Todos  hemos escuchado varias veces que la nube es segura. Se da por hecho que es así… pero ¿Es esto realmente cierto? lo es… si sabes que estás ante un cambio de paradigma. Muchas empresas han migrado sus cargas de trabajo a la nube y han dado por terminado el trabajo, olvidando que los controles de seguridad aplicables a su infraestructura anterior podrían no ser válidos en un entorno de nube. Cualquier cosa que se consuma/ofrezca desde la nube necesita controles de seguridad adecuados a este nuevo entorno, así como herramientas de monitorización y análisis continuo de amenazas en tiempo real.

Al menos una vez al año salta a la palestra el nombre de alguna gran empresa que ha sido atacada: Yahoo, Alibaba, LinkedIn, Facebook… Sin embargo, la grán mayoría de los ciberataques no son a las grandes compañías, los ciberataques  tienen como víctimas a empresas de todos los tamaños (también pequeñas), que registran numerosos incidentes de seguridad y pérdidas millonarias.

A pesar de los incidentes, la gran mayoría de las empresas sigue sin cifrar más de la mitad de sus datos confidenciales que almacenan en la nube. En un estudio reciente, Sysdig descubrió que el 75 % de las empresas que ejecutan contenedores en la nube, tienen vulnerabilidades altas o críticas que se pueden solucionar con parches, pero no se solucionan.

Si no quieres que tu empresa sea la siguiente, deberías blindarla para que esto no ocurra.

Estas son algunas recomendaciones que puedes empezar a implementar de manera inmediata y que te ayudarán a reducir tu superficie de ataque en la nube:

Planifica de forma segura

Construir un entorno seguro en la nube va más allá de los paradigmas de infraestructura de TI tradicional, en donde existe una red corporativa a la que se accede desde la oficina. A la hora de diseñar un entorno en la nube, es clave involucrar a todos los departamentos y entender bien cómo usarán los servicios de la nube y qué impacto tendrá en la seguridad. Implementa los controles de seguridad desde el principio, al mismo tiempo que diseñas la arquitectura y servicios que vas a consumir de tu proveedor de nube. Los equipos de TI están acostumbrados a administrar y actualizar su infraestructura local con software antivirus y mantener al día las cargas de trabajo instalando los parches más recientes, pero la seguridad en la nube presenta nuevos retos y los departamentos de TI deben ser conscientes de ello. La forma en que el personal accede a la red y usa sus aplicaciones es parte fundamental de las consideraciones clave para garantizar que todo el entorno sea seguro.

Usa controles de seguridad adecuados para la nube

Un escenario típico con el que solemos encontrarnos en empresas que han migrado sus cargas de trabajo a la nube, es el de mantener las soluciones de seguridad legacy en el nuevo entorno, intentando integrarlas de la mejor manera posible. Esto ofrece algún tipo de protección, pero la visibilidad de todo el entorno queda significativamente reducida porque la nube funciona de una manera muy diferente a los entornos on-prem. La naturaleza dinámica de la nube hace que herramientas no diseñadas especialmente para este tipo de entornos no funcionen correctamente.

Tener las medidas de seguridad adecuadas para gestionar y monitorear el estado de tu nube las 24 horas del día, los 7 días de la semana es la única forma de ayudar a prevenir violaciones de seguridad. Ahora existen soluciones de software como CDR (Cloud Detection and Response) que monitorean continuamente la actividad de la nube a nivel administrativo, además de las cargas de trabajo como CWPP (Cloud Workload Protection Platform). Estas soluciones van mucho más allá del alcance de un software antivirus. Puedes aislar la carga de trabajo, hacer forensics o responder usando playbooks.

Prueba, monitorea y analiza de forma continua

Una de las principales causas de filtrado de datos en la nube viene por errores humanos a la hora de configurar los servicios de la nube.

Cualquier empresa que opere en la nube o vaya a migrar a ella debería considerar la ejecución de una auditoría, teniendo en cuenta las mejores prácticas de la industria para evaluar sus posibles vulnerabilidades. En A3Sec contamos con un equipo de consultores especializados en ciberseguridad en la nube que pueden facilitar la migración y blindar los activos de las compañías. Es clave comprender y mitigar todos los posibles riesgos de seguridad para llevar a cabo exitosamente este proceso y ayudarnos de soluciones que continuamente comprueben la postura de seguridad de los entornos cloud como CSPM (Cloud Security Posture Management) si tenemos profesionales especializados en seguridad de la nube en nuestra propia organización que sepan cómo operarlas.

Por ejemplo, podríamos reducir gastos agrupando cargas de trabajo en menos regiones, descubrir servicios subutilizados, rebajar las licencias de almacenamiento bajando el nivel de servicio sin pérdida de calidad, identificar VPCs con configuraciones demasiado laxas, que provocan a su vez que nuestros sitios web sean vulnerables, etc. 

Una vez que el entorno ha sido evaluado y probado en busca de vulnerabilidades o errores de configuración y se ha tomado cualquier acción correctiva inmediata, se trata de monitoreaar y analizar la actividad las 24 horas del día, los 7 días de la semana. Como decíamos, se pueden utilizar tanto plataformas de seguridad de nube de terceros, como los propios servicios que ofrecen de forma nativa los proveedores de nube pública.

Educa a los usuarios

El error humano sigue siendo la principal causa de fallos de seguridad en la nube. Si bien es posible que tengas la mejor arquitectura desplegada en la nube y todas las herramientas adecuadas de seguridad y monitoreo disponibles, eso es irrelevante si tienes usuarios poco educados. Recientemente, investigadores de la Universidad de Stanford descubrieron que los errores de los empleados causan aproximadamente el 88% de todas las filtraciones de datos.

Es fundamental contar con las políticas de seguridad adecuadas para acceso remoto, teléfono móvil y BYOD, uso de contraseñas y transferencia y eliminación de datos. Esto también es un proceso contínuo, hay que educar, educar y reeducar continuamente a todos los empleados, desde el director ejecutivo hacia abajo. Todos deben comprender y aceptar el concepto de que la seguridad en la nube es una responsabilidad compartida, no depende solo del departamento de TI o de recursos humanos, sino de todos los departamentos y de todo el personal.

Ten listo un plan de recuperación ante desastres

Nada puede garantizar un entorno 100% seguro. Simplemente no es posible. Para asegurarte de que tu empresa pueda seguir funcionando en el momento de un ciberataque, debes tener planes adecuados de recuperación ante desastres (DR) y de continuidad de negocio (BCP) y probarlos con regularidad. Un sistema de copia de seguridad remota de datos es imprescindible para cualquier empresa. Según Forbes, el 40% de las pequeñas y medianas empresas afectadas por un incidente importante nunca vuelven a abrir o cierran en menos de 12 meses después del incidente, en parte porque no cuentan con un plan DR efectivo.

En Reino Unido,  según un estudio, 41 % de las empresas no ha probado su solución DR en los últimos 6 meses o no sabe si alguna vez este ha sido probado. Hoy en día hay soluciones DR autónomas en el mercado que incluyen protección de seguridad y pruebas no disruptivas de máquinas virtuales. Al estar construido en la nube, el coste se reduce significativamente en comparación con las soluciones DR locales, que suelen hacerse a medida. Si no tienes un buen plan implementado o si no lo estás probando regularmente, deberías buscar una solución.

Conclusión

Sabemos que es difícil para las pequeñas y medianas empresas mantenerse al día con los requisitos normativos más recientes y las posibles vulnerabilidades en sus entornos de nube; trabajar con un buen proveedor de servicios administrados de seguridad y nube te dará acceso a una gran experiencia para mejorar la gestión y administración de tu infraestructura en la nube, optimizar sus costos y "comprobar" en qué estado está tu postura de seguridad.

No lo dejes para más tarde...quizá sea tu empresa la próxima en convertirse en una estadística.

En A3Sec encuentras el aliado perfecto para blindar tu compañía

Haz click aquí si quieres agendar una cita con un guerrero digital

>_

Otros Blogs

Isotipo A3Sec