Aunque los dispositivos digitales con los que solemos trabajar cuentan con su propio sistema de almacenamiento, debido a que generamos numerosa información, al cabo de un tiempo precisamos de almacenamiento externo. Este almacenamiento externo puede seguir siendo físico, como son los pendrives, pero desde hace años existe la posibilidad de almacenar toda esa información que generamos en la llamada nube, que es un modelo de almacenamiento de datos basado en redes de ordenadores donde los datos se encuentran alojados en espacios de almacenamiento virtual que suelen ser aportados por terceros.
Desde que se popularizó su uso, cada vez más personas, e incluso negocios, se decantan por este modelo de almacenamiento ya que, al existir hasta cuatro infraestructuras distintas, cada una presenta características adaptables a las necesidades específicas de cada usuario. Sin embargo, el subir toda la información a la red conlleva sus riesgos, por lo que el Centro Criptológico Nacional publicó recientemente la Guía sobre arquitecturas de seguridad en la nube con el objeto de definir las medidas de seguridad asociadas a las fases de diseño e implementación de una arquitectura de seguridad para sistemas de información que ofrezcan servicios en la nube. En esta guía, las definiciones vienen dadas desde el punto de vista del cliente, por lo que debe implementar las medidas que se definan bajo su responsabilidad y exigir al proveedor cuando contrata el servicio que cumpla con las definidas bajo responsabilidad de éste.
La guía es bastante útil incluso para aquellas personas que, aunque la utilicen, no sepan exactamente qué están utilizando. Y es que, tras exponer sus propósitos, explica los conceptos básicos de servicios en la nube, definiendo esos cuatros infraestructuras mencionadas anteriormente (la nube pública, la nube privada, la nube híbrida y la comunitaria). Así, además de estas definiciones, el apartado 8 también contiene otras relevantes en relación con la seguridad en la nube, tales como qué se entiende por información roja, información negra, o información sensible.
Los otros apartados presentes en la guía se refieren a los objetivos de seguridad para la arquitectura objeto de diseño que se deben alcanzar. Recordemos que la arquitectura se refiere a los entornos de TI (componentes de hardware, red y software que incluyen ordenadores, servidores, enrutadores, aplicaciones, microservicios y tecnologías móviles) que separan, agrupan y comparten los recursos flexibles a través de la red. Y por supuesto, además de esos objetivos se proponen medidas de seguridad para alcanzarlos, que podrán estar asociados al cliente, al proveedor, o a ambos. Finalmente, la guía cuenta con un apartado dedicado a diferentes tipos de arquitecturas, junto con sus principales características técnicas.
Puedes encontrar y descargar la guía AQUÍ.