En la era digital y bajo demanda actual, muchas organizaciones dependen en gran medida de múltiples servicios en la nube para el funcionamiento diario de sus operaciones. Pero la naturaleza de terceros de esta funcionalidad introduce riesgos de seguridad adicionales y, con malos actores siempre presentes para aprovechar los perímetros porosos de la red, los profesionales de la seguridad cibernética deben asegurarse de ser rigurosos en la protección de la empresa.
A continuación se ofrecen puntos de control clave para las mejores prácticas para proteger las aplicaciones basadas en la nube.
Gestión de activos y flujo de datos.
Comprender cómo se gestionan los activos y dónde fluyen los datos dentro de la organización es fundamental. Este conocimiento permite identificar brechas en la postura de seguridad cibernética y con ello localizar los vectores de ataque. Las organizaciones pueden buscar opiniones de los proveedores para identificar esas brechas dentro de sus sistemas y utilizar herramientas (como CrowdStrike) para tomar medidas contra las vulnerabilidades que surjan. Para garantizar que haya una comprensión clara de dónde existen las cosas, este trabajo incluye la identificación de cada activo presente en la organización, así como el mapeo de datos estructurados y no estructurados.
Políticas y procedimientos de seguridad.
Sólo se necesita un eslabón débil para que la organización sea vulnerable a los ataques. Esto requiere políticas y procedimientos de seguridad sólidos en toda la empresa, con medidas aplicadas de manera consistente en toda la infraestructura de TI, incluidas las nubes públicas, las nubes privadas y la tecnología local.
Configuración del servidor en la nube
Los servidores en la nube mal configurados pueden exponer datos directamente en la Internet pública y provocar infracciones y violaciones del cumplimiento. La configuración correcta requiere la aportación de expertos específicos de la nube, combinada con una estrecha coordinación con el proveedor de la nube.
Habiendo establecido y cumplido una configuración básica segura para cada aplicación en la nube, el monitoreo continuo en tiempo real utilizando herramientas automatizadas puede ayudar a detectar y remediar configuraciones erróneas antes de que provoquen incidentes de seguridad; Las auditorías periódicas también garantizan que estas configuraciones permanezcan seguras y cumplan con los estándares y políticas de seguridad.
Gestión de Acceso
Garantizar que solo las personas que los necesitan puedan acceder a los datos confidenciales es un componente central de la postura de seguridad de cualquier organización. Los usuarios no deben tener más que el nivel mínimo de acceso que necesitan para realizar su función laboral, una estipulación asistida por el control de acceso basado en roles (RBAC) que reduce el riesgo de derechos de acceso excesivos. La confiabilidad de los usuarios, dispositivos y aplicaciones también debe verificarse continuamente antes de otorgar el acceso.
El panorama de seguridad en la nube mejora constantemente su postura de seguridad a través de la gestión de acceso a identidades (IAM), donde se aplican medidas de seguridad como la autenticación multifactor (MFA) y los registros de auditoría se verifican periódicamente para identificar intentos de acceso fallidos y detectar intrusiones.
Cifrado de datos
El cifrado de datos mediante protocolos sólidos hace que los datos sean ilegibles en caso de robo o filtración en una violación de la seguridad de la nube. Por lo tanto, el cifrado es una herramienta clave para mantener seguros los datos (especialmente los datos confidenciales), ya sea que estén en tránsito o en reposo. El cifrado no es nuevo pero sigue evolucionando; A medida que los ataques se vuelven más complejos, el desarrollo de algoritmos de cifrado avanzados puede desempeñar un papel importante en la gestión del riesgo cibernético.
El enfoque de confianza cero
Las arquitecturas de confianza cero adoptan el principio de que no se debe confiar en ningún usuario, dispositivo o sistema para acceder a aplicaciones y datos basados en la nube hasta que hayan sido verificados. Esto garantiza que solo las personas y la tecnología autorizadas puedan ver o utilizar datos confidenciales, lo que reduce la probabilidad de que caigan en las manos equivocadas.
Educación para toda la empresa
Independientemente de si están relacionados con la nube, muchos ciberataques ocurren debido al riesgo humano, que abarca actividades como que los usuarios sean víctimas de un ataque de phishing, instalen malware sin saberlo, utilicen sistemas obsoletos y/o dispositivos vulnerables, o no practiquen una higiene deficiente de las contraseñas. Combatir esto requiere capacitación continua en seguridad en toda la empresa; Además de cubrir las mejores prácticas de seguridad en la nube, esto debería incluir simulaciones periódicas de phishing para educar a los usuarios sobre cómo reconocer y evitar estos ataques cada vez más sofisticados, así como ejercicios para explicar por qué la protección de datos es tan importante para toda la organización. Promover una cultura de seguridad dentro de una empresa también agrega algunas capas de seguridad al convertirla en responsabilidad de todos.
Planes de respaldo
Incluso los procesos y preparativos de seguridad más meticulosos no son a prueba de fallas, lo que significa que las organizaciones necesitan implementar planes de contingencia. Se debe realizar una copia de seguridad de los datos para evitar su pérdida o manipulación. Además, un plan de conmutación por error garantiza la continuidad del negocio si falla un servicio en la nube. Una ventaja de las instalaciones de nubes múltiples y de nubes híbridas es que se pueden utilizar nubes separadas como copias de seguridad, como el almacenamiento de datos en la nube para una base de datos local.
Los CISO y los profesionales de la seguridad también cuentan con la ayuda de varios conjuntos de herramientas para una implementación segura en la nube. Las herramientas de gestión de la postura de seguridad en la nube (CSPM), por ejemplo, pueden cifrar datos confidenciales, utilizar controles de geolocalización para cumplir con las regulaciones de protección de datos y realizar auditorías y pruebas de penetración periódicas. Y las herramientas de prevención de pérdida de datos (DLP) monitorean y controlan el movimiento de datos confidenciales a través de entornos de nube; utilizados junto con las políticas adecuadas evitan el intercambio no autorizado o la filtración de información confidencial.
Al mismo tiempo, como era de esperar, la IA está desempeñando un papel cada vez más importante en todas las áreas de las operaciones de seguridad cibernética. La detección de amenazas por IA puede mejorar significativamente el monitoreo de la seguridad y la mitigación de incidentes; también puede predecir y detener problemas de seguridad antes de que ocurran.
Las operaciones basadas en la nube han transformado el entorno empresarial pero, como ocurre con la mayoría de las tecnologías avanzadas, introducen riesgos adicionales. Adoptar estas aplicaciones para que brinden beneficios sin ampliar la superficie de ataque para actores maliciosos requiere experiencia y compromiso, fácilmente al alcance de la mayoría de las organizaciones que ya practican una buena higiene de seguridad cibernética.
Kashil JagmohanSingh es consultor de aplicaciones y seguridad cibernética en Turnkey Consulting. Su experiencia en gestión de riesgos incluye operar en toda la suite SAP Governance, Risk and Compliance (GRC) y trabajar en estrecha colaboración con los clientes para gestionar el riesgo cibernético de las organizaciones globales. También tiene experiencia en evaluación de vulnerabilidades, realizando actividades como escaneo del entorno SAP y formación de equipos rojos. Esta es su primera contribución al Think Tank.