La nube pública es un modelo de computación en la nube que permite acceder a recursos como aplicaciones, almacenamiento de datos y máquinas virtuales de forma remota y bajo demanda. Si bien es en gran medida un beneficio, también deja a las organizaciones expuestas a los riesgos de seguridad de la nube pública, particularmente cuando permiten a los usuarios acceder a servicios bajo demanda desde varias ubicaciones utilizando diferentes dispositivos.
La seguridad en la nube consiste en tecnología y técnicas diseñadas para prevenir y mitigar amenazas a la ciberseguridad de una organización. Las empresas deben implementar seguridad informática en la nube para respaldar tanto las transformaciones digitales como el uso de herramientas basadas en la nube para proteger los activos. La seguridad en la nube funciona combinando varias tecnologías, todas diseñadas para reforzar las defensas cibernéticas para datos y aplicaciones fuera de las instalaciones.
Estos son algunos de los elementos centrales que hacen que la seguridad en la nube funcione:
- Seguridad de datos: En un contexto de nube, la seguridad de los datos consiste en proteger y mantener la integridad de los datos basados en la nube de una organización. Estos datos normalmente incluyen lo siguiente:
- Datos de la empresa, incluida información confidencial y de propiedad exclusiva.
- Propiedad intelectual
- Datos de los empleados
- Datos de los clientes
- Datos utilizados por aplicaciones web.
- Gestión de identidad y acceso (IAM): Esto implica asegurarse de que sus empleados puedan acceder a las soluciones digitales que necesitan para realizar sus tareas. Con IAM, puede administrar las aplicaciones a las que los usuarios tienen acceso para garantizar que los usuarios existentes tengan los privilegios que necesitan y que se cancele el acceso de los antiguos empleados, lo que ayuda a controlar su superficie de ataque.
- Gobernancia: Esto implica hacer cumplir políticas internas para gestionar los datos de una manera que proteja y habilite los sistemas y salvaguarde la información confidencial.
- Continuidad del negocio (BC) y retención de datos (DR): Esto se centra en realizar copias de seguridad de los datos para restaurar sistemas críticos en caso de un desastre, una infracción o una eliminación del sistema.
- Cómplice legal: El cumplimiento legal se centra en garantizar que los datos de una organización cumplan con los estándares establecidos en las leyes del país en el que se encuentra su empresa, así como en aquellas con las que puede hacer negocios.
Algunos de los riesgos de seguridad asociados con la nube pública son:
- Violaciones de datos: La cantidad de datos almacenados en la nube pública aumenta cada vez más, lo que la convierte en un objetivo más atractivo y lucrativo para los piratas informáticos. No proteger los datos de forma adecuada puede dar lugar a costosas violaciones de datos que, a su vez, pueden dar lugar a multas, acciones legales e incluso cargos penales contra una organización. Las violaciones de datos también causan costosos daños a la reputación y pueden llevar a que las empresas no cumplan con regulaciones de privacidad de datos cada vez más estrictas.
- Autenticación débil: La protección de los datos de la nube pública depende de la implementación de métodos y procesos de autenticación sólidos, como la autenticación multifactor (MFA).
- Falta de cifrado: El cifrado de datos los hace ilegibles para cualquiera que no esté autorizado a acceder a ellos. Por lo tanto, incluso si los atacantes pueden acceder a un sistema, no podrán leer los datos cifrados, lo que los hará inútiles para ellos. El cifrado garantiza que los datos sigan siendo confidenciales y fortalece la integridad de los datos basados en la nube.
- Amenazas internas: Estos ataques son causados por personas que trabajan para una organización (es decir, empleados actuales o anteriores) o tienen acceso a las redes y sistemas de una empresa. La motivación detrás de un ataque interno suele ser financiera. También pueden ser el resultado de que un empleado busque vengarse de una organización o robar propiedad intelectual (PI). Además, las amenazas internas pueden ser causadas por errores humanos y brechas en la seguridad de la nube pública, como que un profesional de TI no revoque el acceso de un usuario cuando un empleado deja una organización o cambia su rol laboral.
- Robo de identidad del usuario: Sin la seguridad adecuada, los atacantes pueden espiar, espiar, modificar y robar datos con relativa facilidad. Los ciberdelincuentes utilizan cada vez más datos confidenciales para cometer robo de identidad. Esto incluye el uso de diversos vectores de ataque, como robo de tarjetas de crédito, filtraciones de datos, malware y ataques de denegación de servicio distribuido (DDoS) para robar datos personales.
Algunas de las formas de garantizar que las empresas utilicen los servicios de nube pública de forma segura incluyen:
- Cifrado: Utilice el cifrado de datos para mantener los datos confidenciales a salvo del uso no autorizado.
- Plan de respaldo: Implemente un plan de respaldo de datos para mantenerse seguro en la nube.
- Controles de acceso de usuarios: Gestionar los controles de acceso de los usuarios.
- Autenticación multifactor (MFA): Aplicar MFA.
- Capacitar a los empleados: Se debe proporcionar a la fuerza laboral una cantidad adecuada de capacitación de usuarios (tanto a nivel de usuario final como de administrador) para ayudarlos a comprender mejor su entorno.
- Cortafuegos: Utilice firewalls para ayudar a mantener su empresa a salvo de ataques cibernéticos y ayudar a cumplir con los estándares de seguridad.
- Gestión de vulnerabilidades: Utilice la gestión de vulnerabilidades en la nube para mejorar la seguridad de la plataforma en la nube, las aplicaciones que la utilizan y los datos que almacenan y entregan.
- Gestión de certificados: Insista en certificados de cumplimiento estrictos.
- Pruebas de vulnerabilidad y penetración de la nube: Utilice pruebas de penetración en la nube para identificar cualquier vulnerabilidad en los sistemas basados en la nube.
Beji Jacob es miembro de la Grupo de Trabajo sobre Tendencias Emergentes de ISACA.