Millors pràctiques per protegir les teves dades en un entorn Cloud

Respecte al proveïdor

La selecció del proveïdor de serveis serà un dels factors més importants a considerar, ja que parlem de la implantació d'un producte, sinó la prestació d'un tipus de serveis que afecten directament les parts més sensibles de l'organització, com la seva eficiència, la seva seguretat i el seu compliment.

Hi ha nombrosos factors a considerar, entre ells els següents.

• Comptar amb un proveïdor certificat. És recomanable comptar amb un proveïdor de núvol que ofereixi els millors protocols de seguretat i que s'ajusti a les millors pràctiques de la indústria. No et conformis amb menys; de la mateixa manera que els grans (Amazon, Google, Microsoft) ofereixen accés transparent als detalls de la seva estratègia de compliment i les seves certificacions, així haurà de ser amb qualsevol altre proveïdor.
• Comprendre el model de responsabilitat compartida. Els principals proveïdors de serveis en el núvol, com AWS, Azure, Google Cloud o Alibaba Cloud publiquen el que es coneix com a “model de responsabilitat compartida per a la seguretat”. Qualsevol proveïdor fiable comptarà amb un document similar. Analitza'l i comprova quines tasques romandran en l'organització i quines seran manejades pel proveïdor. La fórmula idònia variarà en funció de si es tracta de model as a Service (SaaS, PaaS, IaaS) o en les instal·lacions.
• Revisar els acords de nivell de servei. Els SLA i contractes de serveis cloud no només són una garantia de servei i recursos en cas d'incidents. També han de detallar clarament qui és propietari i qui és responsable de quines dades. I aquest és un assumpte clau, perquè molts proveïdors no especifiquen que les dades dels clients són propietat del client, la qual cosa podria portar eventualment a que el proveïdor reclami la propietat de les dades.
• Visibilitat i control. Encara que ho hagis sentit mil vegades, no per això deixa de ser actual: “No pots protegir el que no pots veure”. Qualsevol bon proveïdor de serveis ha d'oferir una visibilitat total de les dades i de qui està accedint a elles, independentment d'on resideixin. El proveïdor haurà d'oferir, així mateix, una monitorització contínua de l'activitat per descobrir canvis de configuració i seguretat en tota la infraestructura, així com garantir el compliment normatiu.
• Protecció d'actius. L'obligació de conèixer on s'emmagatzemen, processen i gestionen les dades de l'organització sempre ha estat important, però va passar a ser obligatòria amb normatives com el RGPD. Per assegurar que els actius estan protegits, el proveïdor haurà de comptar en el seu centre de dades amb mesures avançades de protecció física per protegir tots els actius d'informació.
• Seguretat operativa. En seleccionar un servei de núvol, és clau buscar un proveïdor que implementi un sòlid pla de seguretat operacional, informant sempre de seguida davant qualsevol canvi que pugui afectar la seguretat. També haurà de comptar amb un sistema de gestió de vulnerabilitats, eines avançades de monitoratge; i, per descomptat, un procés de gestió d'incidents llest per desplegar una resposta ràpida i efectiva davant qualsevol atac.
• Compliment. El proveïdor haurà de seguir les millors pràctiques de la indústria en matèria de Cloud Security i, si és un proveïdor sòlid, comptarà amb una o diverses certificacions reconegudes, com per exemple STAR, HIPPA o PCI. També és recomanable identificar un proveïdor amb certificacions específiques per al sector en el qual opera l'organització.

En el marc de les operacions

Un cop seleccionat el proveïdor i constituït el pla de Cloud Security de l'organització, serà necessari mantenir i alimentar una política d'intel·ligència de negoci que permeti automatitzar en la mesura del possible les tasques de prevenció, protecció i resposta. Per a això, a continuació es mostren una sèrie d'aspectes que poden ajudar.

• Visibilitat. La majoria de les grans organitzacions utilitzen múltiples serveis de núvol, amb una àmplia varietat de proveïdors i en diferents geografies. Una estratègia adequada de Cloud Security aportarà visibilitat de tot l'ecosistema, incloent-hi recursos, projectes i regions cloud des d'un únic centre de control. Això, a més, permetrà implementar polítiques de seguretat granulars.
• Protecció de dades tant en trànsit com en repòs. Un exemple perfecte de responsabilitat compartida. A nivell operatiu, necessitaràs protecció per evitar la intercepció o el xifrat de dades. El proveïdor, per descomptat, haurà de proporcionar eines per xifrar fàcilment les seves dades en trànsit i en repòs, a fi de garantir el mateix nivell de protecció en ambdós casos.
• Gestió d'usuaris. Control d'accessos. És recomanable començar des d'un lloc Zero Trust, que doni als usuaris accés únicament als sistemes i dades que requereixen. Per evitar la complexitat en l'aplicació de les polítiques, és possible definir grups amb funcions concretes amb diferents privilegis d'accés per després afegir nous usuaris, en lloc d'haver de personalitzar l'accés per a cada usuari.
• Protecció de dispositius. La majoria dels usuaris accediran als seus serveis al núvol a través de navegadors web, per la qual cosa serà essencial comptar amb seguretat avançada a nivell client, així com mantenir el programari actualitzat amb els últims pegats de seguretat. Però igualment important serà implementar una solució de seguretat endpoint per protegir els dispositius mòbils.
• Xifrat. En utilitzar serveis al núvol, les dades s'exposen a un major risc en emmagatzemar-les en una plataforma de tercers i moure-les entre la xarxa i el servei al núvol. Per tant, serà necessari assegurar-se d'implementar-lo per a totes les dades, tant en repòs com en trànsit. El proveïdor de núvol pot oferir serveis de xifrat incorporats per protegir les seves dades de tercers, però amb això estàs permetent a un tercer accedir a les claus de xifrat de l'empresa.
• Gestió de contrasenyes. L'aplicació d'una estricta política de contrasenyes serà clau per evitar accessos no autoritzats. Per exemple, establir requisits mínims perquè una contrasenya sigui vàlida, o obligar els usuaris a actualitzar la seva contrasenya cada cert temps... Com a capa addicional de seguretat i protecció, també hauria d'implementar autenticació multifactorial.

Agents d'accés segur (CASB)

L'ús dels CASB s'està convertint ràpidament en una eina central per implementar les millors pràctiques de Cloud Security. És un programari que es troba entre l'usuari i el proveïdor de serveis de núvol que ofereix un sofisticat conjunt d'eines per proporcionar visibilitat de l'ecosistema cloud, aplicar les polítiques de seguretat de dades, implementar protecció davant amenaces i mantenir el compliment.

Els CASB aporten visibilitat en totes les aplicacions del núvol, tant les autoritzades com les no autoritzades, ja que aporten una imatge completa de l'activitat en el núvol per prendre les mesures de seguretat necessàries. D'aquesta manera, l'organització pot limitar o permetre l'accés basant-se en l'estat o la ubicació.

Un altre element clau dels CASB és l'aplicació de polítiques per evitar l'ús compartit no autoritzat de les dades. El que permet protegir informació confidencial com dades financeres, dades de propietat, números de targeta de crèdit o registres sanitaris.

Finalment, els agents de seguretat d'accés al núvol són una bona eina de prevenció d'amenaces, detectant el comportament inusual en les aplicacions cloud per identificar ransomware, usuaris en risc o aplicacions no autoritzades, i fins i tot remediar automàticament amenaces.

Avaluació de la postura de seguretat en el núvol

Amb el model de responsabilitat compartida, el proveïdor de núvol queda a càrrec de la protecció de la capa d'infraestructura, però és l'usuari qui ha de fer la configuració dels serveis. I no es tracta només d'establir les configuracions adequades, els equips han d'abordar qualsevol desviació el més aviat possible. Segons dades de Gartner, el 80% de les bretxes de seguretat són causades per configuracions incorrectes.

Una bona solució són les eines de gestió de la postura de seguretat en el núvol (CSPM), que aporten visibilitat sobre els actius cloud per preservar l'incompliment evitant les configuracions incorrectes (pegats de seguretat no actualitzats, permisos incorrectes, dades no xifrades, etc.) També integren eines digitals que li permeten avaluar les mesures de seguretat, les polítiques i altres solucions implementades.

Les eines CSPM són molt utilitzades en tot tipus d'entorns: infraestructures i entorns híbrids, multicloud, contenidors... També permeten la gestió de les polítiques de seguretat en tots els comptes, projectes, regions o xarxes a través d'una única consola.