¿Es posible llevar seguridad, cumplimiento y control a la nube?
agosto 31, 2022

En los últimos años ha aumentado significativamente el uso de proveedores de servicios externos y la adopción de nuevas tecnologías como la nube, pudiendo conectarse e interactuar de multitud de formas. La nube (también computo de nube) es un nuevo modelo que facilita recursos de computación, se puede decir que es un nuevo modelo económico y no así una nueva tecnología.

Está claro que la nube es una de las tendencias corporativas identificadas con mayor desarrollo hasta la fecha, siendo adoptada por muchas organizaciones como solución a sus problemas de procesamiento de datos, pero nos hace preguntarnos lo siguiente:

  • ¿Cuáles son las implicaciones que conlleva?
  • ¿Se conocen los riesgos y quien los asume?
  • ¿Se hace lo suficiente por minimizar estos riesgos?
  • ¿Los controles puedo aplicar?
  • ¿Serán suficientes?

Seguridad en la nube

La Seguridad de nube abarca las tecnologías, los controles, los procesos y las políticas que se combinan para proteger sus sistemas, datos e infraestructura basados en la nube. Es un subdominio de la seguridad informática y, más ampliamente, de la seguridad de la información.

Es una responsabilidad compartida entre usted y su proveedor de servicios en la nube. Usted implementa una estrategia de seguridad en la nube para proteger sus datos, cumplir con las normas y proteger privacidad de sus clientes. Lo que a su vez lo protege de las ramificaciones de reputación, financieras y legales de las violaciones y pérdidas de datos.

La seguridad en la nube se compone de las siguientes categorías:

  • Seguridad de los datos
  • Gestión de identidades y accesos (IAM, por sus siglas en inglés)
  • Gobernanza (políticas de prevención, detección y mitigación de amenazas)
  • Planificación de la retención de datos (DR) y la continuidad del negocio (BC)
  • Cumplimiento legal

La seguridad en la nube puede parecer como la seguridad informática heredada, pero esta plataforma exige en realidad un enfoque diferente. Antes de profundizar en el tema, veamos primero qué es la seguridad en la nube.

El alcance total de la seguridad en la nube está diseñado para proteger lo siguiente, independientemente de sus responsabilidades:

  • Redes físicas: enrutadores, energía eléctrica, cableado, controles de clima, etc.
  • Almacenamiento de datos: discos duros, etc.
  • Servidores de datos: hardware y software informáticos de la red central
  • Plataformas de virtualización de equipos informáticos: software de máquinas virtuales, máquinas anfitrionas y máquinas invitadas
  • Sistemas operativos (OS): software que soporta todas las funciones informáticas
  • Middleware: gestión de la interfaz de programación de aplicaciones (API),
  • Entornos de ejecución: ejecución y mantenimiento de un programa en ejecución
  • Datos: toda la información almacenada, modificada y a la que se ha accedido
  • Aplicaciones: servicios tradicionales de software (correo electrónico, software de impuestos, paquetes de productividad, etc.)
  • Hardware de usuario final: ordenadores, dispositivos móviles, dispositivos de Internet de las cosas (IoT), etc.

Con la informática en la nube, la propiedad de estos componentes puede variar ampliamente. Esto puede hacer que no esté claro el alcance de las responsabilidades de seguridad del cliente.

7 riesgos de seguridad de la nube

Ya sea que esté o no operando en la nube, la seguridad es una preocupación para todos los negocios. Se enfrentará a riesgos como la denegación de servicio, el malware, la inyección SQL, las brechas de datos y la pérdida de datos. Todo ello puede tener un impacto significativo en la reputación y los resultados de su empresa.

Simplemente significa que hay que ser consciente del cambio en los riesgos para mitigarlos. Así que, echemos un vistazo a los riesgos de seguridad únicos de la computación en nube.

  • Pérdida de visibilidad: Sin los procesos correctos en su lugar, puede perder de vista quién está usando sus servicios en la nube. Incluyendo qué datos están accediendo, subiendo y bajando. Si no puede verlo, no puede protegerlo. Aumentando el riesgo de violación y pérdida de datos.
  • Violaciones del cumplimiento: Al pasar a la nube, se introduce el riesgo de violaciones de cumplimiento si no se tiene cuidado.
  • Falta de estrategia y arquitectura de seguridad en nube: Asegúrese de implementar una estrategia de seguridad e infraestructura diseñada para que la nube funcione en línea con sus sistemas y datos.
  • Amenazas internas: Este riesgo es derivado de malas prácticas, descuidos en configuraciones o administración.
  • Incumplimientos contractuales: Asegúrese de leer los términos y condiciones de sus proveedores de nubes. Incluso si tiene autorización para mover datos a la nube, algunos proveedores de servicios incluyen el derecho de compartir cualquier dato cargado en su infraestructura.
  • Interfaz de usuario de aplicaciones inseguras (API): Son las API de cara al exterior las que pueden introducir un riesgo de seguridad en la nube cualquier API externa insegura es una puerta de entrada que ofrece acceso no autorizado a los ciberdelincuentes que buscan robar datos y manipular servicios.
  • Desconfiguración de los servicios de la nube: La configuración errónea de los servicios de la nube es otro posible riesgo para la seguridad de nube. Con el aumento de la gama y la complejidad de los servicios, este es un problema creciente. La configuración errónea de los servicios en la nube puede hacer que los datos se expongan públicamente, se manipulen o incluso se eliminen.

Mejores prácticas de seguridad en la nube

  • Revise sus contratos de proveedores de nubes y los acuerdos de nivel de servicio: Puede que no piense en revisar sus contratos de nubes y SLA como parte de las mejores prácticas de seguridad, debería hacerlo. Los SLA y los contratos de servicio de la nube son sólo una garantía de servicio y recurso en caso de un incidente.
  • Entrene a sus usuarios: Sus usuarios son la primera línea de defensa en la computación segura en la nube. Su conocimiento y aplicación de las prácticas de seguridad puede ser la diferencia entre proteger su sistema o abrir una puerta para los ataques cibernéticos.
  • Seguridad a nivel de cuenta: Se le llama usuario raíz al usuario propietario de nuestra cuenta de Nube. A través de este usuario se puede crear más usuarios con diferentes privilegios. La mejor práctica es no usar este usuario cotidianamente; se recomienda utilizar en su lugar usuarios con privilegios de administrador, y en caso de ser necesario contar con los máximos privilegios. Es muy importante evitar compartir las credenciales del usuario raíz para asegurar su integridad y utilizar una contraseña altamente segura.
  • Autenticación Multifactor: La autenticación multifactor es una segunda capa de seguridad para acceder a nuestra cuenta de nube.
  • Principio del mínimo privilegio: Con base en esto, se establece el principio del Least Privilege Principle, el cual es una buena práctica de seguridad que propone que tanto usuarios como aplicaciones, obtengan justo los privilegios necesarios para realizar sus operaciones y no tengan más de lo necesario. Esto limita las acciones que pueden llevar a cabo las entidades y disminuye importantemente la posibilidad de que acciones sean realizadas sin autorización.
  • Aseguramiento de disponibilidad en servicios: De aquí surge la buena práctica de distribuir nuestras aplicaciones a través de más de una zona o región, que permite mantener la resiliencia en caso de fallas en uno de los data centers, incluyendo posibles desastres naturales o errores de sistema, y así evitar la pérdida de información que impacte críticamente en nuestro negocio.
  • Mantener la visibilidad de sus servicios en la nube: El uso de los servicios de nubes puede ser diverso y fugaz. Muchas organizaciones utilizan múltiples servicios de nube en una variedad de proveedores y geografías. Las investigaciones sugieren que los recursos de la nube tienen un promedio de vida de 2 horas.

Este tipo de comportamiento crea puntos ciegos en su entorno de nubes. Si no puede verlo, no puede asegurarlo.

  • Implementar la encriptación: La encriptación de sus datos es una mejor práctica de seguridad independientemente de la ubicación, crítica una vez que se mueve a la nube. Al utilizar los servicios en la nube, usted expone sus datos a un mayor riesgo al almacenarlos en una plataforma de terceros y enviarlos de ida y vuelta entre su red y el servicio en la nube.
  • Implementar una política de seguridad de contraseñas fuertes: Una fuerte política de seguridad de contraseñas es la mejor práctica, independientemente del servicio al que se acceda. La aplicación de la política más estricta posible es un elemento importante para evitar el acceso no autorizado.

Como requisito mínimo, todas las contraseñas deben requerir una letra mayúscula, una letra minúscula, un número, un símbolo y un mínimo de 14 caracteres. Obligar a los usuarios a actualizar su contraseña cada 90 días y configurarla de manera que el sistema recuerde las últimas 24 contraseñas.

  • Usar un Cloud Access Security Broker (CASB): El uso de un CASB se está convirtiendo rápidamente en una herramienta central para implementar las mejores prácticas de seguridad de nube. Es un software que se encuentra entre usted y su proveedor de servicios en la nube para extender sus controles de seguridad de nube.

Un CASB le ofrece un sofisticado conjunto de herramientas de seguridad de nube para proporcionar visibilidad de su ecosistema en la nube, hacer cumplir las políticas de seguridad de datos, implementar la identificación y protección de amenazas y mantener el cumplimiento.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comentarios recientes