El uso de servicios en la nube sigue en una trayectoria ascendente; en el Reino Unido, de hecho, la nube es la opción preferida cuando las organizaciones adquieren nuevos servicios de TI. Las organizaciones están migrando a la nube para mejorar la seguridad, la confiabilidad y la eficiencia de su infraestructura de TI mientras alivian la carga del personal, algo que es particularmente valioso si se considera la escasez actual de habilidades en la industria.
Una de las mayores ventajas de aprovechar la nube son los beneficios de seguridad que ofrece. Por ejemplo, las empresas que implementan un enfoque de nube híbrida pueden utilizar entornos de nube pública rentables y al mismo tiempo almacenar sus datos confidenciales en un entorno de nube privado seguro.
Sin embargo, las organizaciones deben tener cuidado de delinear dónde terminan las responsabilidades de seguridad de los proveedores de servicios en la nube y dónde comienzan las propias, mientras que la naturaleza expansiva de la infraestructura en la nube aumenta la superficie de ataque potencial de una empresa.
De hecho, hay una lista de verificación de seguridad que toda empresa que aprovecha la infraestructura de la nube debe cumplir para garantizar que su seguridad, tanto digital como física, esté a la altura.
1 Cifrado
El cifrado, que consiste en convertir los datos a un formato ilegible antes de transferirlos o almacenarlos en la nube, es una de las medidas más eficaces para proteger los datos. De esta manera, incluso si los malos actores logran acceder con éxito a los datos, estos siguen siendo ininteligibles. Al mismo tiempo, esto lo convierte en un objetivo mucho menos atractivo para los ataques cibernéticos.
Lo que es más importante, los datos vulnerables "en tránsito" deben cifrarse, especialmente si las organizaciones están aprovechando una solución de nube híbrida donde los datos se transfieren regularmente entre aplicaciones y entornos.
2 Soberanía de datos
Los datos están sujetos a las leyes y reglamentos del país o región en el que se almacenan. Esta es la razón por la cual la aplicación estadounidense de fertilidad Proov ha decidido migrar sus cargas de trabajo a un centro de datos en Nevada, para aprovechar el almacenamiento de datos en un estado que es poco probable que apruebe leyes restrictivas. Sin embargo, puede haber conflictos directos entre estas reglas.
En los EE. UU., existen leyes que exigen que los proveedores de servicios en la nube entreguen los datos a las autoridades si se les solicita. Esto significa que las organizaciones con sede en la UE y el Reino Unido que utilizan proveedores de nube pública a gran escala con centros de datos de EE. UU. podrían tener sus datos sujetos a estas leyes, incluso si sus propios datos se almacenan en un centro de datos fuera de los EE.UU.
Mientras tanto, en la UE, GDPR dice que los datos almacenados en la región solo pueden ser accedidos por las fuerzas del orden público en función de las solicitudes que surjan bajo la ley de la UE.
Para evitar las tensiones entre las definiciones geográficas de la soberanía de los datos, las empresas pueden recurrir a soluciones de nube soberana, trabajando solo con proveedores de nube locales o construyendo almacenamiento en la nube local.
3 Gestión de identidad y acceso
Hay muchas razones para las filtraciones de datos en la nube, pero la mala higiene de las contraseñas es una de las principales causas. En un nivel básico, las organizaciones deben asegurarse de que los empleados utilicen contraseñas únicas y complejas y habilitar la autenticación multifactor.
Luego, las organizaciones pueden mejorar la seguridad en la nube mediante el uso de una solución de administración de acceso e identidad de extremo a extremo que quita la responsabilidad de la administración de contraseñas a los empleados en conjunto.
Además, no todos los empleados necesitan los mismos privilegios de acceso; restringir quién tiene acceso de alto nivel a las aplicaciones y sistemas en la nube también ayudará a administrar la seguridad desde el punto de vista del acceso.
4 Parches consistentes
Cualquier brecha en la seguridad representa una puerta abierta a los ciberdelincuentes. Es crucial cerrar esa ventana de oportunidad antes de que los malos actores tengan la oportunidad de explotarla. Esto significa realizar actualizaciones de software e implementar parches tan pronto como estén disponibles.
Como se mencionó, cuando se trabaja con un proveedor de nube pública, puede ser complicado saber quién es el responsable de este proceso. Es importante asegurarse de que ambas partes tengan esto claro para que los parches se realicen de inmediato y no queden grietas por las que puedan pasar los malos actores.
5 Copia de seguridad de datos en la nube
Con todo esto en mente, las copias de seguridad son el componente final de cualquier lista de verificación integral de seguridad en la nube. Una táctica de último recurso, la copia de seguridad de los datos en la nube, sin embargo, puede ayudar a garantizar que los servicios continúen y que el negocio se interrumpa lo menos posible en caso de un ciberataque exitoso.
Una buena estrategia de copia de seguridad debe implicar tener copias de seguridad "en vivo" y "en frío", de modo que las actualizaciones se puedan realizar automáticamente si es posible, antes de que se recurra a una copia de seguridad fuera de línea desconectada de los sistemas en vivo en caso de que la copia de seguridad en vivo -up también está comprometido.
Superando el reto
Mantener la seguridad en la nube es un desafío, y los malos actores evolucionan constantemente sus tácticas, técnicas y tecnologías para explotar cualquier brecha o vulnerabilidad y robar datos confidenciales. Y no son quisquillosos en lo que respecta al enfoque; por ejemplo, pueden trabajar para obtener acceso a un centro de datos y alimentar físicamente el ransomware a los servidores. Proteger los datos físicamente es tan importante como protegerlos digitalmente.
Esto es especialmente algo a considerar para aquellas organizaciones que podrían no ser capaces de acomodar el mismo nivel de seguridad que quizás podría operar un centro de datos de nivel 4.
De cualquier manera, las organizaciones deben asegurarse de que cuentan con todas las medidas de seguridad adecuadas o que han seleccionado los proveedores de servicios en la nube adecuados que pueden trabajar con ellos para garantizar que la seguridad digital y física de sus datos en la nube sea sólida.
Sin embargo, fundamentalmente, con la estrategia de seguridad adecuada y los proveedores de servicios en la nube a bordo, la seguridad se puede administrar de manera integral e incluso mejorar mediante la migración de cargas de trabajo a la nube.