Seguridad en la nube para analistas y científicos de datos confiados

Gracias por darme amor compartiendo en tu app favorita:

El analista de datos sabe una cosa con certeza: los datos nunca descansan. Y cuando hablamos de la nube, las amenazas tampoco. En un mundo donde todo lo que sube a la nube no necesariamente baja intacto, la seguridad de la nube y la criptografía se convierten en el chaleco salvavidas de las organizaciones.

Es más, un cuadro de mando sobre contrataciones puede perder 200 millones de euros por el camino, por alguna razón, pese a incorporar 500 contratos más en el último mes. ¿Explicación? La que le queramos dar hasta recurrir a las fuentes originales y verificar que nadie ha metido la mano.

Pero, ¿cómo navegar este complejo laberinto sin perder el rumbo?

Este artículo explora, con un toque de ironía pero también con una enorme dosis de realismo, cómo un científico de datos puede enfrentarse a los retos de seguridad en la nube. ¿Quién dijo que proteger datos es aburrido? No solo no es aburrido, es estresante y te ocupará casi tanto o más tiempo que un buen puñado de fórmulas con DAX.


El modelo de responsabilidad compartida: ¿compartimos o culpo al CSP?

La nube es como una casa de Airbnb: parte es responsabilidad del anfitrión (el proveedor de servicios en la nube o CSP) y parte del inquilino (tú). Este famoso «modelo de responsabilidad compartida» implica que el CSP asegura la infraestructura, pero los datos y su acceso seguro recaen en el cliente. Así que, si alguien hackea tu base de datos, no puedes simplemente culpar al CSP; revisa cómo gestionas tus contraseñas primero.

Y, para ello, hay que pasar por unos cuantos conceptos que como analistas debemos entender.

La criptografía no es magia

La criptografía es el guardián de los secretos en la nube. A través de algoritmos y claves, convierte tus datos en jerogíficos indescifrables para cualquiera sin permiso. ¿Pero cómo funciona?

Encriptación moderna: secretos basados en claves

En sus primeros días, la criptografía era como jugar al «teléfono descompuesto» con algoritmos simples. Hoy, la seguridad se centra en proteger las claves, no en esconder los algoritmos.

Como dijo Bruce Schneier, un reconocido experto en seguridad: “La criptografía es un arma poderosa. Pero una mala implementación es como cargarla al revés”.

Para entenderlo, un ejemplo práctico. AES-256, un éstandar de referencia en la criptografía, puede proteger tus datos como un fuerte medieval. Sin embargo, si almacenas la clave en un archivo llamado passwords.txt en tu escritorio, probablemente estás pidiendo un hackeo.

Una vez más, el problema no es la tecnología, eres t… son los pos-it.

Endurecimiento de la seguridad de la nube

El «endurecimiento» de la nube implica reforzar la seguridad desde todos los ángulos. Es un entrenamiento de alta intensidad para que tus sistemas no se desmoronen ante el más leve ataque.

Básicamente, es añadir una capa de seguridad tras otra, de tal manera que si se cae la primera el atacante aún encontrará otra nueva barrera que sobrepasar.

IAM: el portero digital

Y una de las primeras barreras es la gestión de acceso e identidad (IAM), que es el encargado de decidir quién entra y quién no. Es como ese portero de tu edificio de oficinas, que nunca duerme, siempre revisando que las credenciales sean válidas.

Hay muchas referencias al respecto, pero el artículo «IAM Best Practices in Cloud Environments» de Amazon Web Services sigue siendo uno de los mejores. Explora cómo implementar IAM de manera efectiva para minimizar riesgos de acceso no autorizado de manera comprensible y hablando para humanos.

Hipervisores: los que llevan las riendas

Si IAM es el portero, los hipervisores son los jefes de planta. Estos sistemas permiten que varias máquinas virtuales compartan el mismo hardware sin pelearse. Es un concepto esencial para la prestación de servicios y procesos en la nube.

Pero, cuidado: un «escape de VM» (virtual machine escape) es como si el chef se colara en el bar y decidiera cambiar el menú entero sin permiso.

Al fin y al cabo, como se ha comentado, una máquina virtual es como un ordenador, pero NO es un ordenador independiente. Convive, junto a otros equipos virtuales en la misma máquina física. Eso significa que al lado de tu byte puede estar el byte de tu vecino. Y solo hace falta saber cómo para dar el salto.

Línea de base: la regla de oro

Establecer una configuración inicial segura es el equivalente a construir una casa sobre cimientos sólidos. Sin ella, cualquier actualización futura podría ser como construir un rascacielos en arena.

Además, debe desarrollarse sobre una mentalidad del acceso mínimo indispensable. Para ello hay que gestionar a los usuarios, sus permisos y sus acceso (darle al portero -IAM- las herramientas necesarias para que trabaje).

Borrado criptográfico: un truco elegante

¿Qué haces cuando ya no necesitas tus datos? En la nube, destruirlos no es tan simple como tirar papeles al triturador. Con el borrado criptográfico, destruyes las claves de encriptación, dejando los datos inútiles y fuera del alcance de los curiosos.

Los analistas y científicos de datos son como niños, o niñas. Los datos y los procesos son sus juguetes. No es raro encontrar profesionales que consideran «suyo» todo el proyecto para el que han sido contratados. Y no es raro encontrar quién olvida el último paso de todo: destruir lo que ya no tiene fin ni uso. Guardarse una copia, por si acaso, para el futuro, por si lo tal vez, quién sabe… en un ordenador de casa o en una cuenta de Drive personal… está a la orden del día.

Pero la destrucción y borrado siguen formando parte del proceso. Está al final. Es lo último de lo último. Y hay que pensar tres veces antes de darle al botón. Pero es un paso que es obligatorio.

Hay mucha literatura al respecto, pero Cryptographic Erasure: Moving Beyond Hard Drive Destruction de Dark Reading puede ser un buen punto de referencia para empezar a profundizar sobre el tema, además de explicar por qué es el procedimiento más seguro para la eliminación y borrado de datos pasa por la encriptación.


Lo que debes hacer para evitar pesadillas

A estas alturas, podrías estar pensando: «Muy bien, pero ¿qué hago con todo esto?». Porque ya bastante tienes con pelearte con CiberCentro para que te dé acceso a los datos del Servicio de la Consejería de Turno o con el Director de Informática de la empresa que te contrata o con el administrativo y sus hojas de cálculo, que son suyas y solo suyas.

Ahora, además, debes tener en cuenta la seguridad de esos datos.

Aquí tienes una guía rápida de los elementos claves que hemos mencionado y en los que tendrás que profundizar para poder implementarlos:

  • Invierte en IAM. No uses «1234» como contraseña. Configura autenticación multifactor (MFA) y aplica el principio de mínimo privilegio.
  • Crea una buena línea base. Establece configuraciones iniciales seguras y documenta todo para futuras referencias.
  • Cifra siempre tus datos. Tanto en tránsito como en reposo, utiliza encriptación fuerte y mantén tus claves seguras. CloudHSM es una opción excelente para organizaciones grandes pero igualmente hay soluciones para proyectos u organizaciones pequeñas o con bajo presupuesto, además de open source.
  • Audita y monitoriza. No te fíes de un CSP (quién te presta el servicio o el recurso en la nube) ciegamente. Solicita auditorías y asegúrate de que cumpla con normativas como FedRAMP. (Que sí, que esto es para los yankis. Y puede ser muy tontorrones. Pero para el tema de ciberseguridad siguen siendo la referencia a seguir.)
  • Planea el final del ciclo de vida. Cuando los datos ya no sean necesarios, utiliza el borrado criptográfico para eliminarlos de forma segura.

Lo que debes recordar, sí o sí

La seguridad de la nube no es solo una preocupación del equipo de TI; también es clave para el científico de datos que analiza información crítica. Con IAM, hipervisores bien configurados y una criptografía adecuada, como hemos visto, (casi) puedes dormir más tranquilo.

Pero, recuerda:

Un buen sistema de seguridad es tan fuerte como el más débil de sus eslabones. Y a menudo, ese eslabón somos nosotros, los humanos.

¡Mantente vigilante y cifrado!