Descubre Cloud Security Audit

Cloud Security Audit

Cloud Security Audit consiste en un auditoría que analiza las configuraciones de la infraestructura en la nube desde el punto de vista de la seguridad para asegurar los estándares de protección necesarios en estas plataformas y poner en el punto de mira las configuraciones que podrían suponer un riesgo para el cliente, describiendo el problema, señalando los recursos afectados y ofreciendo soluciones para su mitigación.

Para ello revisamos la configuración de cientos de elementos que forman la infraestructura, incluyendo controles de acceso, roles y permisos, sistemas de almacenamiento, componentes de red o instancias desplegadas, entre otros.

Protege ahora tu infraestructura cloud

Cuidado, la ciberseguridad en la nube es responsabilidad tuya

Los proveedores de Cloud trabajan bajo un «modelo de responsabilidad compartida», donde las empresas deben tomar su responsabilidad en materia de ciberseguridad. La responsabilidad es distinta según si tienes un modelo IaaS, PaaS y SaaS, a continuación mostramos las responsabilidades de cada parte cuando lo que contratas es la infraestructuras Cloud, como ocurre con AWS, Microsoft Azure, Google Cloud, etc:

Responsabilidad del proveedor de tu Cloud

Parte física de la infraestructura

Fallos en dispositivos
Accesos físicos
Caídas de red
Otros aspectos físicos de la infraestrustura

* Estas responsabilidades aplican en los servicios «Infraestructure as a Service IaaS» en este enlace puedes ver la responsabilidad que aplica en las infraestructuras PaaS y SaaS.

Tu responsabilidad como cliente Cloud

Parte virtual de la infraestructura

Control de accesos e identidades
Configuraciones de sistemas operativos, redes y firewalls
Datos almacenados por el cliente
Cifrado de la información en tránsito o en reposo
Otros aspectos referentes al uso del Cloud

* Estas responsabilidades aplican en los servicios «Infraestructure as a Service IaaS» en este enlace puedes ver la responsabilidad que aplica en las infraestructuras PaaS y SaaS.

¿En qué se diferencia una auditoría de seguridad Cloud de un pentest de infraestructura?

El enfoque entre ambos casos es distinto, mientras el pentest de infraestructura se centra en los activos visibles desde el exterior, los recursos expuestos y cómo pueden suponer un riesgo para la infraestructura, la auditoría de seguridad cloud se basa en al revisión de todas las configuraciones, medidas de seguridad, puertos abiertos, permisos, etc.

Esta última también informa de los riesgos que tiene la infraestructura cloud, no ataca a la infraestructura, aunque en ninguno de los dos casos supone un riesgo real.

Contacta con un especialista en seguridad cloud

Los cientos de opciones para configurar entornos Cloud hacen que un pequeño descuido en alguna opción desencadene amenazas latentes.

¿Qué consigues analizando tu plataforma con Cloud Security Audit?

s

Identificar riesgos y vulnerabilidades



Conocer el impacto de las vulnerabilidades explotables



Obtener información de remediación clara y procesable



Determinar cómo aprovechar cualquier acceso obtenido a través de la explotación



Obtener las mejores prácticas para mantener la seguridad

Asesoramiento sobre seguridad en la nube

¿En qué plataformas analizamos la seguridad en la nube?

Amazon AWS

Microsoft Azure

Google Cloud

Oracle Cloud

Alibaba Cloud

Análisis de seguridad Cloud para certificaciones

Cloud Security Audit dispone de versiones específicas para adaptarse a las siguientes certificaciones:

* Nuestro equipo está trabajando en nuevas ciertificaciones que se verán incorporadas próximamente. Si requieres un pentest cloud en alguna plataforma que no aparece, consulta a nuestros especialistas.

Contacta para analizar tu infraestructura con Cloud Security Audit

Preguntas frecuentes sobre Cloud Security Audit

¿Qué responsabilidad tiene el proveedor Cloud en cada tipo de infraestructura (IaaS, PaaS, SaaS)?

En cada tipo de servicio cloud el proveedor tiene unas responsabilidades referentes a ciberseguridad u otra, a continuación indicamos los distintos casos que existen:

Infrastructure as a Service (IaaS): El proveedor se responsabiliza del equivalente de la capa física.
Platform as a Service (PaaS): Incluye también el Sistema Operativo y entorno de ejecución.
Software as a Service (SaaS): El proveedor se responsabiliza de todos los niveles cubiertos por la aplicación, incluyendo los datos.

¿Qué no cubre la plataforma Cloud y es responsabilidad de la empresa?

Por normal general, en ninguno de los casos, las distintas plataformas Cloud cubren:

Control de accesos e identidades.
Configuraciones de sistemas operativos, redes y firewalls.
Datos almacenados por el cliente.
Cifrado de la información en tránsito o en reposo.
etc.

Tras realizar una auditoría de seguridad Cloud, ¿estoy protegido contra futuras amenazas?

La estructura de las empresas no suele ser fija, sino que evoluciona continuamente con actualizaciones, cambios en el sistema, nuevos procesos y protocolos. Debido a esto pueden surgir nuevas brechas de seguridad que no existían en el momento en el que realizó la auditoría, por lo que recomendamos realizar auditorías de forma periódica.

¿Cada cuánto tiempo es recomendable realizar una auditoría de seguridad en la nube?

El periodo recomendado varía en función de la frecuencia con la que se realicen cambios en la plataforma, si sobre el desarrollo alojado en la plataforma se aplican constantemente actualizaciones y mejoras o modificaciones de los usuarios, se requiere una frecuencia mucho mayor que si el desarrollo es estático y no recibe prácticamente ninguna modificación.

Desde que se inicia el proyecto de Cloud Security Audit, ¿en qué plazo recibiré el informe?

El tiempo varía en función de lo que abarque la auditoría, pero generalmente el cliente recibe el informe en el plazo aproximado de una semana desde el inicio de la auditoría.

¿Existe algún riesgo al realizar la auditoría de seguridad en la nube?

No, nosotros solamente tenemos permisos de lectura en la infraestructura del cliente, por lo que ninguna acción que realicemos afecta al servicio.

Sí se encuentran vulnerabilidades, ¿será pública esa información?

No, Sofistic siempre garantiza la confidencialidad de los datos y se tratan con rigurosas políticas de privacidad, por lo que solo el cliente podrá disponer de los datos obtenidos en la auditoría de seguridad de la nube.

Tengo una empresa pequeña, ¿debería realizar un auditoría de seguridad a mis servicios en la nube?

Los ciberataques afectan de igual forma a empresas grandes y pequeñas, además las empresas pequeñas suelen tener menos recursos para resolver afrontar los ciberataques una vez han ocurrido, por lo que es recomendable que apliquen medidas preventivas cuanto antes. Lo que sí que suele ocurrir es que las pequeñas empresas realicen menos cambios sobre el desarrollo alojado en la nube, en ese caso requerirá realizar el Pentest Cloud con menos frecuencia.

Si no tengo un equipo de ciberseguridad en la empresa, ¿cómo puedo solucionar las vulnerabilidades detectadas?

En el informe, además de las vulnerabilidades clasificadas por criticidad y la explicación de estas, también indicamos cómo se deben solucionar. Además también disponemos de un equipo técnico que para en la resolución de las vulnerabilidades.

¿Qué precio tiene un Cloud Security Audit?

El precio varía en función del alcance del proyecto, dado que tanto los parámetros como la infraestructura desplegada son muy distintos en cada proyecto (aún siendo en la misma plataforma). Si quieres obtener un presupuesto sin compromiso puedes contactar con nuestros especialistas.

¿Qué recibirá el cliente?

Nuestros técnicos realizarán un amplio conjunto de pruebas sobre los diferentes servicios configurados en el proveedor cloud para intentar identificar posibles riesgos para el cliente.

De entre todos los fallos identificados se realizarán tareas de filtrado y discriminación de falsos positivos y se entregará al cliente un informe que constará de un resumen ejecutivo, un listado de fallos con sus respectivos riesgos, marcados desde “Bajo” a “Crítico” para los de más alto riesgo.

Además, por cada incidente se ofrecerá una descripción detallada del problema que ayude a visibilizar el impacto, se ofrecerán soluciones para mitigar el riesgo y se identificará a los recursos afectados.

¿Tienes alguna duda adicional? Consulta sin compromiso a nuestros especialistas.

Otros tipos de Auditorías de Seguridad

Pentest

Un pentest consiste en una auditoría de seguridad informática en la que se ataca atacando a los sistemas de la empresa por las distintas brechas detectadas, analizando hasta dónde podría acceder un atacante real.

Más información

Auditoría de Código Fuente

En una Auditoría de Código Fuente evaluamos el grado de seguridad del código fuente de las aplicaciones utilizadas o desarrolladas por su empresa en busca de vulnerabilidades que podrían ser explotadas por los atacantes.

Más información

Auditoría de Ingeniería Social

A través de esta auditoría se trata de obtener información confidencial de los propios empleados de la empresa utilizando las mismas metodologías que utilizan los ciberdelincuentes para extraer información sin que el empleado sea consciente de que está comprometiendo a la empresa.

Más información