Por qué es importante la ciberseguridad en torno a la nube y por qué no puedes ignorarla
La nube significa entregar datos y aplicaciones, pero eso no significa renunciar a la responsabilidad de la seguridad. Tan conveniente como se haya vuelto la computación en la nube , no está exenta de problemas. Una mala planificación de la ciberseguridad en torno a la nube, como permitir a los usuarios confiar en contraseñas simples, no utilizar la autenticación multifactor o no aplicar parches y actualizaciones , puede dejarlo vulnerable a los ataques.
La gestión de la ciberseguridad ya era un desafío para muchas organizaciones y sus salas de juntas: agregar la nube simplemente amplía la superficie de amenazas potenciales y aumenta la complejidad para muchas.
Ese es especialmente el caso de las empresas que tal vez ni siquiera sean conscientes de sus responsabilidades en materia de ciberseguridad en torno a la nube.
«A veces todavía tenemos la percepción por parte de las organizaciones de que se trata de una mentalidad de configurarlo y olvidarlo», dice Jason Nurse, profesor asociado de ciberseguridad en la Universidad de Kent. «La realidad es que, para muchas organizaciones, ven el uso de la nube como una especie de transferencia de toda la responsabilidad en materia de seguridad y protección de datos», añade.
Pero, señala, aún recae en estas organizaciones mucha responsabilidad de hacer cosas para garantizar que tengan la configuración correcta, que tengan la nube configurada correctamente y que no tengan datos «rodando por ahí» que no sean debidamente protegido.
La falta de comprensión sobre la configuración y seguridad de los servicios en la nube puede dejar expuesta la información confidencial, potencialmente incluso directamente a la Internet abierta, donde cualquiera , incluidos los ciberdelincuentes malintencionados, puede verla.
Esto no es sólo un problema teórico, ya que regularmente se descubren casos de entornos de nube mal configurados que exponen información confidencial.
«Las organizaciones no comprenden completamente el entorno de la nube y la falta de experiencia y habilidades dificulta que las empresas identifiquen e implementen el conjunto adecuado de controles de seguridad para proteger sus operaciones en la nube», dice Prakash Venkata, director de ciberseguridad, riesgo y ciberseguridad de PwC. «Las empresas que parecen estar ignorando por completo la seguridad en la nube pueden hacerlo debido a una falta de comprensión, una falta de habilidades y experiencia, un tiempo limitado debido a iniciativas corporativas competitivas o un presupuesto limitado para invertir en herramientas líderes», añade.
Pero la seguridad en la nube no es algo que pueda simplemente ignorarse: si su organización utiliza aplicaciones o servidores en la nube, protegerlos es imprescindible, especialmente porque los ciberdelincuentes y otros piratas informáticos malintencionados buscan servicios inseguros que puedan explotar para obtener acceso. a redes con un esfuerzo relativamente bajo.
Por ejemplo, ha habido un gran aumento en el número de empresas y empleados que utilizan conjuntos de aplicaciones en la nube para correos electrónicos, gestión de documentos y otras tareas diarias. Es beneficioso para los empleados, pero si esas cuentas no están protegidas adecuadamente, pueden proporcionar una puerta trasera fácil para los atacantes .
Si su organización no está al tanto de su estrategia de seguridad en la nube, podría ser fácil para el equipo de seguridad de la información pasar por alto los primeros signos de actividad sospechosa , solo para darse cuenta finalmente cuando ya es demasiado tarde, una vez que se ha robado la información o el ransomware ha cifrado el red.
También hay pasos adicionales que los equipos de seguridad de la información pueden tomar para reforzar las defensas de ciberseguridad de los servicios en la nube, como implementar la autenticación multifactor para todos los usuarios. Esto brinda la oportunidad de detener y detectar intrusiones maliciosas antes de que ocurran, porque incluso si el atacante tiene la contraseña correcta, el usuario debe confirmar que se trata de un intento de inicio de sesión legítimo.
«La gestión del acceso a la identidad, la capacidad de garantizar que sólo las partes autorizadas puedan acceder a los servicios del sistema de datos de las redes, eso es realmente lo esencial», afirma Nurse. «Incluso considerando las cosas básicas, como la autenticación multifactor en cuentas clave y servicios clave, creo que esas son las cosas que se requieren cada vez más en general», añade.
Y el hecho de que el software esté basado en la nube no significa que no requiera parches y actualizaciones de seguridad. Si hay una actualización de seguridad disponible para el software en la nube, es mejor aplicarla lo antes posible , especialmente porque los ciberdelincuentes también conocen las vulnerabilidades y harán todo lo posible para explotarlas. Para ello, es importante seleccionar el proveedor de nube adecuado.
Un buen proveedor de servicios en la nube que se da cuenta de las vulnerabilidades de seguridad en sus productos implementará esos parches para los clientes lo antes posible , brindando al cliente la mayor oportunidad de mantenerse protegido contra ataques, utilizando el exploit, siempre y cuando aplique la actualización. a tiempo.
Sin embargo, su elección de proveedor de servicios en la nube podría marcar una diferencia significativa en su estrategia general de seguridad en la nube. Muchos proveedores responderán y proporcionarán rápidamente actualizaciones y soluciones para problemas de software en la nube, pero algunos no lo harán, y es importante saber cuáles son antes de firmar un contrato.
Incluso cuando se cuenta con una estrategia de ciberseguridad en torno a la nube, ese no es el final del viaje y, al igual que cuando comienzas a utilizar servicios en la nube, no puedes simplemente ignorarlos y esperar lo mejor. La ciberseguridad en torno a la nube siempre está evolucionando, surgen nuevas amenazas y es necesario aplicar nuevas estrategias para ayudar a mantener las redes y los usuarios lo más seguros posible.
Fuente: Zdnet