Cinco recomendaciones de seguridad para usuarios de la nube con poca experiencia / Por: Martin Hoz
¿Qué tienen en común Apple, Amazon y Microsoft?
Respuesta: Estos tres gigantes de la tecnología, considerados como los más importantes entre los proveedores de nube para computadoras, han sufrido la vergüenza de haber sido hackeados.
El incidente “celebgate” de Apple expuso fotos personales de celebridades usuarias de su iCloud y provocó encabezados nada agradables en los noticieros el año pasado. El proveedor de tecnología de Reino Unido, Code Spaces, fue obligado a salirse del negocio, también el año pasado, después de que algunos hackers trataron de chantajearlo y, por consiguiente, borraron datos cruciales de su servicio Web de Amazon almacenado en la nube. En 2013, un certificado SSL que había expirado en el servicio de nube de Microsoft Azure, les dio a los hackers la oportunidad de traerse abajo el Xbox Live y una serie de otros servicios de almacenamiento en nube.
Los riesgos de seguridad en la nube han incrementado, de hecho, según la firma de seguridad para nube Alert Logic, al comparar este año con el anterior los ataques alrededor del mundo han aumentado un 45%. Según Forrester Research, en los próximos cinco años, las empresas invertirán cerca de $2 billones de dólares para ajustar sus defensas en la nube.
Los usuarios de la nube que no tienen tanta experiencia, pueden ser los de mayor riesgo, simplemente porque no están familiarizados con el nuevo ambiente y la carga adicional de tener que batallar con una nueva forma de administrar a los usuarios, los datos y la seguridad.
Aquí están las cinco recomendaciones de seguridad que se deben seguir:
1. Conozca las áreas de la nube
Existen tres segmentos principales en el despliegue de cualquier nube –el proveedor de la nube, el proveedor de servicios de red y la empresa. Dado que la nube debería ser tratada como una extensión del centro de datos de la empresa, la pregunta es: ¿Puede un conjunto común de servicios y políticas de seguridad ser aplicado en los tres segmentos?, ¿Cuáles son las brechas de seguridad?
Durante la selección de su proveedor de nube, pregunte a los candidatos qué servicio de seguridad ofrecen y con qué otros proveedores de seguridad trabajan. La nube es un ambiente dinámico y requiere actualizaciones constantes a su arquitectura de seguridad para mantenerse al tanto de las amenazas más recientes. ¿Cómo puede defendernos el proveedor de nube contra nuevas explosiones de seguridad y vulnerabilidades de día-cero?
También averigüe dónde están las fronteras en el modelo de seguridad compartida que viene con el servicio de nube. Entienda la extensión de las responsabilidades de su proveedor de nube – y las que le competen a usted. En algunos servicios, como IaaS, es responsabilidad de la empresa asegurar sus aplicaciones y datos en la nube. Es, por lo tanto, importante saber lo que los dispositivos de seguridad y los proveedores de servicio de nube le ofrecen y/o permiten a la empresa hacer.
2. Nuevas apps, nuevas fortificaciones
¿Está listo para trasladar una aplicación a la nube? Antes de hacerlo, considere incluir nuevas formas de fortalecer las medidas de seguridad existentes que ya tiene alrededor de la autenticación de su aplicación y de los procesos de log-in.
Para proteger el acceso a sus aplicaciones en nube, deberá tener un esquema granular de acceso a la información. Puede hacerlo al bloquear los privilegios de acceso de acuerdo al puesto que ocupan sus empleados, posiciones jerárquicas y/o diferentes proyectos. Esto añadirá una capa adicional de protección en el caso de que alguien robe las claves de log-in de su personal.
El robo de cuentas puede sonar como algo que siempre pasa, pero esta antigua brecha ha sido señalada por la Alianza de Seguridad en la Nube como una de las principales amenazas permanentes para los usuarios. Para fortalecer su proceso de log-in, considere implementar una autenticación de dos factores, comprobación de la postura y usar contra señas una sola vez. Un buen consejo es requerirle al usuario cambiar su ID cada vez que entre al sistema.
3. Adopte la encriptación
Encriptar la información es uno de los más grandes aliados en la nube, y debería ser no negociable cuando se trata de transferir archivos y correos electrónicos. Aunque no previene atentados de hacking o robo de datos, puede proteger su negocio y salvarlo de fuertes multas regulatorias cuando el temido evento ocurra.
Pregunte a su proveedor de nube sobre los esquemas de cifrado de información. Averigüe cómo encripta los datos, si cuando están en descanso, en uso o en movimiento. Para entender qué tipo de información debe ser encriptada, ayuda saber dónde reside – ya sea en los servidores de su proveedor de nube, servidores de terceras compañías, laptops de empleados, computadoras de la oficina o memorias USB.
4. Luchando con lo virtual
Moverse dentro de la nube le permite a los negocios cosechar los beneficios de la virtualización, pero un ambiente virtual puede presentar retos a la protección de datos. El tema principal tiene que ver con la administración de seguridad y el tráfico en la esfera de alquiler múltiple y máquinas virtuales.
Los dispositivos físicos de seguridad típicos no están diseñados para manejar la información que está en la nube. Es aquí donde los dispositivos de seguridad virtual entran en acción, para asegurar el tráfico que fluye de una máquina virtual a otra. Estos dispositivos son construidos para manejar las complejidades de correr un gran número de aplicaciones o esferas de alquiler múltiple.
Por lo tanto, los dispositivos virtuales le permiten al negocio ejercer un fino control de seguridad sobre su información en la nube. Pregunte a su proveedor de nube cómo salvaguarda su ambiente virtual y qué tipo de dispositivos virtuales de seguridad está usando. Si usted está construyendo su propia nube privada o nube híbrida, tome en consideración incluir productos de seguridad virtual que se enfoquen en control granular.
5. No se quede en la oscuridad sobre Shadow TI
No faltan las anécdotas y reportes que señalan cómo el uso no autorizado de apps y servicios de nube o Shadow TI, están a la alza entre las empresas. La naturaleza no controlada de esto genera amenazas a la seguridad y un reto de gobernabilidad.
Su nueva aplicación de nube puede estar en riesgo gracias a esto. Visualice un escenario simple en el cual sus empleados usan sus smartphones para abrir un archivo. Es como si el teléfono hiciera una copia del archivo, el cual podría ser enviado a un destino de almacenamiento en línea no aprobado cuando el teléfono realice su rutina automática de respaldo. La seguridad de su corporación ha sido transferida a una ubicación no segura.
Tratar de prevenir el acceso a Shadow TI es poco probable, así como detener que se incremente en cualquier empresa. Es más efectivo educar a sus usuarios en el uso de la tecnología para manejar esa situación. La encriptación, el monitoreo de la red y las herramientas para la administración de seguridad pueden ayudarlo a defender su primera aplicación de nube contra los riesgos de Shadow TI.