Estadísticas recientes de Laminar, un proveedor de seguridad en la nube, tienen algunos detalles condenatorios. Según la investigación de la empresa, la mitad de los encuestados afirmó que sus entornos en la nube habían sido violados entre 2020 y 2021.
El 13 % no estaba seguro de si se habían producido ciberamenazas o infracciones en sus sistemas.
La nube ya no es una palabra de moda, sino una necesidad para que la mayoría de las empresas almacenen sus datos, aplicaciones y otros activos. Y a medida que más proveedores inundan el mercado, proteger los datos confidenciales en entornos de nube es un requisito comercial necesario en la actualidad.
¿Por qué una organización podría utilizar un entorno de nube?
Los entornos en la nube permiten la computación en la nube, lo que permite a las empresas y a su personal acceder a información, datos o activos en cualquier lugar. Los entornos de nube almacenan esta información a través de Internet en lugar de almacenarla en su computadora o servidores en su oficina.
Siempre que cualquier persona en la empresa tenga acceso y un dispositivo compatible, generalmente un teléfono móvil, puede leer o descargar esta información o activos.
Por lo tanto, los entornos en la nube brindan un enfoque más moderno para manejar las necesidades comerciales. Puede almacenar y hacer una copia de seguridad de los datos en la nube, ejecutar aplicaciones de software y optimizar la forma en que se comparte la información dentro de la empresa.
Los diferentes tipos de entornos en la nube
Hay cuatro tipos principales de computación en la nube. Estos incluyen nubes públicas, nubes privadas, nubes múltiples y nubes híbridas.
- Nubes públicas Este es un tipo de entorno de nube en el que un proveedor de servicios en la nube pone los recursos informáticos a disposición de los usuarios a través de la Internet pública. Se puede acceder a estos recursos de forma gratuita o comprarlos mediante una suscripción o un modelo de precios de pago por uso.
- Nubes privadas En este entorno de nube, toda la infraestructura de nube y los recursos informáticos son accesibles y están dedicados a un cliente. Tiene mejor seguridad, control de acceso y personalización de recursos con nubes privadas.
- Nubes múltiples Este entorno utiliza dos o más nubes provenientes de dos o más proveedores. Puede ser tan simple como usar un SaaS de edición de imágenes de un proveedor y un SaaS de correo electrónico de otro. Según IBM, alrededor del 85 % de las organizaciones utilizan este entorno de nube.
- Nubes híbridas una nube híbrida combina entornos de nube pública y privada. Estas nubes están integradas en una infraestructura única y flexible que la organización puede utilizar. Este entorno brinda a las organizaciones la flexibilidad de usar nubes públicas y privadas de manera óptima en función de sus necesidades de datos y aplicaciones.
Estos cuatro entornos de nube comparten algunas propiedades. Cada entorno de nube aún extrae, agrupa y comparte recursos informáticos escalables a través de una red. Cada tipo también permite la computación en la nube, donde puede ejecutar cargas de trabajo o aplicaciones en ese sistema.
También tiene la flexibilidad de agregar una combinación única de tecnologías, como un sistema operativo, interfaces de programación de aplicaciones (API), una plataforma de administración y virtualización más software de automatización.
Cómo los entornos de nube pueden volverse vulnerables
La seguridad en los entornos de nube ha sido un tema polémico que la mayoría de las organizaciones evitan usar entornos de nube, especialmente los servicios de nube pública.
Sin embargo, ha habido mejoras considerables en la industria. Según el proveedor de software de seguridad cibernética McAfee, el 52 % de las empresas disfrutan hoy en día de una mejor seguridad en la nube que la seguridad local para sus datos e infraestructura de TI.
Aún así, hay varias vulnerabilidades que tienen la mayoría de los entornos de nube. Éstos incluyen:
- Almacenamiento en la nube mal configurado
- API inseguras
- Incumplimiento de las regulaciones de la industria como GDPR
- Pérdida de control sobre las acciones del usuario final
- Mala gestión de acceso
- Incumplimiento contractual con clientes o socios comerciales
- Visibilidad y control reducidos sobre los activos u operaciones
En un alto nivel, algunas de estas vulnerabilidades son sinónimos de lo que encontraría en un centro de datos. Eso se debe a que la mayoría de los entornos de nube ejecutan piezas de software con vulnerabilidades que los adversarios pueden explotar.
Sin embargo, a diferencia de los centros de datos, la responsabilidad de mitigar los riesgos de seguridad derivados de estas vulnerabilidades de software se comparte entre el proveedor y el consumidor. Por esta razón, es necesario que las empresas que utilizan un entorno en la nube inviertan en capacitación adicional en seguridad en la nube para su personal.
¿Qué información es demasiado confidencial para almacenar en un entorno de nube?
Debido a que los entornos en la nube están lejos de ser a prueba de balas, hay cierta información que debe evitar almacenar en dichos entornos. Algunos de ellos incluyen:
- Datos de identificación personal, como números de seguro social, fecha de nacimiento y números de pasaporte
- Estrategias de litigio
- Expedientes médicos
- Información sobre los impuestos
- Información de misión crítica que maneja su negocio todos los días
- Propiedad intelectual (PI)
Si los ciberdelincuentes acceden a esta información, puede provocar la pérdida de ingresos, problemas legales o el cese de las operaciones comerciales de forma permanente o hasta que se resuelva la brecha de seguridad.
Cómo una empresa puede proteger sus entornos y datos en la nube
Existen algunas mejores prácticas que la empresa y sus empleados deben seguir para mantener una seguridad adecuada en la nube. Éstos incluyen:
- Cifrado de datos Todos los datos deben cifrarse cuando están en reposo, en uso o en tránsito. Debe tener y mantener un control total sobre las llaves de seguridad y el módulo de seguridad del hardware, si corresponde.
- Responsabilidad compartida por la ciberseguridad En la mayoría de los casos, el proveedor de la nube asume la responsabilidad de la seguridad de las infraestructuras. Por otro lado, el cliente asume la responsabilidad de proteger los datos y aplicaciones almacenados en la nube. Por ejemplo, puede alentar a sus empleados a usar Wi-Fi público con moderación cuando accedan a los servicios en la nube para la empresa. También es importante definir roles claros de propiedad de datos entre terceros públicos y privados.
- Gestión colaborativa Debe haber procesos y comunicaciones claros y adecuados entre los equipos de TI, seguridad y operaciones para garantizar que los entornos de nube estén perfectamente integrados, sean sostenibles y seguros. La excelente gestión colaborativa también le permite a su empresa detectar y tratar las filtraciones de datos más rápidamente.
- Gestión de acceso e identidad de usuario Debe haber un control claro y completo de quién tiene acceso a qué parte, datos o aplicación en el entorno de la nube. Los usuarios deben usar contraseñas seguras y autenticación de dos factores para acceder al sistema.
- Supervisando la seguridad y el cumplimiento, su organización y el analista de SOC deben comprender todos los estándares de cumplimiento normativo aplicables a su industria. También debe configurar sistemas para monitorear activamente todos los dispositivos conectados y los servicios basados en la nube para una mejor visibilidad de todos los datos intercambiados entre entornos de nube pública, privada e híbrida.
Comience a proteger sus entornos en la nube hoy
La nube seguirá siendo un recurso masivo para la mayoría de las empresas en los próximos años. Considere invertir en seguridad en la nube para su organización hoy en lugar de evitar entornos e infraestructuras en la nube debido a los posibles desafíos de seguridad.
Recuerde prestar mucha atención a los datos que almacena en su almacenamiento en la nube, tener procesos estrictos de administración de acceso e identidad de usuario para sus servicios en la nube, y monitorear activamente cada actividad en su entorno de nube para detectar y manejar mejor las infracciones.
Biografía del autor
Glenn Mabry es instructor sénior/investigador tecnológico de Legends of Tech. Con más de veinte años en la industria, Glenn es un experto en tecnología con experiencia en seguridad cibernética, ciencia de datos, nube, redes, codificación y más. Legends of Tech es una red de capacitación en tecnología que brinda a los mejores expertos en la materia de la industria la capacidad de mostrar sus habilidades y a los alumnos la ventaja de mantenerse a la vanguardia de la industria de ritmo extremadamente rápido.
¿Cómo protege una base de datos con datos confidenciales en una nube?
Aislamiento de red: una de las formas más fundamentales de ayudar a proteger su base de datos es colocarla en una nube privada virtual (VPC) o hacerla accesible solo desde su VPC a través de puntos finales de VPC. Esto es aplicable a servicios regionales como DynamoDB y Amazon S3.
¿Cómo protege los datos confidenciales?
¿Cómo puedo proteger los datos confidenciales? El cifrado es la forma más efectiva de proteger sus datos del acceso no autorizado. El cifrado se puede definir como la transformación de los datos en un formato alternativo que solo puede leer una persona con acceso a una clave de descifrado.