Cloud Security: estrategia integral imprescindible para la protección de datos en la nube
Según la última investigación de Cybersecurity Insiders, el 95% de las organizaciones están preocupadas por la seguridad de sus entornos en la nube (Cloud Security), mientras que una de cada cuatro confirma un incidente de seguridad en la nube en los últimos 12 meses. De hecho, según datos de Gartner, este apartado será el que más crezca en inversión de cara a 2023.
El concepto de Cloud Security hace referencia a la combinación de tecnologías, metodologías, procesos y políticas para proteger infraestructuras, sistemas y datos en la nube, y que puede personalizarse en función de los requerimientos específicos de la organización.
En España, según el informe anual de InfoBlox, el 47% de las empresas españolas experimentaron un incidente de seguridad en la nube en 2022. Esto no sólo afecta a la operativa, sino que además puede acarrear serias implicaciones legales y financieras. Statista, por ejemplo, reportó el año pasado multas de hasta 1.200 millones de dólares a grandes gigantes como Meta, Whatsapp o Google.
Más allá de preservar el cumplimiento, una correcta estrategia de Cloud Security ayuda a mantener la continuidad del negocio. Según una reciente encuesta de EMA, consultora especializada en gestión de datos, el coste medio por tiempo de inactividad no planificado es de 12.900 dólares por minuto, si bien el estudio pone de manifiesto que el coste varía según el tamaño de la empresa.
El concepto de Cloud Security no inventa nada nuevo, pero supone un cambio importante en la forma de concebir la defensa ante ataques a datos, aplicaciones y cargas de trabajo. A continuación, se muestran algunos de los retos más importantes.
- Exposición de datos confidenciales.
Según una reciente encuesta de IPM, la exposición de los datos es la mayor preocupación sobre Cloud Security entre los directivos de TI españoles. Y es que, por la naturaleza de la nube, cualquier persona, desde cualquier punto, con los recursos adecuados, puede acceder a cualquier información. Un vector de riesgo común son los buckets de almacenamiento, que con frecuencia están expuestos debido a problemas de configuración incorrecta. - Pérdida de visibilidad sobre la infraestructura.
Como norma general, las redes corporativas cloud ofrecen acceso a datos y servicios para cientos o miles de dispositivos dispersos, conectados a diferentes redes a lo largo de diferentes geografías. Esta complejidad puede causar que se pierda visibilidad sobre los diferentes elementos de la infraestructura. Sin los procesos correctos y las herramientas de gestión de seguridad adecuadas, los responsables técnicos pueden perder de vista quién está usando los servicios de nube, desde dónde y para qué. - Responsabilidad compartida.
Definir y normalizar cómo se utilizan, cómo se almacenan y quién está autorizado a acceder a los datos compartidos es también un reto clave. Por ejemplo, si un empleado mueve involuntariamente los datos que no debe a un servicio en la nube sin autorización, la empresa podría incurrir en un incumplimiento del contrato con el proveedor que podría acarrear dar lugar a acciones legales. - Amenazas internas.
El ejemplo mencionado en el punto anterior pone de manifiesto que empleados, contratistas y socios pueden ser uno de los mayores riesgos de seguridad en la nube. De hecho, la mayoría de los incidentes internos se deben a la falta de formación o a la negligencia. La nube incrementa aún más los riesgos, ya que la organización entrega el control de sus datos al proveedor de nube e introduce una nueva capa de amenaza interna, la de los empleados del proveedor. - Errores de configuración.
La configuración errónea de los servicios en la nube puede hacer que los datos se expongan públicamente, que puedan manipularse o incluso eliminarse. Falta de revisión en la seguridad predeterminada, errores en la configuración de la gestión de accesos... son problemas con los que lidiar a diario. Mención aparte merece la seguridad de las APIs, que son parte fundamental de las aplicaciones web, SaaS y móviles modernas, ya que suponen un nexo entre diferentes infraestructuras (locales o de nube). Pero una API cloud insegura es una puerta de entrada a accesos no autorizados. - Violaciones de cumplimiento.
Desde la entrada en vigor del RGPD, garantizar el cumplimiento normativo en materia de protección de datos se ha convertido en un aspecto clave de la ciberseguridad, y por tanto para el Cloud Security. La empresa debe conocer dónde están sus datos, quién tiene acceso a ellos, cómo se procesan y cómo se protegen. Para la nube, existen regulaciones adicionales que obligan también al proveedor.
Si bien, como decíamos antes, el concepto de Cloud Security no inventa nada nuevo, sí supone la mejor combinación para lograr una sólida base de protección: entre ellas, las siguientes:
- Inteligencia de amenazas.
Soluciones como los sistemas de detección y prevención de intrusiones (IDS/IPS) son la base de cualquier estrategia de Cloud Security. Estas herramientas de inteligencia de amenazas permiten identificar amenazas presentes y futuras. Obviamente, la centralización de la información, el acceso a fuentes externas y la monitorización continua serán requisitos básicos para mitigar los ataques y responder. - Control de identidades y accesos.
Los sistemas de gestión de identidades y accesos (IAM) son esenciales para la seguridad de los entornos cloud, combinando autenticación multifactorial con políticas ad hoc para controlar quién tiene acceso a los datos y aplicaciones, a qué puede acceder y qué pueden hacer con los datos. Normalmente, el proveedor integrará su sistema con el IAM del cliente, o bien utilizará su propio entorno, pero en cualquier caso es fundamental, porque también afecta al cumplimiento normativo. - Cifrado.
Las infraestructuras cloud requieren un movimiento continuo de datos ya sea entre el centro de datos del cliente y la plataforma del proveedor de nube, o bien entre diferentes proveedores. El movimiento es continuo y multidimensional (a o desde la nube, entre nubes, etc.). Ante esta situación, el cifrado de datos es una capa de seguridad en la nube esencial -de hecho, siempre lo ha sido-, ya que permite mantener los datos protegidos en todo momento, tanto cuando están en tránsito como cuando se encuentran en reposo. - Seguridad física.
Como es fácil suponer, este apartado es igualmente esencial, aunque los datos estén en la nube… o precisamente por eso. El objetivo en este caso es evitar accesos no autorizados o ataques contra activos de hardware, desde los endpoints de los usuarios hasta los sistemas del proveedor de nube. Aquí toman especial relevancia aquellas redes que incorporan datos de sensores, pero también elementos específicos como puertas, fuentes de alimentación ininterrumpida, circuitos de TV, alarmas, etc. - Pentesting/VPD.
Las pruebas de penetración (pentesting) y los programas de divulgación de vulnerabilidades (VDP) son una práctica cada vez más habitual para mantener y mejorar la seguridad en la nube “atacando” desde dentro la infraestructura cloud para identificar debilidades o potenciales vías de explotación. En función de los resultados, la organización podrá tomar las medidas y establecer los controles adecuados para mitigar los riesgos. - Segmentación de cargas de trabajo.
Consiste en dividir la infraestructura de la nube en distintos segmentos de seguridad. Al aislar las diferentes cargas de trabajo (incluso a nivel de usuario), se pueden aplicar políticas de seguridad flexibles que permitirán ganar en agilidad y proactividad para prevenir posibles ataques o brechas de datos.
Una vez implementada la estrategia de Cloud Security, la organización podrá tener una visión integral de sus activos en la nube y su estado de protección, pero éste no es el único beneficio. He aquí algunos más:
- Centralización.
Inherente al concepto de Cloud Security se encuentra el concepto de centralización. Al igual que el propio Cloud Computing pasa por centralizar aplicaciones y datos, el Cloud Security supone centralizar la seguridad en plataformas centralizadas con controles avanzados, alarmas, conexión a fuentes externas, etc. Esto mejora las opciones de recuperación ante desastres y, por consiguiente, la continuidad de su negocio. - Reducción de costes.
Un reputado proveedor de servicios de nube ofrecerá hardware y software incorporado dedicado a asegurar sus aplicaciones y datos las 24 horas del día. Esto elimina la necesidad de una inversión financiera significativa en su propia configuración. - Menor carga administrativa.
Como ya hemos comentado, la seguridad de los datos en la nube está basada en un modelo de responsabilidad compartida entre el proveedor y el usuario, lo que constituye una ventaja para este último porque reduce la cantidad de tiempo y recursos necesarios para gestionar este apartado.
Una parte básica de cualquier estrategia de Cloud Security es identificar un proveedor de servicios de nube adecuado, y luego la implementación de una estrategia que combine las herramientas, los procesos, las políticas y las prácticas apropiadas y necesarias.
Contar, además con un partner especializado, con conocimientos sobre cloud y seguridad que la empresa no tiene por qué tener, y que permita gestionar de manera correcta y justa la responsabilidad compartida.
Si tu estrategia pasa por la nube, y te preocupa la seguridad y privacidad de los datos de tu empresa, contáctanos y te asesoraremos sobre cómo implementar la mejor estrategia de Cloud Security para tu organización.
