Soluciones en la nube y problemas de seguridad en la nube que su organización debe considerar
La seguridad en la nube es un conjunto de prácticas y herramientas creadas para ayudar a las empresas a abordar las amenazas de ciberseguridad internas y externas. A medida que las organizaciones implementan su estrategia de transformación digital, a menudo incorporan herramientas y servicios basados en la nube en su infraestructura de TI.
Las tecnologías en la nube permiten a las empresas ampliar sus capacidades más allá de las limitaciones de la infraestructura local, pero requieren abordar los riesgos de ciberseguridad al planificar e implementar nuevas soluciones. El desarrollo de políticas de seguridad en la nube efectivas requiere que una organización equilibre la necesidad de seguridad con la necesidad de que su gente sea productiva al usar soluciones en la nube.
¿Cuáles son los beneficios de la computación en la nube?
La computación en la nube permite a las empresas subcontratar tareas de administración de hardware y software al proveedor de soluciones en la nube (CSP) y proporcionar aplicaciones y recursos de software accesibles por Internet a sus empleados y clientes. El crecimiento de las tecnologías en la nube ha ayudado a las empresas a acelerar la innovación y remodelar las economías de algunas naciones.
Algunos de los beneficios de la computación en la nube incluyen:
- Un modelo de suscripción rentable y flexible que puede ampliarse o reducirse según las necesidades comerciales.
- Análisis que informan cómo se utilizan el hardware y el software.
- Cumplimiento y seguridad mejorados
- Innovación más rápida ya que las empresas pueden concentrarse más en mejorar sus productos y servicios y menos en respaldar su infraestructura tecnológica.
- Procesos DevOps mejorados para empresas que desarrollan software y la capacidad de implementar nuevas aplicaciones rápidamente.
Algunos de los servicios en la nube más populares son:
SaaS (software como servicio): las aplicaciones SaaS son soluciones basadas en la nube que normalmente se ofrecen a los clientes como suscripción. Por ejemplo, algunas empresas utilizan el proveedor de SaaS Salesforce como su solución de gestión de relaciones con los clientes. El proveedor de SaaS maneja todos los problemas técnicos, incluido el mantenimiento y el soporte del software y el hardware.
PaaS (Platform-as-a-Service): ofrece un marco de aplicación personalizado que maneja automáticamente los sistemas operativos, las actualizaciones de software, el almacenamiento y la infraestructura de soporte en la nube, lo que permite a las empresas acelerar el desarrollo y la entrega de sus aplicaciones que se ejecutan en la nube.
IaaS (Infraestructura como servicio): una estrategia híbrida en la que las empresas administran algunos de sus datos y aplicaciones localmente en su propio hardware mientras confían en el CSP para administrar los servidores, el almacenamiento, las redes y las funciones de virtualización para las aplicaciones alojadas en la nube del CSP.
¿Cuáles son algunos desafíos de seguridad en la nube?
Los beneficios de las soluciones en la nube también conllevan algunos desafíos, que incluyen:
Falta de visibilidad: debido a que se accede a muchos servicios en la nube fuera de las redes corporativas a través de terceros, puede ser fácil perder la noción de cómo y quién ve sus datos.
Tenencia múltiple: en entornos de nube pública, el CSP puede albergar las infraestructuras de varios clientes bajo un mismo techo (compartiendo los mismos servidores o hardware de almacenamiento). Por lo tanto, es factible que sus soluciones en la nube puedan ser penetradas por atacantes hostiles como daño colateral cuando se dirigen a otras empresas en el entorno compartido.
Gestión de acceso: las empresas pueden manejar y limitar los puntos de acceso para los sistemas locales, pero puede ser difícil hacer cumplir las mismas restricciones en entornos de nube. La imposibilidad de implementar algunas restricciones de seguridad podría ser peligrosa para las empresas que no tienen políticas de traiga su propio dispositivo (BYOD) y permiten a los empleados acceso ilimitado a los servicios en la nube desde cualquier dispositivo o ubicación.
Cumplimiento: la gestión del cumplimiento normativo a veces puede aumentar la complejidad para las empresas que emplean instalaciones de nube pública o híbrida. La empresa sigue siendo responsable en última instancia de la privacidad y la seguridad de los datos, pero depende en gran medida de soluciones de terceros para su gestión, y una violación de datos podría dar lugar a multas costosas por incumplimiento y daños legales pagaderos a las partes afectadas por la violación.
Potencial de activos mal configurados: en 2019, el 86 % de las violaciones de datos involucraron activos mal configurados. Las configuraciones incorrectas pueden ocurrir cuando no se crean las configuraciones de privacidad adecuadas o se dejan las contraseñas administrativas predeterminadas.
¿Qué soluciones de seguridad en la nube están disponibles?
Algunas de las soluciones de seguridad en la nube que pueden ayudar a abordar los desafíos de la nube que discutimos anteriormente incluyen:
Gestión de identidad y acceso (IAM): con el uso de herramientas y servicios de gestión de identidad y acceso (IAM), las empresas pueden establecer una aplicación basada en políticas. procesos para todos los usuarios que intentan acceder a los servicios locales y basados en la nube.
Prevención de pérdida de datos (DLP): la seguridad de los datos en la nube regulados está garantizada por un conjunto de herramientas y servicios proporcionados por los servicios de prevención de pérdida de datos (DLP).
Administración de eventos e información de seguridad (SIEM): un sistema integral de orquestación de seguridad, SIEM automatiza el monitoreo, la detección y la respuesta de amenazas en entornos basados en la nube.
Continuidad del negocio y recuperación ante desastres: las violaciones de datos y las interrupciones disruptivas aún pueden ocurrir, a pesar de que las empresas toman precauciones para sus infraestructuras locales y basadas en la nube. Las empresas deben responder rápidamente a las vulnerabilidades recientemente identificadas o correr el riesgo de tener una falla importante en el sistema.
¿Qué marcos de seguridad en la nube pueden ayudar a mi negocio?
Hay muchos marcos de seguridad disponibles, como COBIT para gobernanza, SABSA para arquitectura, ISO/IEC 27001 para estándares de gestión y el marco de seguridad cibernética NIST. Estos marcos se aplican a la nube de la misma manera que se aplican a la tecnología en su conjunto. Además de estos marcos genéricos, otros específicos pueden ser pertinentes según el caso de uso y el contexto. Por ejemplo, considere el marco de seguridad común de HITRUST en la industria de la salud.
Las empresas y los CSP pueden usar marcos de seguridad específicos de la nube para actividades de validación y certificación. Estos incluyen FedRAMP, ISO/IEC 27017:2015 y Cloud Controls Matrix (CCM) de Cloud Security Alliance (CSA). Si bien existen otros marcos de seguridad en la nube, estos tres se destacan porque son bien conocidos, se usan comúnmente y son exclusivos de la nube y la seguridad. También tienen un programa de certificación o registro que los respalda y son igualmente útiles para los CSP y los clientes de la nube.
Los profesionales de seguridad y TI pueden aprender sobre los procedimientos de seguridad que son apropiados para los sistemas en la nube a partir de los marcos de seguridad en la nube. Los marcos contienen una colección de controles con instrucciones detalladas (incluidos la intención y el rigor), la gestión de controles, la validación y otra información relevante para proteger un caso de uso de la nube.
¿Cómo elegir un marco de seguridad en la nube?
La selección y adopción del marco de seguridad en la nube más adecuado dependerá de si es un cliente de la nube o un CSP. La decisión de un cliente de elegir un marco estará fuertemente influenciada por su contexto comercial y su programa de ciberseguridad más amplio. Por ejemplo, un contratista o una agencia del gobierno federal de EE. UU.
probablemente querrá investigar primero a FedRAMP. FedRAMP se creó para simplificar la incorporación del uso de CSP por parte del gobierno y proporcionar criterios de validación basados en estándares de seguridad estándar de la industria.
Las grandes empresas multinacionales pueden encontrar que ISO/IEC 27017 se adapta mejor porque los controles son más reconocibles y se alinean directamente con los requisitos de su programa de seguridad existente, que se basa en ISO/IEC 27001 e integra controles de ISO/IEC 27002.
Los CSP deben usar un conjunto de marcos de seguridad y nube que sean bien conocidos y respetados en sus mercados. Un CSP puede convertirse en un proveedor de servicios autorizado por FedRAMP si vende sus soluciones al gobierno de EE. UU. Los CSP pueden certificar según el estándar ISO/IEC como cualquier otro estándar de sistema de gestión ISO. El Cuestionario de Iniciativa de Evaluación de Consenso, que se basa en CCM, y el registro STAR, que valida la adherencia, son proporcionados por la CSA. El marco que tiene más probabilidades de ganar tracción y el respeto de los clientes puede ser el que debería seleccionar el CSP.
La ciberseguridad no solo debe abordar su infraestructura de red o perímetro de seguridad, sino que debe evaluar sus riesgos de seguridad y privacidad en toda su organización para todos sus procesos comerciales. Es esencial evaluar y responder al riesgo y crear protecciones para sus vulnerabilidades a medida que su organización se expande y crece. La gobernanza es clave para construir un libro de jugadas para administrar y abordar el riesgo y desarrollar controles organizacionales sólidos.
Fuente: Security Boulevard