Estimados amigos de Inseguros !!!
En el Tema 3 (Datos) de los Controles CIS, el control 3.9 se centra en cloud: cifrar el dato almacenado en servicios cloud. Y aquí el matiz es importante, porque en cloud es muy fácil creer que “ya va cifrado” y dar el tema por cerrado.
La realidad es que el control apunta a un nivel de exigencia mayor: cifrado sí, pero cifrado gobernado.
En muchos servicios cloud, el proveedor cifra por defecto. Perfecto. Pero cuando se trabaja con marcos de cumplimiento exigentes (y esto aparece mucho en organizaciones que miran ENS Alto o sectores regulados), se empieza a pedir otra cosa: cifrar con clave controlada por la organización, no por el proveedor. Esto lleva al mundo de KMS/Key Vault, claves gestionadas por el cliente (Customer-Managed Keys), y políticas de rotación.
Además, aparece la idea de rotación periódica de claves. No es “una vez y me olvido”. Es rotar (por ejemplo, cada seis meses) y tener procedimiento para ello. Esto no se hace por paranoia: se hace porque las claves son el “punto único” de confianza. Si se pierden o se exponen, el impacto es enorme.
El control también tiene un componente de diseño: no basta con cifrar “un storage”. Hay que saber dónde vive el dato: blobs, discos, bases de datos, backups, snapshots, logs… todo. En cloud, muchas fugas vienen por superficies laterales: un snapshot accesible, un backup sin control, un contenedor de logs expuesto. Si el cifrado y la clave no están bien gobernados, se repiten los mismos fallos de siempre pero con otra forma.
Y aquí vuelve el concepto que ya aparece en controles anteriores: no se trata de “tener cifrado”, se trata de que el cifrado sea demostrable, trazable y mantenido. Que exista decisión consciente sobre: qué se cifra, con qué clave, quién puede rotar, quién puede leer, y qué evidencias quedan cuando se toca algo.
Para aplicar esto bien en entornos Microsoft Azure, se aterriza con Key Vault, políticas de acceso, rotación, y el uso de claves gestionadas por el cliente en los servicios que lo soportan. Y cuando se combina con inventario y gobierno, el control se vuelve operable.
Para profundizar en estos temas con enfoque real (Azure, seguridad cloud, cifrado y gobierno de claves), en www.seguridadsi.com están los cursos de ciberseguridad orientados a profesionales.
Gracias por leerme !!!
