¿Qué es la seguridad en la nube y cómo funciona?

Dar un paso importante para mantener tu seguridad en la nube enfoque integral de la seguridad en la nube puede unificar a tu organización contra los riesgos de seguridad. Establecer políticas de seguridad de la nube, implementar las mejores prácticas y eliminar los silos dentro de tu organización fomentará la proactividad de tu equipo respecto de la seguridad de la nube. 

En este artículo, te explicaremos cómo establecer un método integral centrado en todos los aspectos de seguridad en la nube seguridad de la nube; por ejemplo, cómo usar elementos visuales para alinear a los equipos en las mejores prácticas de seguridad y ver claramente tu entorno en la nube. 

¿Qué es la seguridad de la nube?

La seguridad en la nube informática es una práctica fundamental para las organizaciones empresariales con implementaciones en la nube. A medida que tu organización crea, usa y gestiona datos, se vuelve más vulnerable a los incidentes de seguridad. El acceso no autorizado a tu sistema es un riesgo que puede perjudicar considerablemente la actividad comercial, a los clientes o la reputación de tu empresa (a menudo, las infracciones de seguridad afectan estos tres aspectos). 

Al implementar las mejores prácticas para la seguridad de la nube, tu organización puede gestionar o reducir los riesgos de seguridad. Sobre todo, tener visibilidad de la nube ayuda a reunir a tus equipos para que colaboren en proteger tu nube.

Tres aspectos de la seguridad de almacenamiento en la nube: datos, redes y personas 

Ahondemos en los tres componentes principales en los que debe enfocarse tu organización como parte de tu estrategia de seguridad en la nube informática: datos, redes y personas.

Datos

La protección de los datos debe ser una de las prioridades más importantes de tu equipo. Antes de poder empezar a mejorar la arquitectura de seguridad de tus datos en la nube, debes hacer un inventario completo de los tipos de datos que manejas. 

Por ejemplo, es posible que tu organización tenga información de salud de los consumidores regulada por la Ley de portabilidad y responsabilidad de seguros de salud (HIPPA, por sus siglas en inglés), datos financieros personales, propiedad intelectual (IP, por sus siglas en inglés) o datos corporativos recopilados a través de actividades operacionales. Todos los tipos de datos, dependiendo de su fuente, contenidos y propósito deben gestionarse y protegerse adecuadamente, ya sea que los datos estén estáticos o en movimiento.

Medidas clave que puedes tomar: 

• Cataloga tus datos: tu equipo de seguridad debe identificar y localizar los datos (incluidos los datos que tienen que ver con el shadow IT [software en la sombra] dentro de tu empresa). 
• Conoce tus requisitos de cumplimiento normativo: después de conocer tus datos y su ubicación, empieza por definir tus requisitos de cumplimiento. Infórmate sobre cuáles reglamentos aplican a tus datos y lo que haces actualmente para cumplir con ellos.

Redes

Muchos equipos de seguridad de TI realmente desconocen el alcance de sus redes, no porque no intenten conocerlo, sino por el shadow IT. Cuando los empleados utilizan herramientas de TI, SaaS u otros servicios informáticos de los que tu equipo de TI no tiene conocimiento, tu equipo se vuelve vulnerable a riesgos y problemas de seguridad. 

Práctica recomendada: 

• Encuentra tu shadow IT: no vetes el shadow IT de inmediato, en su lugar, empieza a rastrearlo. 

Personas 

Incluso los usuarios autorizados pueden contribuir a las infracciones de seguridad o al uso incorrecto de tu sistema en la nube. Definir claramente el acceso y las funciones, limitar el uso y recordar que ningún sistema es completamente independiente del error humano ayudará a tu organización a gestionar los riesgos provocados involuntariamente por tu equipo (o intencionalmente por una persona no autorizada o por un uso no autorizado). 

Nuestra sugerencia para lograr que tu equipo se involucre: 

• Adopta una perspectiva centrada en la seguridad: crea un plan de seguridad que se comparta con todos los empleados a fin de reducir y tomar en cuenta el error humano. 

Cuatro consejos para desarrollar una estrategia de seguridad de la nube

Cuando desarrolles la estrategia de seguridad de tu nube, ten en cuenta estos cuatro consejos. 

1. Adquiere conocimiento y visibilidad de la estructura actual de la nube

Antes de empezar a desarrollar la estrategia de seguridad de tu nube, recopila toda la información que puedes sobre tu nube. La visibilidad de la arquitectura actual de la nube debe ser una prioridad para el equipo de seguridad. 

Las API en la nube ofrecen a los equipos de seguridad la oportunidad de ver los cambios en la nube hasta la capa de los metadatos. Si no utilizas API, tu información de seguridad podría ser obsoleta. Lucidchart te ayuda a visualizar sistemas complejos, permitiéndote así usar los datos en tiempo real generados por tu nube. 

• Evita hacer mapas manualmente: hacer los mapas de tu sistema de la nube a mano puede derivar en errores. Además, una vez que creaste la visualización de tu nube, casi de inmediato se vuelve obsoleta. La información en tiempo real es necesaria para obtener una imagen completa de las circunstancias de la seguridad de tu nube. La mejor manera de garantizar que siempre trabajes con información precisa es automatizar la visualización de tu nube. 
• Colabora visualmente: repasa la estructura de tu nube con tu equipo. Descubrirás que esta colaboración mejora la seguridad en la nube informática. 
• Aprovecha la pericia interna y externa: cerciórate de que las personas adecuadas revisen la estructura de tu nube. Tus equipos de seguridad y de seguridad de la información no deben ser independientes. De igual modo, el equipo de DevOps debe remitirse a los elementos visuales de tu nube.

2. Establece normas antes de automatizar

Las normas brindan a tu equipo orientación básica sobre la automatización. 

En lugar de reinventar la “rueda de las normas”, descubre las mejores prácticas aprendiendo de otros profesionales de la seguridad. El CIS (Centro para la Seguridad en Internet) recomienda normas específicas como mejores prácticas. Existen normas del CIS que tu organización puede usar con cada uno de los principales proveedores de nube. Las normas de tu plataforma de seguridad te preparan para la automatización y te ayudan a garantizar que tu nube permanezca protegida después de que inicies el proceso de automatización. 

El Centro para la Seguridad de Internet recomienda las siguientes normas: 

1. Inventario y control de los recursos de hardware: solo usa hardware autorizado por tu organización. 
2. Inventario y control de los recursos de software: lo ideal es que el departamento de TI conozca todo el software. 
3. Gestión continua de vulnerabilidades: siempre que te enteres de nuevas amenazas, debes actuar adecuadamente para gestionarlas. 
4. Configuración segura del hardware y software en dispositivos móviles, equipos portátiles, estaciones de trabajo y servidores: asegúrate de que el acceso móvil a tu red sea seguro y esté configurado correctamente para proteger tus redes. 
5. Uso controlado de privilegios administrativos: supervisa el acceso de los usuarios a tu nube y da seguimiento al comportamiento administrativo en tu sistema. 
6. Mantenimiento, supervisión y análisis de registros de auditoría: usa registros de auditoría para mejorar las prácticas de seguridad y garantizar que tu organización esté protegida. 
7. Protección del correo electrónico y del navegador web: reduce las oportunidades para los hackers asegurándote de que todas las cuentas de correo electrónico y los navegadores web estén completamente protegidos. 
8. Defensas contra malware: utiliza herramientas automatizadas para detectar malware en estaciones de trabajo y dispositivos móviles. 
9. Limitación y control de puertos, protocolos y servicios de la red: gestiona las vulnerabilidades de la red y da seguimiento al acceso a la red. 
10. Capacidades de recuperación de datos: debes estar preparado para recuperar datos si es necesario en respuesta a un incidente. 
11. Configuración segura para dispositivos de la red, como firewalls, enrutadores y conmutadores: administra la seguridad de la infraestructura de tu red y asegúrate de que todos los departamentos mantengan activas estas configuraciones. 
12. Defensa de límites: controla el flujo de datos y comprende cómo se mueve la información en tu nube entre varios niveles de acceso. 
13. Protección de datos: utiliza cifrado, protege la integridad de los datos y gestiona el riesgo de pérdida de datos. 
14. Acceso controlado en función de la necesidad de saber: alinea los privilegios de acceso con las funciones en la organización. 
15. Control de acceso inalámbrico: evita que los dispositivos inalámbricos no autorizados se conecten a tu red. Observa cómo se utilizan las redes inalámbricas dentro de tu organización para garantizar que el acceso indebido se mantenga al mínimo. 
16. Supervisión y control de las cuentas: sigue los ciclos de vida de la cuenta y elimina a antiguos empleados y contratistas del acceso a tus sistemas. 
17. Implementa un programa de capacitación y concientización sobre seguridad: informa a tus empleados sobre cómo proteger la seguridad del sistema y salvaguardar los datos. Actualiza periódicamente a tu equipo respecto de información, tecnologías y amenazas potenciales nuevas. 
18. Seguridad del software de aplicaciones: revisa y actualiza tus aplicaciones. Usa versiones compatibles.  
19. Respuesta y gestión de incidentes: con planificación, capacitación de tu equipo y cuidadosa supervisión garantizarás estar preparado para responder ante incidentes y sus consecuencias inmediatas. 
20. Pruebas de penetración y ejercicios de red team: pon a prueba tus prácticas de seguridad con pruebas de penetración y autoevaluaciones. 

3. Incluye en tu equipo a ingenieros de seguridad que sepan codificar

Los ingenieros de seguridad en tu organización deben gestionar tus entornos de nube con automatización. Dado que los sistemas en la nube se basan en API, deberás reclutar personas que sepan codificar y conozcan de seguridad o capacitar a colaboradores con los que ya cuentes. 

Contar con pericia en codificación es clave, incluso si tu organización no tiene colaboradores especializados en esta área. 

• Capacita a tu gente: actualiza los conocimientos sobre seguridad y codificación de tu equipo y estarás listo para colocar a las personas adecuadas en las funciones pertinentes para proteger tu nube. 
• Incorpora a un consultor: si tu organización no cuenta con codificadores expertos, considera incorporar a un consultor temporalmente para que ayude a tus equipos de seguridad a ponerse al día en los scripts. 

4. Establece seguridad en las etapas tempranas de desarrollo

Conecta a tu equipo de seguridad con DevOps para incorporar la arquitectura deseguridad en el proceso de desarrollo. Alienta a tus desarrolladores a asumir una función mayor en la seguridad a fin de que tu equipo de seguridad tenga aliados en las iniciativas de seguridad de tu organización. 

Al adoptar la seguridad en las etapas iniciales del desarrollo de la nube, puedes priorizar los aspectos de seguridad de la nube y fomentar la colaboración en toda la organización. Obtener la aceptación de los desarrolladores te ayuda a identificar los puntos adecuados dentro de tu nube para enfatizar la seguridad e implementar las mejores prácticas de seguridad. 

Lucidchart proporciona a los equipos una plataforma para mejorar la visibilidad y fomentar la colaboración en la seguridad de la nube. Considera a profundidad la estructura de tu nube, busca áreas donde puedas implementar mejoras y aborda de manera estratégica cada aspecto de la implementación de tu nube. 

Al contar con buena visibilidad de la infraestructura de tu nube, tu equipo podrá dar seguimiento a puntos de referencia, verificar decisiones de seguridad y proteger tu nube de manera más eficaz.