La nube pública es segura, pero hay que evitar riesgos

seguridad en la nube
seguridad en la nube

Un 40% de los profesionales de ciberseguridad y TI cree que los entornos de nube pública son ya más seguros que los locales, según un estudio realizado por Oracle y KPMG. Por el contrario, el 12% piensa que el nivel de protección no tiene grandes diferencias respecto a entornos on premise, lo que demuestra el alto grado de confianza que genera la nube entre los usuarios. Aún así, todavía hay un 2% de usuarios que se muestran escépticos respecto a la nuble pública y considera que todavía no ofrece tanto nivel de protección como los entornos tradicionales.  

Cloud Security es un requisito crítico para todas las organizaciones. Así lo demuestra el último informe del ISC2, según el cual el 93% de las empresas están moderada o extremadamente preocupadas por la seguridad en la nube. En dicha investigación también llama la atención que una de cada cuatro empresas haya reportado incidentes de seguridad en la nube en el último año.

La nube pública también representa una oportunidad para muchas empresas que trabajan con múltiples proveedores y fabricantes de seguridad. El 50% de los encuestados por KPMG y Oracle considera que en el futuro apostarán por la consolidación y simplificación de los equipos con los que trabajan para ofrecer un mayor control sobre la infraestructura, plataformas y aplicaciones gestionadas en la nube.

Mejores prácticas para garantizar una mayor seguridad

¿Y cuáles son las mejores prácticas o requisitos para garantizar un alto grado de seguridad de nuestros datos y aplicaciones en la nube pública? Pues un aspecto clave es la selección de un proveedor de servicios en la nube que garantice los mejores protocolos de seguridad y tenga experiencia y trayectoria en el mercado de la nube con casos de éxito acreditados.

Nube segura
Nube segura

Proveedor de servicios en la nube de confianza

La marca de un proveedor de confianza se refleja en el rango de cumplimiento de la seguridad y las certificaciones que poseen. Por ejemplo, todos los grandes proveedores de nube pública como Amazon Web Services, Alibaba Cloud, Google Cloud y Azure ofrecen un acceso transparente en el que se puede confirmar su cumplimiento de seguridad y sus certificaciones. Por otro lado, los proveedores de servicios en la nube locales o domésticos  también garantizan su compromiso con la seguridad tal y como confirman compañías como Arsys. Los más pequeños son los que aún deben avanzar en sus procesos de securización

Comprender su modelo de responsabilidad compartida

Para todos los usuarios que aún no han dado el salto al hiperespacio de la nube, resulta necesario recordarles que cuando se asocia con un proveedor de servicios y se trasladan los sistemas y datos a la nube se entra en una asociación de responsabilidad compartida para la implementación de la seguridad.

Una parte crítica de las mejores prácticas implica revisar y comprender la responsabilidad compartida de cada empresa para.descubrir qué tareas de seguridad permanecerán con el cliente y cuáles serán ahora manejadas por el proveedor. Este compromiso varía dependiendo si se opta por el Software como Servicio (SaaS), Plataforma como Servicio (PaaS), Infraestructura como Servicio (IaaS), o por un centro de datos en las instalaciones.

Llegados a este punto también conviene recordar que los proveedores de servicio deben garantizar un nivel de servicio como parte de las mejores prácticas de seguridad. Los SLA y los contratos de servicio de la nube son sólo una garantía de servicio y recurso en caso de un incidente y constituyen un elemento más de seguridad para las organizaciones

Según el McAfee 2019 Cloud Adoption and Risk Report, el 62,7% de los proveedores de cloud computing no especifican que los datos de los clientes son propiedad del cliente. Esto crea una zona gris legal en la que un proveedor podría reclamar la propiedad de todos sus datos cargados.

Nube segura
Nube segura

No olvidar a los usuarios

Los clientes deben recibir la formación adecuada para garantizar la seguridad de sus datos en la nube pública. Todos ellos deben ser conscientes y estar suficientemente cualificados para  detectar el malware, identificar los correos electrónicos de phishing y los riesgos de las prácticas inseguras.

Para promover una mayor seguridad de los datos, el Zero Trust debería ser por defecto, lo que implica permitir a los usuarios el acceso a los sistemas y datos que se requieren, nada más. Para evitar la complejidad en la aplicación de las políticas hay que crear grupos bien definidos con funciones asignadas para que sólo concedan acceso a los recursos elegidos.

Implementar la encriptación

La encriptación de los  datos es una mejor práctica de seguridad independientemente de la ubicación. Al utilizar los servicios en la nube los datos se exponen a un mayor riesgo al almacenarlos en una plataforma de terceros y enviarlos de ida y vuelta entre la red y el servicio en la nube. Hay que asegurarse de implementar los más altos niveles de encriptación para los datos, tanto en tránsito como en reposo.

Política de seguridad de contraseñas fuertes

Una fuerte política de contraseñas es la mejor práctica, independientemente del servicio al que se acceda. La aplicación de la política más estricta posible es un elemento importante para evitar el acceso no autorizado. 

Como requisito mínimo, todas las contraseñas deberían requerir una letra mayúscula, una letra minúscula, un número, un símbolo y un mínimo de 14 caracteres. Para fortalecer este sistema, los usuarios deberían actualizar su contraseña cada 90 días y configurarla de manera que el sistema recuerde las últimas 24 contraseñas. Una política de control como ésta evitará que los usuarios creen contraseñas simples, en múltiples dispositivos, y los defenderá de la mayoría de los ataques de malware que reciban. 

Usar un Cloud Access Security Broker (CASB)

Por último, un CASB ofrece un sofisticado conjunto de herramientas de cloud security para proporcionar visibilidad de su ecosistema en la nube, hacer cumplir las políticas de seguridad de datos, implementar la identificación y protección de amenazas y mantener el cumplimiento.

 

¿Necesitas un experto en Cloud?