Asegurando la nube

La adopción del almacenamiento en la nube se ha convertido en furor entre las empresas de todo el mundo debido a su accesibilidad, escalabilidad y menor gasto de TI. Sin embargo, la seguridad del almacenamiento en la nube ahora se ha convertido en una de las principales preocupaciones de las organizaciones a pesar de su conveniencia y del hecho de que brinda a sus empleados acceso a los datos de la empresa en cualquier lugar, en cualquier dispositivo y en cualquier momento.

El almacenamiento en la nube es una alternativa rentable al costoso hardware implementado localmente. Sin embargo, realizar su negocio en la nube significa que sus datos confidenciales y archivos confidenciales están expuestos a nuevos riesgos, ya que los datos almacenados en la nube están fuera de muchos de los límites de las medidas de seguridad que de otro modo emplearía para protegerlos en sus instalaciones.

Además, el advenimiento de la oficina conectada y la tecnología de Internet de las cosas (IoT) ha hecho que las empresas dependan cada vez más de la tecnología en la nube a pesar de los riesgos de seguridad. A medida que más dispositivos corporativos se conectan a Internet, aumenta el potencial de fugas o compromisos no deseados.

Quizás el mayor desafío que presenta la seguridad del almacenamiento en la nube es el uso de servicios gratuitos de almacenamiento en la nube y de intercambio de archivos que no están aprobados por su departamento de TI y no cumplen con los estándares mínimos de seguridad. A sabiendas o no, sus empleados pueden poner en riesgo los datos confidenciales de la empresa sin el conocimiento o la aprobación de su departamento de TI.

Afortunadamente, a continuación hay diez soluciones que pueden ayudarlo a mejorar la seguridad de su almacenamiento en la nube para mantener sus datos seguros en la nube.

Soluciones de seguridad de almacenamiento en la nube

1. Evite almacenar sus datos confidenciales en la nube

Ningún servicio de almacenamiento en la nube en el mundo es 100 por ciento seguro. Por lo tanto, dado que las organizaciones que usan servicios de almacenamiento en la nube tienen más probabilidades de enfrentar problemas de seguridad que las que almacenan datos localmente, se deduce que no debe almacenar ningún dato confidencial en la nube o en ningún espacio virtual. Debe auditar todos los archivos que desea almacenar en la nube para eliminar todos los datos confidenciales.

2. Gestión eficaz de contraseñas

Como empresa, su departamento de TI tiene que administrar varias cuentas de empleados, lo que dificulta el desarrollo de un marco de seguridad infalible. Sin embargo, con herramientas efectivas de administración de contraseñas a su disposición, puede desarrollar y administrar contraseñas seguras para todos los usuarios de su red. Debe restablecer sus contraseñas regularmente, así como cada vez que un empleado se va.

Como usuario final, debe crear contraseñas difíciles de adivinar y recordarlas. Si necesita realizar un seguimiento de varias contraseñas, debe considerar los servicios de software que manejan la creación y el almacenamiento de contraseñas. Asegúrese de recordar sus contraseñas maestras y no guarde un registro de ellas en su computadora.

3. Usar autenticación multifactor

Dado que las contraseñas pueden ser pirateadas, extraviadas o comprometidas, es más seguro usar la autenticación multifactor como una capa de seguridad adicional para su inicio de sesión. Además de su nombre de usuario y contraseña, la autenticación multifactor requiere un tercer factor para la autenticación de identidad. Esto podría ser una huella digital, un análisis de voz o un código único al que solo usted tiene acceso, y se genera por separado.

4. Cifrado

Debe cifrar sus datos en el origen, en tránsito y en reposo. La solución más segura es cifrar sus datos en origen y administrar las claves usted mismo. Aunque los datos en tránsito son relativamente seguros debido a la llegada de SDN con virtualización de red, siempre use el cifrado de extremo a extremo para estar seguro. Toda interacción con el servidor de su CSP debe ocurrir mediante transmisión SSL por seguridad. Además, el SSL solo debe terminar dentro de la red de su proveedor de servicios en la nube.

Para los datos en reposo, el cifrado garantiza que cumpla con las políticas de privacidad, las obligaciones contractuales y los requisitos reglamentarios para el manejo de datos confidenciales. Los datos almacenados en discos de almacenamiento en la nube deben cifrarse y las claves de cifrado también deben cifrarse con claves maestras rotadas periódicamente. Idealmente, su CSP también debe proporcionar cifrado a nivel de campo, donde puede especificar los campos que desea cifrar (por ejemplo, SSN, CFP, número de tarjeta de crédito, etc.).

5. Uso de Pruebas de Vulnerabilidad Rigurosas y Continuas

Su CSP debe emplear herramientas de respuesta a incidentes y vulnerabilidades de primer nivel. Las soluciones de estas herramientas de respuesta deben admitir evaluaciones de seguridad totalmente automatizadas para probar las debilidades del sistema y acortar el tiempo entre auditorías de seguridad críticas. Los escaneos se pueden realizar bajo demanda o cuando se programan.

6. Administrar el acceso mediante la seguridad de datos a nivel de usuario

Su servicio en la nube debe proporcionar características definidas de control de acceso basadas en roles (RBAC) que le permitan configurar permisos de edición de datos y acceso específicos del usuario. El sistema debe permitir la segregación de funciones aplicada, detallada y basada en el control de acceso dentro de su organización para ayudar a mantener el cumplimiento de los estándares de seguridad de datos externos e internos, como los marcos HITRUST y COBIT.

7. Insista en Certificaciones de Cumplimiento Riguroso

Las dos certificaciones más importantes de la industria son:

• SOC 2 o 3 Tipo II: útil en la supervisión del cumplimiento normativo, los programas de gestión de proveedores y los procesos internos de gestión de riesgos. La certificación SOC 2 o 3 confirma que un servicio de software, como un CSP, no solo está diseñado específicamente, sino que también se administra rigurosamente para garantizar el más alto nivel de seguridad.
• PCI DSS: un proveedor de SaaS debe someterse a auditorías detalladas para asegurarse de que los datos confidenciales se almacenen, transmitan y procesen de manera totalmente protegida y segura para lograr esta certificación. Este estándar de seguridad integral incluye requisitos para la gestión de seguridad, procedimientos, políticas, diseño de software, arquitectura de red y otras medidas de protección críticas.

8. Uso de una política de eliminación de datos definida

Debe tener una política de eliminación de datos con sus clientes que esté bien definida y aplicada. Por lo tanto, al final del período de retención de datos de un cliente, sus datos deben eliminarse mediante programación como se define en su contrato. Esto no solo libera espacio de almacenamiento muy necesario, sino que también evita el acceso no autorizado.

9. Usar copias de seguridad de datos

Tenga siempre en cuenta que el almacenamiento en la nube (o sincronización) no es una copia de seguridad. Básicamente, si sus datos se eliminan del extremo de la nube, también se eliminan de su máquina local. Al arrancar, la mayoría de los servicios de almacenamiento en la nube no ofrecen buenos historiales de revisión para los archivos sincronizados. Por lo tanto, para protegerse contra la pérdida de datos, debe utilizar la copia de seguridad en línea. Aquí, use varias copias de seguridad de datos, incluida una que esté fuera del sitio. Los servicios de respaldo en línea actualizan regularmente sus datos completos con revisiones granulares. Los datos también se almacenan y cifran en el centro de datos de un tercero.

10. Educación y sensibilización de los empleados

Además de implementar soluciones de seguridad estrictas para proteger los datos de su empresa contra el acceso no autorizado y hacer cumplir las políticas de seguridad en la nube, es imperativo que eduque a sus empleados sobre los riesgos que conlleva la adopción de la nube. Esto incluye especialmente la necesidad de proteger sus contraseñas y dispositivos de punto final.

La línea de fondo

A medida que las empresas incorporan la adopción de la nube, la seguridad del almacenamiento en la nube se está convirtiendo rápidamente en una prioridad principal en las estrategias de seguridad de la información y la arquitectura de TI. Las empresas están reconociendo lo crucial que es proteger sus datos mientras permiten que sus empleados disfruten de la flexibilidad y el rendimiento de la nube.

Comparte la responsabilidad del almacenamiento en la nube con su CSP. Ergo, su CSP es responsable de implementar protecciones básicas como el cifrado, la autenticación y el control de acceso para los datos que procesan y sus plataformas. A partir de ahí, complementa estas protecciones por su parte con medidas de seguridad adicionales para reforzar el acceso a su información confidencial y reforzar la protección de datos en la nube.

Nota del editor : Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno corporativo, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT. Obtenga más información en ReciprocityLabs.com.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

• Por qué 'vivir en la nube' es la clave para un departamento de TI ganador
• Los firewalls de próxima generación están aquí para proteger la nube
• Los 4 mayores desafíos al mover sus datos a la nube
• 6 razones por las que la computación en la nube es valiosa para las pequeñas empresas