A medida que las organizaciones almacenan y procesan datos en la nube, los administradores, propietarios de datos y CISO están cada vez más preocupados por la posibilidad de que se produzcan errores de configuración o percances que provoquen la filtración de datos confidenciales, en particular a los servicios de nube pública que se encuentran fuera de la región geográfica prevista. .
En 2019, Gartner predijo que para 2025, el 90% de las organizaciones que no controlen el uso de la nube pública compartirán datos confidenciales de manera inapropiada.
Entonces, ¿cómo puede la creación de soluciones sólidas que utilicen todas las capacidades de los servicios en la nube proteger mejor sus datos confidenciales?
Obtenga lo básico correctamente
Las organizaciones adoptan la nube para beneficiarse de costos reducidos, lograr un mayor alcance comercial, procesar datos más rápido y crecer más rápido. Una estrategia pragmática de transformación de la nube con objetivos claros es fundamental para colocar a una organización en un camino de adopción de la nube seguro y ágil. Una parte importante de esta estrategia es que las organizaciones adopten nuevas culturas de seguridad que respalden su forma de operar en entornos de nube.
Este tipo de cambio cultural debería incluir un enfoque en los activos de datos, su marcado, manejo y procesamiento en los servicios en la nube. La capacitación en concientización sobre seguridad es importante para educar a los empleados, especialmente al personal de TI, sobre las mejores prácticas de seguridad en la nube, la importancia de las configuraciones correctas y las consecuencias de los errores humanos. Las organizaciones también deben realizar simulaciones de ataques para una violación de datos, como ataques de phishing, para estar preparadas para responder a cualquier amenaza y ataque real.
Además, deben existir marcos sólidos (por ejemplo, SABSA, NIST CSF) para respaldar los requisitos de seguridad y datos de una organización, el cumplimiento normativo y los interesados. Las consideraciones clave deben incluir: ¿Qué, si existe alguna ley de soberanía de datos? ¿Mis marcos abordan estos? ¿Cuáles son las amenazas?
Las organizaciones harían bien en implementar una gestión del ciclo de vida y una arquitectura de servicios bien estructuradas, que garanticen que existan estructuras y procedimientos adecuados para proteger los datos comerciales de acuerdo con los requisitos legales/regulatorios. Técnicas como la seguridad por diseño ayudan a incorporar la seguridad a los requisitos de la solución y no simplemente a incorporarla al final.
DevSecOps garantiza que la seguridad se convierta en un facilitador; crea capacidad de seguridad justo en el corazón del desarrollo de software y verifica continuamente si hay problemas desde el código hasta el tiempo de ejecución. Un enfoque centrado en los datos (donde se prioriza la protección de los datos y los métodos de acceso a ellos, sin importar dónde se almacenen o utilicen) para DevSecOps permite aún más a los desarrolladores, administradores y operadores identificar mejor los datos, sus usos y cómo se hacen. a disposición de los servicios que lo procesan. El uso de entornos de procesamiento, como AWS Nitro Enclaves, protege los datos procesados en la nube y debe adoptarse cuando sea necesario.
Aprovecha la IA y el aprendizaje automático
La inteligencia artificial (IA) y el aprendizaje automático (ML) pueden operar a gran escala, utilizar el aprendizaje y adaptarse a sus necesidades de protección de datos. Al aumentar la automatización, se puede acelerar la toma de decisiones y los datos pueden vincularse o implementarse en la nube. Se puede evaluar y proteger adecuadamente más rápidamente. Las herramientas en la nube como Google BigQuery y AWS MACIE utilizan el aprendizaje automático y la inteligencia artificial para brindar capacidades que ayuden a las organizaciones a administrar mejor sus datos en las nubes públicas y mitigar la exposición de datos confidenciales.
AWS Config, Azure Policy o el Centro de comando y seguridad de Google Cloud también ayudan a automatizar el monitoreo y la aplicación de políticas de seguridad. La implementación de soluciones de monitoreo continuo detectará y alertará sobre configuraciones incorrectas, solicitudes de acceso sospechosas y otros incidentes de seguridad en tiempo real.
Además del monitoreo y la aplicación automatizados, la implementación de una gestión de amenazas bien administrada y revisada periódicamente permite a las organizaciones ser más proactivas y ágiles en respuesta a las amenazas.
Dada la capacidad de los proveedores de nube para evaluar grandes cantidades de datos y amenazas, los servicios de nube pública actualmente son superiores a la hora de aprovechar la IA que las herramientas de seguridad locales más simples.
Utilice arquitectura IAM y de confianza cero
A medida que los límites tradicionales se diluyen, se requiere una gestión de identidades y accesos (IAM) que abarque cargas de trabajo, usuarios, dispositivos y organizaciones. Definir una estrategia clara de confianza cero implementada con el control de acceso con privilegios mínimos proporciona una mejor responsabilidad en las operaciones, un acceso centrado en los datos y mitiga aún más los errores humanos que conducen a una filtración de datos accidental o deliberada. Mejora la supervisión granular y la detección de amenazas a medida que aprovecha las reglas y políticas de acceso condicional.
La mejora de los datos y la implementación de soluciones IAM sólidas deben realizarse en colaboración con el mantenimiento regular de la seguridad, incluidas auditorías periódicas de cumplimiento, evaluaciones de seguridad, gestión de vulnerabilidades y pruebas funcionales y de seguridad, con resultados gestionados y actuados en consecuencia.
La confianza cero es un enfoque estratégico que puede mejorar significativamente su seguridad, pero requiere una planificación cuidadosa y un enfoque iterativo para la mejora continua. Si bien es un desafío, hacerlo bien será un paso importante en su viaje a la nube híbrida, ya que adopta un enfoque de seguridad centrado en los datos que mejora significativamente la protección de los datos.
El desafío para los CISO y las PYMES de seguridad para mejorar la seguridad de los datos de una organización y la gestión de datos confidenciales en los servicios en la nube debe estar impulsado por el negocio, requiere un cambio cultural y la adopción de datos en la nube y capacidades de seguridad para tener éxito. La nube nos permite reexaminar nuestro enfoque de la seguridad, y si queremos tener éxito en el uso de los servicios en la nube, debemos explotar la rápida innovación en seguridad que se está produciendo gracias a ella.
Scott Swalling es experto en seguridad de datos y nube en PA Consulting. Nuevo colaborador de Think Tank este mes, es arquitecto de seguridad. con más de 20 años de experiencia en el campo, habiendo trabajado para los gobiernos australiano y británico, y en las industrias de servicios financieros, minería, farmacéutica y espacial.