La nube ha revolucionado el panorama empresarial, pero también ha traído consigo importantes desafíos en materia de cumplimiento. Gestionar la posición de seguridad de la infraestructura de la nube es un aspecto crucial para garantizar el funcionamiento de tus operaciones en la nube y, al mismo tiempo, cumplir con la normativa vigente.

Como se ha revelado en el Informe Global sobre Amenazas 2024 de CrowdStrike, las intrusiones a la nube aumentaron en un 75 % en 2023, cifra que se eleva hasta el 110 % en los casos en los que participaron ciberdelincuentes orientados a la nube. Las técnicas de los adversarios siguen siendo cada vez más sofisticadas para lograr el acceso inicial, el movimiento lateral, la elevación de privilegios, la elusión de las defensas y la recopilación de datos.

Sin un marco de seguridad de la nube, las organizaciones no tendrán la visibilidad detallada necesaria para determinar si sus datos están adecuadamente protegidos. Además, la falta de visibilidad expone a las empresas a que sus datos queden expuestos, a que se produzcan accesos no autorizados y a otras amenazas de seguridad. Puedes mitigar los riesgos y proteger tus datos en la nube si seleccionas el marco adecuado e implementas las mejores prácticas, como la evaluación de riesgos, los controles de seguridad y la respuesta a incidentes.

El marco de seguridad de la nube también garantiza que todos los componentes críticos de la infraestructura de la nube no solo cumplen con la normativa, sino que están protegidos y, por tanto, se reducen las posibilidades de sufrir un ciberataque. Con un marco de seguridad de la nube adaptado a las necesidades de cumplimiento de tu organización, puedes implementar eficazmente los controles de seguridad y privacidad adecuados para cumplir con los requisitos normativos pertinentes en la nube.

En este artículo analizaremos cómo los marcos de seguridad de la nube mejoran la seguridad y el cumplimiento de los datos y aplicaciones incluidos en los entornos de computación en la nube.

¿Qué es un marco de seguridad de la nube?

Los marcos de seguridad de la nube son conjuntos de directrices, mejores prácticas y controles que las organizaciones utilizan para abordar la seguridad de sus datos, aplicaciones e infraestructura en los entornos de computación en la nube. Proporcionan un enfoque estructurado para identificar los riesgos potenciales y aplicar medidas de seguridad que los mitiguen.

Aunque los marcos de seguridad de la nube se centran en aspectos de seguridad que son fundamentales para responder a los requisitos de cumplimiento y gobernanza, la prioridad es preservar la seguridad y no tanto garantizar el cumplimiento o la gobernanza. Algunos de estos marcos proporcionan los controles de seguridad necesarios para cumplir con las normas y reglamentos de seguridad aplicables, pero no son exhaustivos en lo que respecta al cumplimiento.

Comparativa entre los marcos de cumplimiento de la nube y los de gobernanza de la nube

Los marcos de seguridad de la nube, los marcos de cumplimiento de la nube y los marcos de gobernanza son similares, pero su objetivo dentro del entorno de computación en la nube es distinto.

Los marcos de seguridad de la nube abordan los desafíos de seguridad únicos de la nube, incluidos los modelos de responsabilidad compartida y la detección y mitigación de posibles riesgos.

Por otro lado, los marcos de cumplimiento de la nube se aseguran de que las organizaciones cumplen con la legislación y la normativa aplicables a los servicios de la nube, y se centran en el cumplimiento de disposiciones específicas, como la HIPAA, el PCI-DSS o el RGPD. Describen los controles y medidas necesarios para lograr el cumplimiento.

Los marcos de gobernanza tienen un alcance más amplio y abordan la gestión y supervisión generales de los sistemas de TI, incluidos los entornos de la nube. Definen directivas, procedimientos y directrices para la toma de decisiones, la gestión de riesgos y el cumplimiento que conforman un marco destinado a que los recursos de TI se utilicen de manera eficaz y eficiente.

Aunque estos tres marcos pueden solaparse en algunos puntos, cada uno tiene un propósito distinto en lo relativo a la gestión y la protección de los entornos en la nube.

Los marcos de la nube más comunes

Cuando las organizaciones adoptan servicios de computación en la nube, garantizar la seguridad y el cumplimiento de los datos y las aplicaciones se complica notablemente. Los marcos de seguridad de la nube proporcionan directrices y controles que ayudan a las organizaciones a detectar posibles riesgos y a implementar medidas de seguridad para mitigarlos.

No todos los marcos y sus requisitos asociados son relevantes para todos los sectores. Además, las organizaciones que adoptan marcos de cumplimiento normativo también deben cumplir esos objetivos para las aplicaciones de la nube. En esta sección, exploraremos los marcos más importantes que pueden ayudar a las organizaciones a cumplir con la normativa de seguridad y privacidad cuando utilizan servicios de la nube.

Marcos de seguridad de la nube

• MITRE ATT&CK
• Centro para Seguridad en Internet (Center for Internet Security, CIS)
• CSA-STAR
• ISO/IEC 27017:2015
• Otros marcos

MITRE ATT&CK

Como marco, MITRE ATT&CK estandariza las diferentes fases de un ataque. En lugar de centrarse únicamente en los controles, se ocupa de las tácticas y técnicas empleadas por los hackers en la nube. Con este marco, las organizaciones pueden comprender los posibles vectores de ataque y reforzar su posición de seguridad en la nube mejorando las capacidades de detección y respuesta.

CIS

El Centro para Seguridad en Internet (CIS) es reconocido en todo el sector por ofrecer controles y puntos de referencia estandarizados que sirven como estándar de cumplimiento para crear una línea de base de seguridad. Estos puntos de referencia empezaron centrándose en los sistemas locales, pero han evolucionado para incluir también tecnologías para los principales proveedores de nube.

Una de las razones por las que el estándar del CIS es único es que se basa en el consenso de profesionales que desarrollan un conjunto fiable y probado de defensas eficaces en entornos de producción; lo que ha resultado en un conjunto de controles más eficaz.

CSA-STAR

El Programa de cumplimiento, seguridad y responsabilidad (STAR) de Cloud Security Alliance (CSA) proporciona mejores prácticas de seguridad de la nube y valida la posición de seguridad de los proveedores de servicios en la nube. El marco describe los controles de seguridad específicos de la nube para los proveedores en la nube como parte del Marco de control en la nube (Cloud Controls Matrix, CCM). Además, proporciona a los clientes que ejecutan aplicaciones en estas nubes una lista de preguntas para asegurarse de que pueden evaluar el cumplimiento del CCM.

ISO/IEC 27017:2015

La ISO 27001 incluye directrices que pueden ayudar a los clientes a establecer un marco con el que gestionar los riesgos relacionados con la protección de los datos, tanto los propios como los que se tratan en toda la empresa.

La ISO 27017 es un marco específico para la nube que proporciona orientación sobre los aspectos de seguridad de la información específicos de la nube. Los controles de seguridad proporcionados en este marco complementan las pautas de las normas ISO/IEC 27002 e ISO/IEC 27001. El marco también proporciona controles de seguridad y directrices de implementación diferenciados tanto para los proveedores de servicios en la nube como para las aplicaciones.

Otros marcos

Los propios proveedores de servicios en la nube han publicado sus propios marcos que combinan controles específicos de la nube de varios marcos de seguridad y normativos. Entre ellos se incluyen marcos como el AWS Estándar básico de mejores prácticas de seguridad y los puntos de referencia de seguridad en la nube de Microsoft.

Marcos de cumplimiento normativo y estándares

• Reglamento General de Protección de Datos (RGPD)
• FedRAMP
• ISO 27001
• Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS)
• HIPAA y HITECH
• Sarbanes-Oxley (SOX)
• Ley de Privacidad del Consumidor de California (CCPA)
• Ley Federal de Modernización de la Seguridad de la Información (FISMA)
• NERC CIP
• NIST CSF
• Controles del sistema y de la organización 2 (SOC 2)
• Certificación del modelo de madurez de ciberseguridad 2.0 (CMMC 2.0)
• Marcos genéricos

Reglamento General de Protección de Datos (RGPD)

El RGPD es un conjunto completo de regulaciones en materia de privacidad y protección de datos al que están sujetas las organizaciones que tratan los datos personales de los residentes de la UE. Contiene disposiciones específicas sobre la seguridad y la privacidad de los servicios en la nube.

Estos controles incluyen evaluaciones de impacto relativas a la protección de datos (EIPD), el mantenimiento de los derechos de los interesados sobre sus datos, controles de seguridad para proteger los datos y salvaguardias en las transferencias de datos para limitar la salida de datos de la UE.

Programa federal de gestión de riesgos y autorizaciones (FedRAMP)

El Programa federal de gestión de riesgos y autorizaciones (FedRAMP) es un componente clave en los marcos de seguridad de la nube, especialmente para los proveedores de servicios en la nube que quieren operar con agencias gubernamentales de EE. UU. Estandariza la forma en que las entidades no gubernamentales deben implementar controles de seguridad para garantizar que se ajustan a las regulaciones gubernamentales de evaluación, autorización y monitorización en la nube.

ISO 27001

La norma ISO 27001, de la Organización Internacional de Normalización (ISO), es el conjunto internacional de facto de directrices para estandarizar el ciclo de vida completo de un sistema de gestión de seguridad de la información (SGSI). Garantiza que las organizaciones tengan un enfoque estructurado para gestionar la información confidencial.

La norma ISO 27001 proporciona a las organizaciones criterios específicos de seguridad y privacidad con respecto a la computación en la nube, como la realización de evaluaciones de riesgos, la implementación de controles de seguridad y la mejora continua de las medidas de seguridad.

Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS)

A diferencia de la mayoría de estándares, el PCI DSS viene dictado por el sector de las tarjetas de pago, y no por una entidad gubernamental. Fija las bases para que los comerciantes y proveedores de servicios traten de forma segura los datos de las tarjetas de crédito, y describe expresamente qué controles de seguridad son necesarios para protegerse contra las brechas de datos. La norma consta de varios componentes clave: determinación del alcance, controles de seguridad, gestión de proveedores de servicios externos y validación del cumplimiento.

Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA)/Ley de Tecnología de la Información para la Economía y la Salud Clínica (Ley HITECH)

La HIPAA y la HITECH son leyes federales de Estados Unidos que determinan las normas de seguridad y privacidad para proteger la información sanitaria protegida en formato electrónico (ePHI) de los pacientes. El cumplimiento de estas leyes es fundamental para que las organizaciones sanitarias garanticen la confidencialidad, la integridad y la disponibilidad de la ePHI en los entornos locales y en la nube. Se basa en una combinación de evaluaciones de riesgos, controles de seguridad, controles de privacidad, acuerdos con socios comerciales y validación del cumplimiento.

Sarbanes-Oxley (SOX)

La Ley Sarbanes-Oxley (SOX) es una ley federal de Estados Unidos que establece requisitos para la presentación de informes financieros y la gobernanza corporativa. Garantiza la exactitud e integridad de la información financiera de las empresas, al exigirles que definan y mantengan controles internos adecuados sobre la información financiera.

Los componentes básicos de la ley SOX que las organizaciones deben cumplir incluyen evaluaciones de riesgos, actividades de control continuo, protección de la comunicación confidencial y monitorización de los controles internos sobre la información financiera. Estos componentes garantizan que las empresas cuenten con las medidas adecuadas para detectar y prevenir el fraude, las declaraciones erróneas y otras malas prácticas financieras que podrían dañar la reputación de la empresa, su estabilidad financiera y la confianza del público en general.

Ley de Privacidad del Consumidor de California (CCPA).

La CCPA es una ley de privacidad similar al RGPD, pero destinada a proteger la información personal de los residentes de California. Exige a las empresas que implementen medidas de seguridad razonables para proteger los datos personales. Para lograr su cumplimiento, se necesita mantener un inventario y realizar un mapeo de los datos, llevar a cabo evaluaciones de riesgos y controles de seguridad sólidos, elaborar planes de respuesta a incidentes y conservar las pistas de auditoría del cumplimiento de las directivas.

Ley Federal de Modernización de la Seguridad de la Información (FISMA)

La Ley de Gestión de la Seguridad de la Información Federal (FISMA) es una ley de Estados Unidos dirigida a las agencias federales con el fin de crear programas de seguridad de la información. La FISMA adopta un enfoque basado en el riesgo para la protección de datos, y define unas bases de seguridad mínimas que deben cumplir todas las agencias. El objetivo de la FISMA es proteger los sistemas de información y datos federales mediante cinco componentes fundamentales: categorización de la seguridad, evaluación de riesgos, controles de seguridad, monitorización continua y validación del cumplimiento.

Protección de Infraestructura Crítica de la Corporación de Fiabilidad Eléctrica de América del Norte (NERC CIP)

Los estándares de NERC CIP están diseñados para proteger la red eléctrica norteamericana de ciberataques. Se aplican a todas las organizaciones responsables del sistema eléctrico mayorista, incluidas las instalaciones de generación, los sistemas de transmisión y distribución y las empresas de servicios públicos. Sus componentes principales incluyen la gestión de riesgos, los controles de seguridad, los programas de respuesta a incidentes y la validación del cumplimiento.

Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF)

El NIST CSF es un conjunto completo de directrices y mejores prácticas para proteger los sistemas basados en la nube. Este marco ayuda a las organizaciones a evaluar y gestionar los riesgos de seguridad asociados a la computación en la nube a través de sus funciones principales: identificar, proteger, detectar, responder y recuperar. Estos pilares incluyen varios controles para gestionar eficazmente los riesgos de ciberseguridad en un entorno de nube.

Controles del sistema y de la organización 2 (SOC 2)

El marco SOC 2 incluye las directrices del Instituto Americano de Contadores Públicos Certificados (AICPA) para evaluar la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad de los proveedores de servicios en la nube.

Para cumplir con SOC 2, es necesario realizar una auditoría independiente de los sistemas y controles de un proveedor de servicios en la nube con el objetivo de certificar que cumple con los requisitos de SOC 2 en cuanto a las directivas y procedimientos, las evaluaciones de riesgos, los controles de seguridad y las auditorías independientes.

Certificación del modelo de madurez de ciberseguridad 2.0 (CMMC 2.0)

El CMMC fue promulgado por el Departamento de Defensa de EE. UU. (DoD) para garantizar que los contratistas y proveedores que trabajan con el DoD implementan las medidas de ciberseguridad adecuadas. Este marco se presenta en múltiples niveles en función del alcance de los controles de seguridad auditados de forma independiente implementados por los proveedores. Estos niveles se utilizan en los contratos del Departamento de Defensa para impedir que las organizaciones que no han alcanzado los niveles de referencia establecidos puedan participar en procesos de licitación.

El CMMC 2.0 incluye requisitos específicos para la seguridad de la nube en relación con los controles de seguridad en la nube, la validación de controles de terceros, la monitorización y la certificación del cumplimiento.

Marcos genéricos

Otros marcos, como COBIT 5 y COSO, proporcionan orientación sobre seguridad, pero no ofrecen orientación específica sobre la nube. Como estos marcos son más genéricos, aplicar sus consejos en materia de seguridad puede requerir un cierto nivel de adaptación para ajustarlos al entorno de la nube. Estos marcos comparten el foco sobre la evaluación de riesgos y vulnerabilidades para establecer los puntos de referencia de control y cumplir con las exigencias a nivel de cumplimiento.

Prácticas recomendadas

Asegurarse de que se están aplicando los controles adecuados para cumplir con los requisitos normativos es fundamental a la hora de seleccionar un marco de seguridad de la nube que se ajuste a las necesidades de tu empresa. Aunque cada marco puede incluir métodos únicos para proteger los recursos de la nube, existen algunas mejores prácticas estándar que todas las empresas deberían seguir:

• Desarrolla una estrategia de evaluación de riesgos para identificar posibles amenazas y vulnerabilidades, priorizar los esfuerzos de respuesta y establecer controles de seguridad adecuados que te defiendan frente a los riesgos.
• Aplica directivas y procedimientos que mitiguen los riesgos y garanticen el cumplimiento normativo.
• Implementa un sistema de monitorización para favorecer la detección temprana, impulsar una respuesta rápida a las amenazas y minimizar cualquier impacto deteniendo los ataques antes de que se agraven.

Las empresas deben revisar constantemente sus prácticas de cumplimiento para asegurarse de que reflejan los cambios normativos y responden a las nuevas amenazas de seguridad en su sector. Al implementar estas mejores prácticas, definirán un marco sólido de seguridad y privacidad con el que podrán proteger su entorno en la nube y cumplir los requisitos normativos.

CrowdStrike te ayuda a cumplir con la normativa vigente

CrowdStrike sabe que los marcos de cumplimiento y certificación son fundamentales para cualquier organización. CrowdStrike puede ayudarte a cumplir estos requisitos, y te da la seguridad de que tu negocio opera de manera segura y sin problemas. La validación y acreditación externas son de vital importancia para las organizaciones que confían en las capacidades y la tecnología de CrowdStrike para proteger sus datos y cumplir con la normativa.

Solo CrowdStrike ofrece las capacidades de detección y respuesta en la nube más completas del mundo, al tiempo que adapta la posición de seguridad y los esfuerzos de cumplimiento a los distintos sectores y normativas. CrowdStrike Falcon® Cloud Security tiene una de las coberturas de detección MITRE ATT&CK más altas, del 99 %, para entornos sin servidor, contenedores y cargas de trabajo en la nube, así como una solución gestionada de MDR y Threat Hunting en la nube 24/7 diseñada para cargas de trabajo y contenedores. Sus capacidades CNAPP incluyen tanto el escaneo de imágenes de contenedores en tiempo de ejecución como la protección en tiempo de ejecución que se integra por completo con los datos del plano de control. Además, obtendrás inteligencia de amenazas líder en el mercado totalmente integrada con la que podrás detectar y responder a las amenazas en tiempo real.

CrowdStrike Falcon® Cloud Security es la única plataforma de protección de aplicaciones nativas de la nube (CNAPP) que proporciona visibilidad y seguridad unificadas para entornos multinube e híbridos a través de una única plataforma y una implementación con un solo clic. Incorpora directivas de seguridad coherentes y ayuda a garantizar el cumplimiento en entornos locales, híbridos y multinube.