La computación en la nube se ha convertido en una necesidad para empresas y consumidores. Junto con esta tecnología, vienen desafíos de seguridad que deben considerarse y superarse, como la pérdida de datos, API y administración de cuentas de usuario.
La nube.
Hace dos décadas, era un enigma. Muchos no entendían muy bien qué era, qué prometía o en qué se convertiría. Hoy, sin embargo, la nube está en todas partes. Los consumidores y las empresas están tan arraigados en la nube que quedarse sin ella se convertiría en un nuevo tipo de problema.
Pero adoptarlo presenta sus propios problemas, especialmente en el ámbito de la seguridad. A diferencia de los métodos tradicionales de almacenamiento y uso compartido de archivos, la nube requiere un tercero, lo que a menudo significa que no se tiene control total sobre todos los aspectos del sistema.
Y eso es sólo mirarlo desde la perspectiva del consumidor. Las mayores complicaciones surgen cuando una empresa depende de la nube para casi todos los aspectos de su flujo de trabajo empresarial. No sólo está empleando múltiples servicios, sino que sus desarrolladores pueden tener que dedicar tiempo y esfuerzo a vincular aplicaciones internas con API de terceros.
Investigación realizada en siete países con más de 2.500 profesionales de seguridad en la nube y DevOps. Fuente: Palo Alto Networks
De ahí surgen complicaciones, muchas de las cuales tienen implicaciones especiales en materia de ciberseguridad. Pero como casi todas las empresas del mundo dependen de la nube, es importante que tengan en cuenta los problemas de seguridad que han estado, están y siempre estarán asociados con la tecnología. Según Palo Alto Networks , "el 72% de las organizaciones reportan una tasa de rotación superior al promedio en roles de seguridad en la nube". Al mismo tiempo, “el 78% de los encuestados quiere una mayor seguridad desde el primer día” en las herramientas que utilizan.
Es evidente que los desafíos son considerables. Examinemos estos desafíos para que sepa qué le espera a su negocio y los equipos/organizaciones que lo mantienen en funcionamiento.
¿Cómo lidiar con la pérdida de datos y la seguridad?
Esta pregunta debería estar en el centro de su empresa todos los días. Es muy probable que almacene datos en la nube. Estos datos podrían ser información de la empresa, detalles del cliente, registros del consumidor, información bancaria, detalles del producto, planes, contactos o registros fiscales. Parte de esta información puede ser de dominio público, mientras que otra puede ser altamente confidencial.
Imagínese si hubiera una infracción en su proveedor de nube externo y todos estos datos se filtraran al público. Esto podría ser desastroso para su negocio.
El desafío aquí es que usted no tiene el control de la seguridad de, digamos, Google Cloud, AWS o Azure. En cambio, deberías dejarlo en manos de los respectivos equipos. La buena noticia es que todos estos servidores en la nube de terceros son muy buenos para mantener sus datos seguros. Sin embargo, esto no significa que exista una garantía del 100% de que no sucederá nada. Debido a esto, podría considerar mantener sus datos más confidenciales internamente.
Por supuesto, incluso entonces, no hay garantía de que la LAN de su empresa no sea pirateada.
Hay maneras de ayudar a prevenir tal incumplimiento. Veamos algunas de las mejores prácticas.
Preste atención a las API inseguras
Una de las muchas formas en que los piratas informáticos pueden acceder a empresas como Google Cloud es a través de API inseguras. Si su empresa depende de varias API para vincular sus sistemas internos a una nube de terceros, es fundamental que utilice una API conocida y confiable o que sus desarrolladores creen API personalizadas con la seguridad en el centro del software.
Esto puede significar que su empresa tendría que contratar una organización de seguridad (o un equipo interno) para examinar el código API. Puede resultar tentador utilizar la API tan pronto como los desarrolladores terminen de crearla, pero revisar bien el código contribuirá en gran medida a prevenir violaciones de datos. Si cada empresa examinara cuidadosamente su código API personalizado, las posibilidades de que los piratas informáticos accedan a estas nubes de terceros se reducirían considerablemente.
Mantenga su código API limpio, libre de errores y vulnerabilidades y siempre actualizado.
Al mismo tiempo, es fundamental que sus desarrolladores no guarden contraseñas o claves de cuenta en el código API. Asegúrese de utilizar un administrador secreto para que estas claves no solo se almacenen fuera de la API, sino que también se cifren.
Actualizar cuentas de usuario
Es probable que sus desarrolladores y equipos de DevOps no sean los únicos que utilicen las cuentas en la nube de su empresa. Probablemente tenga cientos (o tal vez miles) de usuarios con cuentas que utiliza a diario.
Ahora, imagine que una de estas cuentas de usuario es pirateada, dándole al actor de la amenaza acceso a los productos que contiene.
Esta es una de las mayores amenazas a la seguridad que encontrará al tratar con la nube. Debido a esto, debe emplear políticas de contraseña y de uso estrictas. A menos que un empleado tenga un motivo para conectarse a sus cuentas en la nube fuera de la LAN de su empresa, debe evitarlo. La única razón para permitir el acceso externo sería para empleados remotos. Aun así, debes adoptar políticas estrictas de contraseña, uso, hardware y acceso. Esto es especialmente cierto para aquellos usuarios a los que se les permite acceder a los datos almacenados en su nube.
Sería una buena idea exigir cambios regulares de contraseña (además de exigir contraseñas seguras/únicas). Además, asegúrese de que los usuarios eliminen periódicamente de sus cuentas los datos que ya no necesitan o utilizan.
Necesitas profesionales capacitados y calificados
Debe tener un equipo de desarrollo con las habilidades para escribir código seguro. La necesidad de empleados altamente calificados no debería terminar ahí. Necesita administradores que puedan trabajar con éxito con los paneles que ofrece su proveedor de nube, además de conocer todas las herramientas de seguridad disponibles.
Si tiene empleados que no están altamente capacitados en la plataforma en la nube de su elección, corre el riesgo de que alguien configure mal una opción, dejando su empresa expuesta a una intrusión. Una vez que se haya decidido por un proveedor de nube (o incluso una vez que lo haya decidido), el siguiente paso debería ser capacitar adecuadamente a quienes participan en el desarrollo, la gestión y el uso de la plataforma de nube para mitigar los errores.
Esté atento a DoS
Los ataques de denegación de servicio son el problema más común al que se enfrentan las empresas. Estos ataques pueden inutilizar su red, lo que significa que no podrá trabajar con su nube. Si bien es posible que esto no provoque intrusiones directas en sus sistemas, los ataques DoS pueden usarse para exigir un rescate de su red.
Por lo tanto, es esencial que concentre suficientes esfuerzos para mantener segura no solo su nube sino también su LAN. Y los ataques DoS no son el único problema. También debe estar atento a las intrusiones que podrían llevar a los piratas informáticos a descubrir credenciales de usuario para cuentas en la nube o acceder a su código API patentado.
Si está interesado en abordar los desafíos de ciberseguridad en su empresa, obtenga más información sobre nuestra experiencia, habilidades técnicas y certificaciones en ciberseguridad.
Conclusión: abordar los desafíos de seguridad de frente
Podría pensar que, dado que está pagando por una nube de terceros, puede confiar todas sus preocupaciones de seguridad al proveedor. La verdad es que usted es tan responsable de la seguridad de sus cuentas en la nube como el proveedor.
Considere estos desafíos y enfréntelos de frente. No esté mal preparado para los continuos desafíos de seguridad que enfrenta al adoptar la nube como parte de su infraestructura.
Como siempre dicen, más vale prevenir que curar.
