La Respuesta ante Incidentes (IR) es fundamental para la gestión en seguridad de la información. Existe riesgo de ataque independientemente del nivel de detalle en la planificación y preparación. Toda organización debe decidir como gestionar apropiadamente los incidentes en seguridad al migrar hacia la nube.
La computación en la nube presenta una gran oportunidad para quienes responden ante incidentes sean más eficientes. Los sistemas para vigilancia continua en la nube inician el manejo de incidentes con mayor rapidez, y proporcionan un plan más directo de acción. Las tecnologías para virtualización y la elasticidad inherente a las plataformas en la nube pueden permitir una contención y recuperación más eficientes y eficaces, con menos interrupciones del servicio comparado con tecnologías más tradicionales.
En un entorno de Infraestructura como Servicio (IaaS), un mayor grado de responsabilidad y capacidad para detectar y responder ante incidentes de seguridad, usualmente recae en el cliente. Sin embargo incluso en IaaS existen dependencias significativas sobre el proveedor de la nube. Los datos de hosts físicos, dispositivos de red, servicios compartidos, y dispositivos de seguridad como firewalls deben ser entregados por el proveedor de la nube. Algunos proveedores ya proporcionan la capacidad de entregar esta información hacia sus clientes, y los proveedores de servicios en seguridad gestionada anuncian soluciones basadas en la nube para recibir y procesar este tipo de datos.
Con configuraciones de Infraestructura como Servicio, los cuales tienen incidentes a nivel de software, un cliente puede realizar investigaciones forenses de sus propias instancias virtuales, pero no serán capaces de investigar los componentes de red controlados por el proveedor de la nube.
Las actividades forenses estándar, como revisión de la actividad de red, acceso hacia instantáneas, o la creación de una nueva imagen sobre el disco duro, requieren el soporte del proveedor de la nube para ser exitoso. Ante los incidentes de seguridad en servicios de plataforma y software causados por la infraestructura y hardware subyacentes, el cliente de la nube depende casi completamente sobre soporte analítico del proveedor de la nube. Las roles y responsabilidades en Respuesta ante Incidentes deben acordarse en los SLAs.
Fuentes:
https://www.cisa.gov/topics/cybersecurity-best-practices/organizations-…