Descripción del modelo de responsabilidad compartida

  • 3 minutos

En organizaciones que solo ejecutan hardware y software local, la organización es un 100 % responsable de la implementación de la seguridad y el cumplimiento. Con los servicios basados en la nube, esa responsabilidad se comparte entre el cliente y el proveedor de la nube.

El modelo de responsabilidad compartida identifica qué tareas de seguridad administra el proveedor de la nube y qué tareas de seguridad administra usted como cliente. Igualmente, las responsabilidades varían en función de dónde se hospede la carga de trabajo:

  • Software como servicio (SaaS)
  • Plataforma como servicio (PaaS)
  • Infraestructura como servicio (IaaS)
  • Centro de datos local

El modelo de responsabilidad compartida hace que las responsabilidades resulten claras. Cuando las organizaciones realizan migraciones a la nube, algunas responsabilidades se transfieren al proveedor de la nube y otras a la organización del cliente.

En el diagrama siguiente se muestran las áreas de responsabilidad entre el cliente y el proveedor de la nube, en función de dónde se encuentran los datos.

Diagram showing the Shared responsibility model responsibilities by type.

  • Centros de datos locales. En un centro de datos local, usted es el responsable de todo, desde la seguridad física hasta el cifrado de la información confidencial.

  • Infraestructura como servicio (IaaS). De todos los servicios en la nube, IaaS requiere que el cliente en la nube se encargue de la mayor parte de la administración. Con IaaS, se usa la infraestructura informática del proveedor de la nube. El cliente en la nube no es responsable de los componentes físicos, como los equipos y la red, ni de la seguridad física del centro de datos. Sin embargo, el cliente en la nube sigue siendo responsable de los componentes de software que se ejecutan en esa infraestructura informática, como los sistemas operativos, los controles de red, las aplicaciones y la protección de datos.

  • Plataforma como servicio (PaaS). PaaS proporciona un entorno para compilar, probar e implementar aplicaciones de software. El objetivo de PaaS es ayudarle a crear una aplicación rápidamente sin tener que administrar la infraestructura subyacente. Con PaaS, el proveedor de la nube administra el hardware y los sistemas operativos, y el cliente es responsable de las aplicaciones y los datos.

  • Software como servicio (SaaS). El proveedor en la nube se encarga de hospedar y administrar SaaS para el cliente. Normalmente, esto se licencia a través de una suscripción mensual o anual. Microsoft 365, Skype y Dynamics CRM Online son ejemplos del software de SaaS. El cliente en la nube solo debe administrar el mínimo de SaaS. Asimismo, el proveedor de la nube es responsable de administrar todo, excepto los datos, los dispositivos, las cuentas y las identidades.

En cuanto a todos los tipos de implementación en la nube, usted es el propietario de sus datos e identidades como cliente de la nube. Usted es responsable de proteger la seguridad de los datos y las identidades, así como de los recursos locales, incluidos los dispositivos móviles, los equipos, las impresoras, etc.

En resumen, las responsabilidades que siempre retiene la organización del cliente incluyen:

  • La información y los datos.
  • Los dispositivos (móviles y equipos).
  • Las cuentas e identidades.

La ventaja del modelo de responsabilidad compartida es que las organizaciones tienen claras sus responsabilidades y las del proveedor de la nube.