ENISA ha elaborado una guía de seguridad y creado una herramienta de seguridad para orientar a las PYME sobre los riesgos y oportunidades de la computación en nube para la seguridad de la información en red. Es importante que las PYME no solo se fijen en los riesgos de la computación en nube para la seguridad de las redes y de la información, sino también en las oportunidades para mejorar su seguridad de las redes y de la información.
Herramienta de seguridad en la nube para PYME de ENISA
La Herramienta de Seguridad en la Nube para PYME es la materialización de la guía en una herramienta en línea útil para las PYME. Con esta herramienta, el usuario puede evaluar los riesgos y oportunidades de seguridad y generar una lista de preguntas de seguridad relacionadas con sus necesidades. Este conjunto de preguntas puede dirigirse a los proveedores de la nube para ayudar a la PYME a tomar una decisión informativa a la hora de contratar servicios en la nube: el usuario puede imprimir formularios vacíos para utilizarlos durante la contratación. Los resultados de la herramienta se adaptan a cada PYME en función de sus prioridades y requisitos.
SME Cloud Security Tool ofrece la funcionalidad de calificar los riesgos y oportunidades y generar una lista de preguntas de seguridad para comprender las principales características del servicio en nube que se está implantando. La herramienta también puede calcular y visualizar los riesgos y oportunidades, y consultar los resultados en un conjunto personalizado de preguntas de seguridad.
A continuación, podrá puntuar las oportunidades y los riesgos de seguridad en función de los requisitos de su organización.
Como cada PYME es diferente, no todas estas oportunidades de seguridad para los servicios en la nube son igual de importantes para todos ustedes. Esta herramienta le permite seleccionar la calificación o clasificación de las oportunidades más relevantes para usted como PYME utilizando la siguiente escala:
- Pequeña oportunidad: Como PYME, podría aprovechar esta oportunidad, pero los beneficios serían limitados.
- Oportunidad media: Como PYME, debería aprovechar esta oportunidad, ya que los beneficios serían significativos.
- Gran oportunidad: Como PYME, debe aprovechar esta oportunidad, ya que los beneficios serían cruciales.
Las ocho amenazas más frecuentes a la ciberseguridad en 2022 en la UE |
Escenario 1: PYME que utiliza SaaS
ConsultLess es una pequeña empresa de consultoría de la UE que cuenta con 20 empleados (en su mayoría expertos jurídicos y en gestión). Uno de los empleados es socio y también el Director de Informática (CIO) de la empresa. Ocasionalmente, el CIO paga a consultores por asesoramiento o soporte informático. ConsultLess decide adquirir software ofimático como servicio (SaaS) para uso de sus empleados: el servicio en la nube ofrece almacenamiento/edición de documentos, correo electrónico y calendario. Este servicio en la nube debe sustituir a un servidor de correo interno y al software ofimático instalado en los ordenadores.
En este escenario, las tareas de seguridad que llevará a cabo el proveedor de la nube son:
- Gestión del hardware y las instalaciones, incluida la seguridad física, la alimentación, la refrigeración, etc;
- Gestión de los sistemas operativos del servidor y del servidor de aplicaciones, incluido el desarrollo, despliegue, aplicación de parches, actualización, supervisión, comprobación de registros, etc. Por ejemplo, es responsabilidad del proveedor parchear a tiempo los sistemas operativos del servidor;
- Gestionar el software de aplicación, incluyendo desarrollo, parcheado, actualización, monitorización y comprobación de registros, etc. Por ejemplo, es responsabilidad del proveedor corregir los fallos del software de oficina;
- Gestionar las actualizaciones de software y datos.
El cliente, ConsultLess, sólo es responsable de entregar cuentas a sus empleados, revocar cuentas cuando los empleados se van, restablecer contraseñas, etc.
La mayoría de las tareas de seguridad se externalizan al proveedor. El cliente, una vez que el servicio ha sido adquirido y está en funcionamiento, tendrá pocas tareas de seguridad que realizar. Hay que subrayar que la responsabilidad de la seguridad no puede «externalizarse». Si algo va mal con el software de oficina que ConsultLess ha adquirido, provocando que se filtren datos sensibles sobre sus clientes, entonces ConsultLess será en primer lugar responsable de los daños. Para ConsultLess, por tanto, la claridad sobre las tareas y responsabilidades de seguridad es una consideración crucial en el proceso de contratación.
Deja una respuesta