La computación en la nube es la prestación de servicios informáticos como servidores, almacenamiento, bases de datos, redes, software, análisis e inteligencia a través de Internet. Los servicios en la nube ofrecen muchos beneficios, como escalabilidad, flexibilidad, rentabilidad e innovación. Sin embargo, también plantean importantes riesgos de seguridad, especialmente cuando se trata de acceder y gestionar datos y activos confidenciales en entornos de producción en la nube.
Un entorno de producción en la nube es donde los usuarios finales alojan y acceden a las aplicaciones y los datos reales en vivo. Es diferente de un entorno de desarrollo o prueba en la nube, donde las aplicaciones y los datos aún están en desarrollo o prueba y no están disponibles para el público. Un entorno de producción en la nube requiere un alto nivel de seguridad y confiabilidad para garantizar que las aplicaciones y los datos estén protegidos contra el acceso, modificación, eliminación o divulgación no autorizados.
Una de las formas de lograr este nivel de seguridad es implementar una verificación de autorización de seguridad para cualquier persona que necesite acceder o administrar entornos de producción en la nube. La verificación de autorizaciones de seguridad es un proceso de verificación de antecedentes que evalúa la idoneidad de una persona para tener acceso a información, activos o equipos confidenciales. Es necesaria una verificación de autorización de seguridad para protegerse contra amenazas de servicios de inteligencia hostiles, amenazas a la seguridad cibernética, terroristas y otros grupos de presión.
Niveles de verificación de autorización de seguridad#
Existen diferentes niveles de verificación de autorizaciones de seguridad en el Reino Unido, según la naturaleza y la sensibilidad de la información, los activos o los equipos involucrados. Los niveles principales son:
- Norma básica de seguridad del personal (BPSS): no se trata de una autorización de seguridad formal, sino de una evaluación previa al empleo de personas con acceso a activos gubernamentales. Implica controles de identidad, historial laboral, situación migratoria y antecedentes penales no utilizados.
- Verificación de acreditación (AC): esto es para personas que requieren acceso sin escolta al área restringida de seguridad de los aeropuertos del Reino Unido o que brindan capacitación en seguridad de la aviación del Reino Unido. Implica la verificación de la identidad, el historial laboral, los antecedentes penales no utilizados y una verificación de los registros en poder del gobierno del Reino Unido o sus agencias.
- Control antiterrorista (CTC) / Nivel 1B: esto es para personas que requieren acceso a activos OFICIALES del Reino Unido y acceso ocasional a activos SECRETOS del Reino Unido o que trabajan en áreas donde se puede escuchar información SECRETA y MÁXIMA SECRETA. Implica controles de identidad, historial laboral, antecedentes penales, situación financiera y circunstancias personales.
- Control de seguridad (SC): esto es para personas que requieren un acceso sustancial no supervisado a activos SECRETOS del Reino Unido o acceso ocasional a activos SECRETOS SUPERIORES del Reino Unido. Implica las mismas comprobaciones que CTC más una verificación de referencia crediticia y una verificación de los registros en poder del MI5.
- Verificación desarrollada (DV): esto es para personas que requieren un acceso sustancial sin supervisión a activos TOP SECRET del Reino Unido o trabajan en puestos relacionados con la inteligencia. Implica los mismos controles que SC más una entrevista detallada con un oficial de investigación y consultas con los árbitros.
Cómo solicitar o renovar la verificación de autorización de seguridad#
Para solicitar o renovar la verificación de autorización de seguridad, necesita un patrocinador que suele ser su responsable de recursos humanos/personal o el controlador de seguridad de la empresa. Su patrocinador debe confirmar que su función requiere una verificación de autorización de seguridad y que ha realizado la verificación BPSS (a menos que usted se esté sometiendo a la verificación AC). Luego, su patrocinador creará su solicitud de autorización y usted recibirá un enlace para completar un cuestionario de seguridad en línea.
El cuestionario de seguridad le pedirá información personal como su nombre, fecha de nacimiento, dirección, nacionalidad, educación, historial laboral, situación financiera, antecedentes penales, viajes al extranjero y contactos. Debe responder todas las preguntas con honestidad y proporcionar los documentos de respaldo cuando sea necesario. También debe dar su consentimiento para que las autoridades pertinentes verifiquen su información.
Después de enviar su cuestionario de seguridad, es posible que un oficial de investigación se comunique con usted para realizar más consultas o realizar una entrevista. El oficial de investigación le hará preguntas sobre sus antecedentes, estilo de vida, comportamiento y actitudes para evaluar su confiabilidad, confiabilidad y lealtad. Debe cooperar plenamente con el funcionario de investigación de antecedentes y proporcionar cualquier información o documento adicional que solicite.
La decisión sobre la verificación de su autorización de seguridad la tomará el propietario del riesgo, que suele ser su patrocinador o su superior directo. La decisión se basará en la información recopilada durante el proceso de investigación y el nivel de riesgo involucrado en su función. Su patrocinador o el portal del Servicio de investigación de seguridad nacional (NSVS) le notificarán el resultado.
Si se le concede la verificación de autorización de seguridad, debe cumplir con las condiciones de su autorización, como informar cualquier cambio en sus circunstancias personales o cualquier incidente que pueda afectar su idoneidad. También debe someterse a revisiones periódicas de su autorización según el nivel y la duración de su autorización.
Si se le niega la verificación de autorización de seguridad o si su autorización es revocada o rebajada, tiene derecho a apelar la decisión dentro de los 28 días posteriores a la notificación. Puede apelar escribiendo al Equipo de Apelaciones de NSVS explicando por qué no está de acuerdo con la decisión y proporcionando cualquier evidencia nueva que respalde su caso. Su apelación será considerada por un panel independiente que confirmará o anulará la decisión.
La verificación de autorizaciones de seguridad es una parte vital para garantizar la seguridad y la integridad de los entornos de producción en la nube. Ayuda a evitar el acceso no autorizado, la modificación, la eliminación o la divulgación de datos y activos confidenciales en la nube. También ayuda a proteger la seguridad nacional y los intereses del Reino Unido y sus aliados.
Si trabaja en un rol que requiere acceso o administración de entornos de producción en la nube, debe conocer los niveles, procesos y responsabilidades de la verificación de autorizaciones de seguridad. También debe estar preparado para someterse a una verificación de autorización de seguridad y mantener su autorización durante todo su empleo.
La verificación de las autorizaciones de seguridad no es garantía de confiabilidad futura y todas las autorizaciones se mantienen bajo revisión para garantizar que se mantenga el nivel necesario de seguridad. Siempre debe actuar de manera profesional, ética y legal e informar cualquier inquietud o incidente de seguridad a su patrocinador o controlador de seguridad.