seguir cumpliendo con las regulaciones y sus modificaciones.
• Gestión de proveedores: es fundamental asegurarse de que los proveedores de servicios en la nube mantienen sus estándares de cumplimiento. Esta tarea requiere aplicar prácticas sólidas de gestión de proveedores, lo que incluye revisar y auditar periódicamente del estado de cumplimiento del proveedor, entender sus procesos de cumplimiento y asegurarse de que cualquier cambio en el estado del proveedor se aborda a la mayor brevedad. Al comprender y abordar estos desafíos, las organizaciones serán capaces de gestionar eficazmente sus obligaciones de cumplimiento en la nube, garantizar una protección robusta de los datos confidenciales y preservar la confianza de los clientes y las partes interesadas.

¿Cuáles son las normativas y los estándares comunes aplicables a la nube?

Algunos de los requisitos de cumplimiento más comunes (normativas, marcos, referencias, etc.) aplicables a la nube son los siguientes:

Reglamento General de Protección de Datos (RGPD)

El RGPD es una legislación de la Unión Europea diseñada para unificar y reforzar las leyes de protección de datos de todos los Estados miembros de la UE. Incluye requisitos exhaustivos para salvaguardar los derechos de privacidad de todos los ciudadanos del Espacio Económico Europeo (EEE). Entre las disposiciones más importantes destacan las siguientes:

• Ubicación de los datos: los datos personales deben tratarse y almacenarse dentro del EEE o en otros países permitidos, a menos que el sujeto dé su consentimiento para que se ubiquen en otro lugar.
• Minimización de los datos: las organizaciones deben recopilar y almacenar únicamente los datos personales que sean necesarios para sus operaciones.
• Limitación del almacenamiento: los datos personales no deben conservarse más tiempo del necesario.
• Derecho de acceso: los sujetos tienen el derecho de acceder a los datos personales que las organizaciones tienen de ellos.
• Derecho de supresión: los sujetos pueden solicitar que se eliminen sus datos personales.

El RGPD también exige la implementación de medidas sólidas de seguridad de datos, aunque estos requisitos se definen de forma un tanto amplia. Pese a ser una legislación europea, el RGPD tiene alcance global, y se aplica a cualquier organización que trate o almacene datos personales de residentes del EEE, independientemente de la ubicación de la organización. Las sanciones por incumplimiento son significativas, con multas que alcanzan los 20 millones de euros o el 4 % de la facturación global anual, la cantidad que sea mayor.

Tras su salida de la UE, el Reino Unido ha implementado su propia versión del RGPD, conocida como el RGPD del Reino Unido. Esta legislación es prácticamente idéntica al RGPD de la UE, pero incluye algunos ajustes para adaptarse a los marcos legales nacionales. Por ejemplo, el RGPD del Reino Unido se aplica junto con la Ley de Protección de Datos de 2018 del país, que establece disposiciones adicionales específicas para el Reino Unido, como las relacionadas con la aplicación de la ley y la seguridad nacional. Las organizaciones que operan en el Reino Unido o tratan datos de este país deben cumplir con el RGPD del Reino Unido y con la Ley de Protección de Datos de 2018, lo que garantiza que los estándares de protección de datos se mantienen al más alto nivel.

Programa federal de gestión de riesgos y autorizaciones (FedRAMP) y NIST SP 800-53

El FedRAMP es un ejemplo destacado de regulación gubernamental que aborda específicamente los datos que se procesan y almacenan en la nube. Es una versión simplificada de la Ley Federal de Modernización de la Seguridad de la Información (FISMA), la ley estadounidense que rige el tratamiento y el almacenamiento de los datos por parte de las agencias federales y sus contratistas, adaptada para implementaciones basadas en la nube.

La FedRAMP forma parte de un marco más amplio de normativas diseñadas para garantizar la seguridad y la resiliencia de los sistemas informáticos. Estas regulaciones se describen en NIST SP 800-53, una biblioteca completa de requisitos clasificados según el riesgo para los datos. La NIST SP 800-53 proporciona un conjunto estandarizado de controles que las organizaciones deben implementar para mantener la seguridad y la resiliencia.

Aunque las disposiciones de el FedRAMP y la NIST son de carácter opcional para las empresas del sector privado, su adopción ayuda a las organizaciones a alinearse con un enfoque más estandarizado de la privacidad y la seguridad, algo especialmente relevante teniendo en cuenta la naturaleza fragmentada de las regulaciones federales en los EE. UU. Este enfoque estandarizado no solo ayuda a cumplir varios requisitos normativos, sino que mejora la seguridad general de los datos y la integridad operativa.

El estricto marco del FedRAMP tiene por objetivo garantizar que los proveedores de servicios en la nube cumplen con estrictos estándares de seguridad, lo cual es crucial para las agencias federales y positivo para las empresas del sector privado que quieren mantener elevados estándares de seguridad y cumplimiento. Este programa incorpora la monitorización continua y las evaluaciones periódicas para garantizar el cumplimiento y la seguridad en todo momento.

En el caso de las organizaciones que quieren contratar servicios en la nube, adherirse a las directrices del FedRAMP puede generar una ventaja competitiva, ya que demuestra su compromiso con prácticas de seguridad sólidas y el cumplimiento de la normativa federal; una cuestión especialmente importante para las empresas que quieren trabajar con agencias federales o tranquilizar a clientes y partes interesadas sobre la seguridad de sus operaciones basadas en la nube.

Familia de normas ISO 27000

La familia de normas internacionales ISO 27000 proporciona recomendaciones exhaustivas de mejores prácticas destinadas a proteger los sistemas de información de diversas amenazas. Este conjunto de normas incluye:

• ISO 27001: esta es la norma principal de la familia ISO 27000 y ofrece un conjunto general de controles para gestionar la seguridad de la información. Proporciona orientación para establecer, implementar, mantener y mejorar de forma continua un sistema de gestión de seguridad de la información (ISMS).
• ISO 27017: esta norma proporciona controles de seguridad adicionales específicos para la computación en la nube, y aborda los desafíos de seguridad asociados con los entornos de la nube.
• ISO 27018: centrada en la protección de datos personales en entornos basados en la nube, esta norma define controles de privacidad para garantizar el cumplimiento de las normativas de protección de datos.

Aunque el cumplimiento de las normas ISO es opcional, la obtención de la certificación puede ofrecer numerosas ventajas, ya que demuestra un compromiso por aplicar prácticas sólidas de seguridad de la información, lo que genera confianza en clientes y proveedores. Además, reduce el riesgo para los recursos de información y facilita el cumplimiento de las normativas obligatorias de protección de datos. La observancia de estas normas ayuda a las organizaciones a implementar una estrategia sistemática para gestionar la información confidencial, y garantizar su seguridad y confidencialidad.

Además de estas normas básicas, la familia ISO 27000 incluye otras directrices y marcos adaptados a aspectos específicos de la seguridad de la información, como la gestión de riesgos (ISO 27005) o la ciberseguridad (ISO 27032). En conjunto, estas normas proporcionan un conjunto completo de herramientas para las organizaciones que buscan mejorar su posición de seguridad de la información y protegerse frente a una amplia gama de ciberamenazas.

Al adoptar las normas ISO 27000 y obtener la correspondiente certificación, las organizaciones no solo pueden mejorar sus medidas de seguridad, sino también obtener una ventaja competitiva, ya que la certificación es ampliamente reconocida y respetada tanto en el mercado nacional como en el internacional. Este compromiso por adoptar las mejores prácticas en seguridad de la información puede aumentar la confianza de los clientes y generar nuevas oportunidades de negocio.

Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS)

El PCI DSS, administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), es un estándar de seguridad aplicable a todas las organizaciones que acepten o procesen pagos con tarjeta, cuyo objetivo es proteger las transacciones con tarjetas de pago y los datos de los titulares de las tarjetas a través de 12 requisitos esenciales

que son más específicos que los descritos en los reglamentos generales de protección de datos, como el RGPD, ya que incluyen medidas concretas para reforzar la seguridad de los pagos. Sin embargo, la implementación de estos requisitos puede ser significativamente distinta en los entornos de la nube. Los firewalls tradicionales basados en el perímetro no están diseñados para la naturaleza dinámica, distribuida y altamente escalable de la nube. Para hacer frente a este desafío, las organizaciones deben utilizar firewalls en la nube, soluciones basadas en software diseñadas específicamente para proteger la infraestructura de la nube. Los firewalls en la nube pueden ajustarse de manera dinámica al cambiante panorama de los entornos de la nube, y ofrecer medidas de seguridad más robustas y flexibles.

El cumplimiento del estándar PCI DSS no solo ayuda a proteger la información confidencial de pago, sino que demuestra un compromiso por aplicar prácticas de seguridad estrictas, lo que aumenta la confianza de los clientes y puede reducir el riesgo de brechas de datos. A medida que las ciberamenazas continúan evolucionando, cumplir el estándar PCI DSS es esencial para las organizaciones que gestionan transacciones con tarjetas de pago, ya que les permite anticiparse a posibles vulnerabilidades de seguridad y proteger los datos de sus clientes de manera efectiva.

Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA)

La HIPAA es una legislación estadounidense promulgada para garantizar la protección de datos confidenciales de los pacientes. La HIPAA se aplica a cualquier organización que gestione información médica protegida, lo que incluye a proveedores de servicios sanitarios, aseguradoras y sus socios comerciales. El cumplimiento de la HIPAA es fundamental para salvaguardar la privacidad del paciente y proteger la información sanitaria frente a accesos no autorizados y brechas, sobre todo en los entornos de la nube, en los que las dinámicas de tratamiento y almacenamiento de datos difieren notablemente de las configuraciones de los entornos locales.

Para cumplir con la HIPAA en la nube, las organizaciones deben realizar lo siguiente:

• Evaluar los riesgos periódicamente: identifica posibles vulnerabilidades en la gestión de información médica protegida dentro de los entornos de la nube y evalúa las medidas de seguridad de los proveedores de servicios en la nube (CSP).
• Desarrollar e implementar directivas y procedimientos: asegúrate de que estas directivas aborden los desafíos propios del almacenamiento y el tratamiento en la nube, como la ubicación de los datos, el cifrado y los controles de acceso.
• Formar a los empleados: forma a los empleados sobre los requisitos de la HIPAA y las mejores prácticas para proteger la información médica protegida, haciendo especial hincapié en las características particulares de la nube.
• Aplicar medidas sólidas de seguridad: implementa mecanismos de cifrado, controles de acceso seguros y herramientas de monitorización periódica de los sistemas que gestionen información médica personal electrónica en la nube. Asegúrate de que los CSP incorporen funciones de seguridad que cumplan con la HIPAA y formaliza un acuerdo de socio comercial (BAA) con ellos.
• Elaborar un plan de respuesta a incidentes: define un plan claro de respuesta a incidentes que incluya las medidas necesarias para abordar posibles brechas en la nube y garantizar notificaciones oportunas.

El cumplimiento de la HIPAA no solo protege los datos confidenciales de los pacientes, sino que ayuda a las organizaciones a evitar sanciones importantes por incumplimiento que pueden alcanzar los 50 000 dólares por infracción, y una sanción máxima anual de 1,5 millones de dólares por el incumplimiento de la misma disposición. Además, cumplir con la HIPAA demuestra un compromiso con la privacidad y la confianza del paciente, lo cual es esencial para consolidar la reputación de la organización sanitaria.

Al cumplir con las regulaciones de la HIPAA y abordar las consideraciones específicas de la nube, las organizaciones sanitarias pueden gestionar y proteger eficazmente la información médica protegida, y garantizar la privacidad y seguridad de la información de los pacientes en un entorno sanitario cada vez más digital.

¿Cuáles son las mejores prácticas para el cumplimiento en la nube?

Existen numerosas mejores prácticas que puedes seguir para cumplir con las exigencias normativas, pero las siguientes son especialmente útiles para lograr el cumplimiento en la nube:

• Cifrado: debes empezar por proteger los datos que están en riesgo y cifrarlos tanto en reposo como en tránsito. Sin embargo, la seguridad de los datos cifrados viene marcada por la seguridad de las claves, por lo que también tendrás que aplicar buenas prácticas de gestión de claves.
• Privacidad por defecto: la privacidad debe integrarse automáticamente en el diseño del sistema y en las actividades de tratamiento para que la tarea de cumplir con los estándares y normativas de protección de datos sea notablemente más sencilla.
• El principio del mínimo de privilegios: solo debes conceder a los usuarios acceso a los datos y recursos que realmente necesiten para llevar a cabo sus tareas. De ese modo, se reduce significativamente el riesgo de compromiso por parte de ciberdelincuentes internos y externos, y se demuestra que tomas las medidas adecuadas para cumplir con los requisitos de cumplimiento.
• Zero Trust: debes implementar mecanismos estrictos de autenticación, autorización y monitorización para todos los usuarios, endpoints y aplicaciones que acceden a tu red, basándote en el principio de "no confíes nunca y verifica siempre".
• Marcos con una arquitectura sólida: puedes recurrir a los marcos modulares publicados por los principales proveedores de la nube, como AWS, Microsoft Azure y Google Cloud, que guían a los clientes a través de un conjunto de principios rectores sobre cómo crear cargas de trabajo resistentes, seguras y altamente optimizadas en sus plataformas.
• Monitorización y auditoría continuas: implementa procesos continuos de monitorización y auditoría para garantizar el cumplimiento en todo momento. Utiliza herramientas automatizadas para supervisar el estado de cumplimiento en tiempo real y realiza auditorías periódicas para detectar y abordar rápidamente deficiencias o problemas.
• Gestión de proveedores: define prácticas sólidas de gestión de proveedores para asegurarte de que los proveedores de servicios en la nube mantienen sus estándares de cumplimiento. Revisa y audita regularmente su estado de cumplimiento y sus procesos para garantizar que cumplan con tus requisitos normativos.
• Planificación de respuesta a incidentes: elabora e implementa un plan de respuesta a incidentes sólido y adaptado a los entornos de la nube que incluya procedimientos para detectar, responder y recuperarse de incidentes de seguridad y brechas de datos.
• Ubicación de los datos: ten en cuenta los requisitos relativos a la ubicación de los datos y elige regiones de la nube que cumplan con las leyes de protección de datos aplicables. Si tu organización está sujeta a múltiples regulaciones, considera desarrollar una estrategia multinube para cumplir con todos los requisitos de ubicación de datos.
• Documentación e información: documenta detalladamente tus esfuerzos de cumplimiento, incluyendo directivas, procedimientos e informes de auditoría. Si cuentas con una documentación y unos informes sólidos, podrás demostrar tu compromiso con el cumplimiento y dispondrás de una herramienta fundamentales durante las revisiones o auditorías reglamentarias.

A través de estas mejores prácticas, las organizaciones pueden mejorar su posición de cumplimiento en la nube y, al mismo tiempo, garantizan el cumplimiento de los requisitos normativos y protegen los datos confidenciales.

Cómo ayuda CrowdStrike con el cumplimiento en la nube

CrowdStrike Falcon® Cloud Security, la solución de plataforma de protección de aplicaciones nativas de la nube (CNAPP) más completa del mercado, ofrece un conjunto de funciones diseñadas para ayudar a las organizaciones a mantener el cumplimiento en la nube y proteger sus entornos en la nube. Entre las capacidades más importantes se incluyen la monitorización continua y la visibilidad en tiempo real a través de la gestión de la posición de seguridad en la nube (CSPM), que evalúa los entornos de nube en función de las mejores prácticas y los marcos de cumplimiento. Las funciones de gestión de la posición de seguridad de las aplicaciones (ASPM) garantizan que las aplicaciones cumplen los estándares de seguridad, mientras que las capacidades de gestión de los derechos sobre la infraestructura de nube (CIEM) implementan el principio del mínimo de privilegios mediante controles de acceso estrictos. La seguridad previa a la ejecución de Falcon Cloud Security, o seguridad shift-left, se integra en el proceso de desarrollo, mediante el análisis del código y las plantillas de infraestructura en busca de vulnerabilidades antes de la implementación. A través de la protección de las cargas de trabajo en la nube (CWP), Falcon Cloud Security proporciona capacidades de detección de amenazas en tiempo real y respuesta automatizada para máquinas virtuales, contenedores y funciones sin servidor.

La detección avanzada de amenazas de la plataforma CrowdStrike Falcon® emplea el aprendizaje automático para mitigar las amenazas. Por otro lado, las capacidades de protección de la identidad protegen a las organizaciones contra el robo de credenciales. Falcon Cloud Security simplifica los informes de cumplimiento con funciones automatizadas de auditoría y generación de informes, y garantiza la protección y el cifrado de los datos a través de CWP y CIEM. La perfecta integración con los principales proveedores de servicios en la nube, como AWS, Microsoft Azure o Google Cloud, garantiza la aplicación uniforme de los controles de seguridad. Haciendo uso de la inteligencia sobre amenazas de CrowdStrike, Falcon Cloud Security permite a las organizaciones ir un paso por delante de las amenazas emergentes, cumplir con la normativa vigente, proteger los datos confidenciales y mitigar los riesgos de seguridad.