Mejores prácticas para proteger tus datos en un entorno Cloud

Respecto al proveedor

La selección del proveedor de servicios será uno de los factores más importantes a considerar, ya que hablamos de la implantación de un producto, sino la prestación de un tipo de servicios que atañen directamente a las partes más sensibles de la organización, como su eficiencia, su seguridad y su cumplimiento.

Existen numerosos factores a considerar, entre ellos los siguientes.

• Contar con un proveedor certificado. Es recomendable contar con un proveedor de nube que ofrezca los mejores protocolos de seguridad y que se ajuste a las mejores prácticas de la industria. No te conformes con menos; del mismo modo que los grandes (Amazon, Google, Microsoft) ofrecen acceso transparente a los detalles de su estrategia de cumplimiento y sus certificaciones, y así deberá ser con cualquier otro proveedor.
• Comprender el modelo de responsabilidad compartida. Los principales proveedores de servicios en la nube, como AWS, Azure, Google Cloud o Alibaba Cloud publican lo que se conoce como “modelo de responsabilidad compartida para la seguridad”. Cualquier proveedor fiable contará con un documento similar. Analízalo y comprueba qué tareas permanecerán en la organización y cuáles serán manejadas por el proveedor. La fórmula idónea variará en función de si se trata de modelo as a Service (SaaS, PaaS, IaaS) o en las instalaciones.
• Revisar los acuerdos de nivel de servicio. Los SLA y contratos de servicios cloud no sólo son una garantía de servicio y recursos en caso de incidentes. También deben detallar claramente quién es propietario y quién es responsable de qué datos. Y este es un asunto clave, porque muchos proveedores no especifican que los datos de los clientes son propiedad del cliente, lo cual podría llevar eventualmente a que el proveedor reclame la propiedad de los datos.
• Visibilidad y control. Aunque lo hayas oído mil veces, no por ello deja de ser actual: “No puedes proteger lo que no puedes ver”. Cualquier buen proveedor de servicios ha de ofrecer una visibilidad total de los datos y de quién está accediendo a ellos, independientemente de dónde residan. El proveedor deberá ofrecer, asimismo, una monitorización continua de la actividad para descubrir cambios de configuración y seguridad en toda la infraestructura, así como garantizar el cumplimiento normativo.
• Protección de activos. La obligación de conocer dónde se almacenan, procesan y gestionan los datos de la organización siempre ha sido importante, pero pasó a ser obligatoria con normativas como el RGPD. Para asegurar que los activos están protegidos, el proveedor habrá de contar en su centro de datos con medidas avanzadas de protección física para proteger todos los activos de información.
• Seguridad operativa. Al seleccionar un servicio de nube, es clave buscar un proveedor que implemente un sólido plan de seguridad operacional, informando siempre de inmediato ante cualquier cambio que pueda afectar a la seguridad. También deberá contar con un sistema de gestión de vulnerabilidades, herramientas avanzadas de monitorización; y, desde luego, un proceso de gestión de incidentes listo para desplegar una respuesta rápida y efectiva ante cualquier ataque.
• Cumplimiento. El proveedor habrá de seguir las mejores prácticas de la industria en materia de Cloud Security y, si es un proveedor sólido, contará con una o varias certificaciones reconocidas, como por ejemplo STAR, HIPPA o PCI. También es recomendable identificar un proveedor con certificaciones específica para el sector en el que opera la organización.

En el marco de las operaciones

Una vez seleccionado el proveedor y constituido el plan de Cloud Security de la organización, será necesario mantener y alimentar una política de inteligencia de negocio que permita automatizar en la medida de lo posible las tareas de prevención, protección y respuesta. Para ello, continuación se muestran una serie de aspectos que pueden ayudar.

• Visibilidad. La mayoría de las grandes organizaciones utilizan múltiples servicios de nube, con una amplia variedad de proveedores y en diferentes geografías. Una estrategia adecuada de Cloud Security aportará visibilidad de todo el ecosistema, incluyendo recursos, proyectos y regiones cloud desde un único centro de control. Esto, además, permitirá implementar políticas de seguridad granulares.
• Protección de datos tanto en tránsito como en reposo. Un ejemplo perfecto de responsabilidad compartida. A nivel operativo, necesitarás protección para evitar la intercepción o el cifrado de datos. El proveedor, por supuesto, habrá de herramientas para a cifrar fácilmente sus datos en tránsito y en reposo, a fin de garantizar el mismo nivel de protección en ambos casos.
• Gestión de usuarios. Control de accesos. Es recomendable comenzar desde un sitio Zero Trust, que dé a los usuarios acceso únicamente a los sistemas y datos que requieren. Para evitar la complejidad en la aplicación de las políticas, es posible definir grupos con funciones concretas con diferentes privilegios de acceso para luego añadir nuevos usuarios, en lugar de tener que personalizar el acceso para cada usuario.
• Protección de dispositivos. La mayoría de los usuarios accederán a sus servicios en la nube a través de navegadores web, por lo que será esencial contar con seguridad avanzada a nivel cliente, así como mantener el software actualizado con los últimos parches de seguridad. Pero igualmente importante será implementar una solución de seguridad endpoint para proteger los dispositivos móviles.
• Cifrado. Al utilizar servicios en la nube, los datos se exponen a un mayor riesgo al almacenarlos en una plataforma de terceros y moverlos entre la red y el servicio en la nube. Por tanto, será necesario asegurarse de implementarlo para todos los datos, tanto en reposo como tránsito. El proveedor de nube puede ofrecer servicios de cifrado incorporados para proteger sus datos de terceros, pero con ello estás permitiendo a un tercero acceder a las claves de cifrado de la empresa.
• Gestión de contraseñas. La aplicación de una estricta política de contraseñas será clave para evitar accesos no autorizados. Por ejemplo, establecer requisitos mínimos para que una contraseña sea válida, u obligar a los usuarios a actualizar su contraseña cada cierto tiempo... Como capa adicional de seguridad y protección, también debería implementar autenticación multifactorial.

Agentes de acceso seguro (CASB)

El uso de los CASB se está convirtiendo rápidamente en una herramienta central para implementar las mejores prácticas de Cloud Security. Es un software que se encuentra entre el usuario y el proveedor de servicios de nube que ofrece un sofisticado conjunto de herramientas para proporcionar visibilidad del ecosistema cloud, aplicar las políticas de seguridad de datos, implementar protección ante amenazas y mantener el cumplimiento.

Los CASB aportan visibilidad en todas las aplicaciones de la nube, tanto las autorizadas como las no autorizadas, ya que aportan una imagen completa de la actividad en la nube para tomar las medidas de seguridad necesarias. De este modo, la organización puede limitar o permitir el acceso basándose en el estado o la ubicación.

Otro elemento clave de los CASB es la aplicación de políticas para evitar el uso compartido no autorizado de los datos. Lo que permite proteger información confidencial como datos financieros, datos de propiedad, números de tarjeta de crédito o registros sanitarios.

Por último, los agentes de seguridad de acceso a la nube son una buena herramienta de prevención de amenazas, detectando el comportamiento inusual en las aplicaciones cloud para identificar ransomware, usuarios en riesgo o aplicaciones no autorizadas, e incluso remediar automáticamente amenazas.

Evaluación de la postura de seguridad en la nube

Con el modelo de responsabilidad compartida, el proveedor de nube queda a cargo de la protección de la capa de infraestructura, pero es el usuario quien debe hacer la configuración de los servicios. Y no se trata sólo de establecer las configuraciones adecuadas, los equipos deben abordar cualquier desviación lo antes posible. Según datos de Gartner, el 80% de las brechas de seguridad son causadas por configuraciones incorrectas.

Una buena solución son las herramientas de gestión de la postura de seguridad en la nube (CSPM), que aportan visibilidad sobre los activos cloud para preservar el incumplimiento evitando las configuraciones incorrectas (parches de seguridad no actualizados, permisos incorrectos, datos no cifrados, etc.) También integran herramientas digitales que le permiten evaluar las medidas de seguridad, las políticas y otras soluciones implementadas.

Las herramientas CSPM son muy utilizadas en todo tipo de entornos: infraestructuras y entornos híbridos, multicloud, contenedores... También permiten la gestión de las políticas de seguridad en todas las cuentas, proyectos, regiones o redes a través de una única consola.