Las dos palabras que nunca debes olvidar cuando proteges una nube
Cuando los proveedores de nube venden sus servicios, saben que sus clientes están pensando en la ciberseguridad ; es por eso que los proveedores tienden a promocionar sus impresionantes acreditaciones y certificados.
Aquellos que no lo saben, asumen que el servicio viene con alguna garantía de seguridad que elimina cualquier preocupación sobre la seguridad de la nube, pero esto no podría estar más lejos de la verdad.
En la letra pequeña de cualquier plataforma de colaboración o computación en la nube hay una disposición que establece la responsabilidad compartida del comprador. Si bien los detalles varían según el servicio, el concepto es básicamente el mismo: usted sigue siendo responsable de mantener la seguridad general, garantizar que los controles de seguridad de la nube estén configurados correctamente y proteger sus datos en el sistema.
Le guste o no, en última instancia todos somos responsables de nuestra propia seguridad de , sin importar cuán dependientes seamos de los demás para las herramientas que nos mantienen funcionando.
La responsabilidad compartida lo une todo
A lo largo de dos décadas, la computación en la nube ha transformado la forma en que las personas utilizan Internet para trabajar y jugar. Ahora cualquier organización, sin importar cuán limitados sean sus recursos, puede enfrentarse a competidores más grandes, mejor equipados y bien financiados. Y esos competidores bien financiados pueden, a su vez, utilizar las mismas innovaciones para reducir sus costos y mejorar sus eficiencias globales.
Un informe reciente encontró que las empresas ahora gastan el doble en servicios en la nube que en sus propios centros de datos. Este grado masivo de adopción requiere que cualquier organización que utilice la nube de alguna manera enfrente algunas verdades duras sobre lo que la nube significa para la seguridad de la nube. Esto comienza con una comprensión de cómo la naturaleza interconectada de la computación en la nube cambia tanto las expectativas como los requisitos para bloquear datos privados.
Si ha leído hasta aquí, probablemente sepa que la nube significa muchas cosas diferentes para muchas personas diferentes. Existen ofertas de infraestructura como servicio (IaaS) y plataforma como servicio (PaaS) que casi todo el mundo utiliza sin darse cuenta. Y están las herramientas de software como servicio (SaaS), incluidas Microsoft 365 y Salesforce, que muchos de nosotros utilizamos docenas, si no cientos, de veces al día.
Lo que une todos estos tipos de nubes son esas dos palabras mágicas: responsabilidad compartida.
Cuando se trata de seguridad de la nube, los clientes son responsables de todo lo que los proveedores de la nube excluyen de sus controles de seguridad integrados.
La higiene es más que limpieza
Una de las promesas de la nube es que podrás preocuparte menos sobre cómo y dónde se almacena tu información. Pero los datos son un activo extremadamente valioso para cualquier organización. Para algunas organizaciones, puede ser el activo más valioso.
Es por eso que trasladar esos datos a la nube requiere una deliberación cuidadosa.
Incluso si confía en el proveedor de la nube que está utilizando, debe asegurarse de mantener el control y la visibilidad adecuados de sus datos. Por eso la higiene básica de la seguridad de la nube es una parte esencial del modelo de responsabilidad compartida .
Debes ser consciente del tipo de datos que tienes. Necesitas saber cómo se clasifica. Lo más importante es saber de dónde provienen los datos, quién puede acceder a ellos o adónde van. Si los datos provienen de fuentes externas y no confiables, incluido el correo electrónico, debe bloquear el contenido dañino y sospechoso antes de que llegue a los usuarios internos o externos.
Cumplimiento, complejidad y compromisos
Si el deseo de proteger los datos de una organización no es lo suficientemente motivador, piense en el cumplimiento. En muchas regiones, las empresas necesitan monitorear el acceso a todos los datos confidenciales y mantener registros de auditoría, ya sea que esos datos estén sujetos a un requisito de cumplimiento o no. Esto requiere que cada organización considere dos riesgos constantes: personas internas maliciosas y acceso no autorizado a los datos.
Los servicios en la nube SaaS pueden volverse muy complejos fácilmente cuando varios empleados acceden a través de múltiples puntos de contacto, a menudo sin coordinación ni documentación. Esto puede provocar fácilmente una mala configuración o controles de acceso débiles, y las malas configuraciones pueden provocar violaciones de datos.
Otro riesgo importante es que otras aplicaciones y servicios que están conectados a la nube SaaS a través de API puedan acceder a los datos. Si están mal configurados o otorgan más permisos de los que deberían, también pueden ser la fuente de una infracción. Incluso si se configura correctamente, es importante tener en cuenta que las propias API podrían verse comprometidas.
El creciente uso de la nube SaaS como Salesforce, Microsoft 365, Google Workspace y otros los convierte en objetivos confiables y lucrativos para los atacantes. Y es posible que robar datos valiosos almacenados en la nube no siempre sea el objetivo final.
Los adversarios avanzados inevitablemente intentarán utilizar los servicios en la nube como trampolines para ingresar a las redes de las organizaciones y atacar otros sistemas internos y externos. Y los ataques de phishing y ransomware realizados a través de servicios en la nube son riesgos reales que solo aumentarán a medida que los servicios en la nube se arraiguen cada vez más en nuestras vidas.
Estamos todos juntos en esto
Lo que debes admirar de los proveedores de la nube es su honestidad. No importa de cuántas acreditaciones puedan alardear, le dirán exactamente dónde terminan sus obligaciones de seguridad de la nube y comienzan las de sus clientes.
Es posible que estas líneas no sean tan claras para la vaga red de empresas conocida como la “cadena de suministro”. Las numerosas vulnerabilidades, problemas de integridad y otras posibles vulnerabilidades en los procesos y entornos de software de los proveedores han convertido a esta llamada cadena en el objetivo de un número vertiginoso de ataques .
A cambio de la conveniencia y los posibles beneficios financieros de la nube, usted aún tiene muchas de las mismas responsabilidades de proteger sus propias redes.
Afortunadamente, cuando recuerda esas dos palabras cruciales «responsabilidad compartida» y demuestra higiene de seguridad básica de la nube(que incluye controlar quién accede a sus datos y escanear todo el contenido para determinar si es malicioso), estará en el buen camino para cuidar su fin. del trato.
Fuente: Help Net Security