Hacking Cloud – Seguridad en la Nube

Seguridad en entornos empresariales en la nube

Bienvenidos a esta guía de Hacking Cloud – Seguridad en la Nube. La seguridad de nube empresarial es el conjunto de prácticas, protocolos, políticas y controles que las organizaciones implementan para proteger sus activos digitales en la nube. Está diseñada para proteger los entornos cloud, los datos que residen en la nube, las aplicaciones que se ejecutan en la nube y los usuarios que interactúan en ella. En la mayoría de los entornos cloud, la seguridad es una responsabilidad compartida entre el proveedor de nube y el cliente.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Definición de la seguridad en la nube

La seguridad en la nube es una disciplina de la ciberseguridad dedicada a asegurar los sistemas informáticos en la nube. Incluye mantener los datos privados y seguros a través de la infraestructura, las aplicaciones y las plataformas en línea. Asegurar estos sistemas implica los esfuerzos de los proveedores de la nube y de los clientes que los utilizan, bien se trate de una persona, una pequeña o mediana empresa o una organización.

Los proveedores de servicios en la nube alojan los servicios en sus servidores a través de conexiones de Internet siempre activas. Debido a que su negocio depende de la confianza de los clientes, se utilizan métodos de seguridad en la nube para que los datos de los clientes se mantengan privados y almacenados de forma segura. No obstante, la seguridad en la nube también está parcialmente en manos del cliente. Comprender ambas facetas es fundamental para una solución saludable de seguridad en la nube.

En su núcleo, la seguridad en la nube se compone de las siguientes categorías:

• Seguridad los datos
• Gestión de identidades y accesos (IAM, por sus siglas en inglés)
• Gobernanza (políticas de prevención, detección y mitigación de amenazas)
• Planificación de la retención de datos (DR) y la continuidad del negocio (BC)
• Cumplimiento legal

La seguridad en la nube puede parecer como la seguridad informática heredada, pero esta plataforma exige en realidad un enfoque diferente.

¿Qué es la seguridad en la nube?

La seguridad en la nube es toda la tecnología, los protocolos y las buenas prácticas que protegen los entornos informáticos en la nube, las aplicaciones que se ejecutan en la nube y los datos almacenados en ella. La seguridad de los servicios en la nube comienza por comprender qué se está asegurando exactamente, así como los aspectos del sistema que se deben administrar.

A modo de resumen, el desarrollo del soporte contra las vulnerabilidades de seguridad está en gran medida en manos de los proveedores de servicios en la nube. Aparte de elegir un proveedor consciente de la seguridad, los clientes deben centrarse sobre todo en la configuración adecuada del servicio y en los hábitos de uso seguro. Además, los clientes deben asegurarse de que el hardware y las redes de los usuarios finales estén debidamente asegurados.

El alcance total de la seguridad en la nube

El alcance total de la seguridad en la nube está diseñado para proteger lo siguiente, independientemente de sus responsabilidades:

• Redes físicas: enrutadores, energía eléctrica, cableado, controles de clima, etc.
• Almacenamiento de datos: discos duros, etc.
• Servidores de datos: hardware y software informáticos de la red central
• Plataformas de virtualización de equipos informáticos: software de máquinas virtuales, máquinas anfitrionas y máquinas invitadas
• Sistemas operativos (OS): software que soporta todas las funciones informáticas
• Middleware: gestión de la interfaz de programación de aplicaciones (API),
• Entornos de ejecución: ejecución y mantenimiento de un programa en ejecución
• Datos: toda la información almacenada, modificada y a la que se ha accedido
• Aplicaciones: servicios tradicionales de software (correo electrónico, software de impuestos, paquetes de productividad, etc.)
• Hardware de usuario final: computadoras, dispositivos móviles, dispositivos de Internet de las cosas (IoT), etc.

Con la informática en la nube, la propiedad de estos componentes puede variar ampliamente. Esto puede hacer que no esté claro el alcance de las responsabilidades de seguridad del cliente. Dado que asegurar la nube puede parecer diferente en función de quién tiene autoridad sobre cada componente, es importante entender cómo se suelen agrupar.

Para simplificar, los componentes informáticos en la nube están asegurados desde dos puntos de vista principales:

Los tipos de servicios en la nube 

son servicios ofrecidos por proveedores externos como módulos utilizados para crear el entorno de la nube. Dependiendo del tipo de servicio, se puede gestionar un grado diferente de los componentes dentro del servicio:

El núcleo de cualquier servicio de la nube de terceros implica que el proveedor administre la red física, el almacenamiento de datos, los servidores de datos y las plataformas de virtualización de los ordenadores. El servicio se almacena en los servidores del proveedor y se virtualiza a través de su red administrada internamente para entregarse a los clientes para su acceso remoto. Esto transfiere los costes de hardware y otras infraestructuras para proporcionar a los clientes acceso a sus necesidades informáticas desde cualquier lugar a través de su conexión a Internet.

Los servicios en la nube de software como servicio (SaaS) 

proporcionan a los clientes acceso a aplicaciones que están puramente alojadas y se ejecutan en los servidores del proveedor. Los proveedores administran las aplicaciones, los datos, el tiempo de ejecución, el middleware y el sistema operativo. Los clientes solamente se encargan de obtener y utilizar las aplicaciones. Algunos ejemplos de SaaS incluyen Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx y Evernote.

Los servicios en la nube de plataforma como servicio (PaaS) 

proporcionan a los clientes un host para el desarrollo de sus propias aplicaciones, que se ejecutan dentro del propio espacio “sandbox” del cliente en los servidores del proveedor. Los proveedores administran el tiempo de ejecución, el middleware y el sistema operativo. Los clientes se encargan de gestionar sus aplicaciones, datos, acceso de usuarios, dispositivos de usuarios finales y redes de usuarios finales. Algunos ejemplos de PaaS incluyen Google App Engine y Windows Azure.

Los servicios en la nube de infraestructura como servicio (IaaS) 

ofrecen a los clientes hardware y plataformas de conectividad remota para alojar la mayor parte de sus tareas informáticas, incluido el sistema operativo. Los proveedores solo administran los servicios básicos en la nube. Los clientes se encargan de asegurar todo lo que se apila en un sistema operativo, incluidas las aplicaciones, los datos, los tiempos de ejecución, el middleware y el propio sistema operativo. Además, los clientes deben gestionar el acceso de los usuarios, los dispositivos de usuarios finales y las redes de usuarios finales. Algunos ejemplos de IaaS incluyen Microsoft Azure, Google Compute Engine (GCE) y Amazon Web Services (AWS).

Los entornos de la nube 

son modelos de implementación en los que uno o más servicios en la nube crean un sistema para los usuarios finales y las empresas. Estos segmentan las responsabilidades de gestión, incluida la seguridad, entre los clientes y los proveedores.

Los entornos de la nube que se utilizan en la actualidad son:

• Entornos de nubes públicas, compuestos por servicios en la nube de varios usuarios en los que un cliente comparte los servidores de un proveedor con otros clientes, como un edificio de oficinas o un espacio de trabajo. Se trata de servicios de terceros dirigidos por el proveedor para dar acceso a los clientes a través de la web.
• Entornos de nubes privadas de terceros, que se basan en el uso de un servicio en la nube que proporciona al cliente el uso exclusivo de su propia nube. Estos entornos de un solo usuario normalmente son propiedad de un proveedor externo, y se administran y operan fuera del sitio.
• Entornos de nubes privadas internas, que también se componen de servidores de servicios en la nube de un solo usuario, pero se operan desde su propio centro de datos privado. En este caso, este entorno de la nube es gestionado por las propias empresas para permitir la configuración completa de cada elemento.
• Entornos de varias nubes, que incluyen el uso de dos o más servicios en la nube de proveedores independientes. Estos pueden ser cualquier combinación de servicios públicos o privados en la nube.
• Entornos de nubes híbridas, que consisten en el uso de una combinación de nube privada de terceros o centro de datos de nubes privadas in situ con una o más nubes públicas.

Al enfocarlo desde esta perspectiva, podemos entender que la seguridad basada en la nube puede ser un poco diferente según el tipo de espacio de nubes en el que trabajen los usuarios. No obstante, los efectos se sienten tanto en los clientes individuales como en las empresas.

¿Cómo funciona la seguridad en la nube?

Cada medida de seguridad en la nube funciona para lograr uno o más de los siguientes objetivos:

• Permitir la recuperación de datos en caso de pérdida de datos
• Proteger el almacenamiento y las redes contra el robo de datos malicioso
• Evitar los errores humanos o negligencias que causan la fuga de datos
• Reducir el impacto de cualquier compromiso de datos o sistemas

La seguridad de los datos 

Es un aspecto de la seguridad en la nube que implica el fin técnico de la prevención de amenazas. Existen herramientas y tecnologías que permiten a los proveedores y los clientes insertar barreras entre el acceso y la visibilidad de los datos confidenciales. Entre ellas, el cifrado es una de las herramientas más potentes disponibles. El cifrado codifica los datos para que solo los pueda leer alguien que tenga la clave de cifrado. En caso de pérdida o robo de los datos, no será posible leerlos ni interpretarlos. Las protecciones para el tráfico de datos, tales como las redes privadas virtuales (VPN), también ganan importancia en las redes de la nube.

La gestión de identidades y accesos (IAM) 

Se refiere a los privilegios de acceso que se ofrecen a las cuentas de los usuarios. La gestión de la autenticación y la autorización de las cuentas de usuario también se aplica aquí. Los controles de acceso son fundamentales para restringir a los usuarios, tanto a los legítimos como a los maliciosos, el acceso y el compromiso de los datos confidenciales y sistemas. La gestión de contraseñas, la autenticación de varios factores y otros métodos entran en el alcance de la IAM.

La gobernanza 

Se centra en las políticas de prevención, detección y mitigación de amenazas. Con PYMES y empresas, aspectos como la información sobre amenazas pueden ayudar a rastrear y priorizar las amenazas para mantener los sistemas esenciales vigilados cuidadosamente. Sin embargo, incluso los clientes individuales de la nube podrían beneficiarse de la valoración de las políticas y la formación sobre el comportamiento seguro del usuario. Estas se aplican sobre todo en los entornos empresariales, pero las normas para el uso seguro y la respuesta a las amenazas pueden ser útiles para cualquier usuario.

La planificación de la retención de datos (DR) y la continuidad del negocio (BC) 

Implica medidas técnicas de recuperación de desastres en caso de pérdida de datos. Los métodos para la redundancia de datos, como las copias de seguridad, son fundamentales para cualquier plan de DR y BC. Además, disponer de sistemas técnicos para garantizar la continuidad de las operaciones puede ser de gran ayuda. Las plataformas para probar la validez de las copias de seguridad y las instrucciones detalladas de recuperación de los empleados son igual de valiosas para un plan de BC completo.

El cumplimiento legal 

Gira en torno a la protección de la privacidad del usuario, tal como lo establecen los órganos legislativos. Los gobiernos asumieron la importancia de proteger la información de los usuarios privados para que no sea explotada con fines de lucro. Por lo tanto, las empresas deben seguir los reglamentos para cumplir con estas políticas. Uno de los enfoques es el uso del enmascaramiento de datos, que oculta la identidad dentro de los datos mediante métodos de cifrado.

¿Qué hace que la seguridad en la nube sea diferente?

La seguridad informática tradicional ha experimentado una inmensa evolución debido al cambio a la informática basada en la nube. Si bien los modelos de la nube permiten una mayor comodidad, la conectividad siempre activa requiere nuevas consideraciones para mantenerlas seguras. La seguridad en la nube, como una solución de ciberseguridad modernizada, se distingue de los modelos informáticos heredados en algunos aspectos.

Almacenamiento de datos: 

La mayor distinción es que los modelos antiguos de TI dependían en gran medida del almacenamiento de datos in situ. Las empresas han descubierto desde hace mucho tiempo que la creación de todas las plataformas informáticas internas para los controles de seguridad detallados y personalizados es costosa y rígida. Las plataformas basadas en la nube han ayudado a transferir los costes de desarrollo y mantenimiento de los sistemas, pero también a eliminar cierto control de los usuarios.

Velocidad de escalada: 

De manera similar, la seguridad en la nube exige una atención única al escalar los sistemas de TI de la empresa. La infraestructura y las aplicaciones centradas en la nube son muy modulares y se movilizan rápidamente. Si bien esta capacidad mantiene los sistemas uniformemente ajustados a los cambios empresariales, también plantea problemas cuando la necesidad de mejoras y comodidad de una empresa supera su capacidad para mantenerse al día en materia de seguridad.

Interfaz del sistema de usuarios finales: 

Tanto para las empresas como para los usuarios individuales, los sistemas de nubes también se conectan con muchos otros sistemas y servicios que se deben asegurar. Los permisos de acceso deben mantenerse desde el nivel de dispositivo de usuario final hasta el nivel de software e incluso el nivel de red. Además, tanto proveedores como usuarios deben estar atentos a las vulnerabilidades que pueden causar a través de comportamientos de configuración y acceso al sistema inseguros.

Proximidad a otros datos y sistemas en red: 

Dado que los sistemas en la nube son una conexión persistente entre los proveedores de la nube y todos sus usuarios, esta importante red puede comprometer incluso al propio proveedor. En los entornos de redes, un solo dispositivo o componente débil se puede explotar para infectar al resto. Los proveedores de la nube se exponen a las amenazas de muchos usuarios finales con los que interactúan, bien sea que estén proporcionando almacenamiento de datos u otros servicios. Las responsabilidades adicionales en materia de seguridad de la red recaen en los proveedores cuyos productos entregados de otro modo se basarían exclusivamente en los sistemas de los usuarios finales y no en los propios.

Resolver la mayoría de los problemas de seguridad en la nube significa que tanto los usuarios como los proveedores de la nube, tanto en entornos personales como en empresariales, deben ser proactivos en cuanto a sus propias funciones en la ciberseguridad. Este doble enfoque significa que los usuarios y los proveedores deben abordar lo siguiente:

• Configuración y mantenimiento seguros del sistema.
• Educación sobre seguridad del usuario, tanto a nivel de comportamiento como a nivel técnico.

Por último, los proveedores y los usuarios de la nube deben tener transparencia y responsabilidad para garantizar que ambas partes estén seguras.

Riesgos de seguridad en la nube

¿Cuáles son los problemas de seguridad en la informática en la nube? Si no es consciente de su existencia ¿cómo se supone que va a tomar las medidas adecuadas? Después de todo, una seguridad débil en la nube puede exponer a los usuarios y proveedores a todo tipo de amenazas de ciberseguridad. Algunas amenazas comunes a la seguridad en la nube incluyen:

• Riesgos de la infraestructura basada en la nube, incluidas las plataformas informáticas heredadas incompatibles y las interrupciones de los servicios de almacenamiento de datos de terceros.
• Amenazas internas debidas a errores humanos como, por ejemplo, la mala configuración de los controles de acceso de los usuarios.
• Amenazas externas causadas casi exclusivamente por actores maliciosos, como malware, phishing y ataques de DDoS.

El mayor riesgo que plantea la nube es que no existe un perímetro

La ciberseguridad tradicional se centraba en proteger el perímetro, pero los entornos en la nube están altamente conectados, lo que conlleva que las interfaces de programación de aplicaciones (API) sean inseguras y los secuestros de cuentas puedan plantear problemas reales. Frente a los riesgos para la seguridad que afectan a la computación en la nube, los profesionales de la ciberseguridad deben adoptar un planteamiento más centrado en los datos.

La interconexión también plantea problemas para las redes. Los actores maliciosos a menudo acceden a las redes debido a credenciales comprometidas o débiles. Una vez que un hacker consigue acceder a una red, puede propagarse fácilmente y utilizar las interfaces mal protegidas de la nube para localizar datos en diferentes bases de datos y nodos. Incluso puede utilizar sus propios servidores en la nube como destino donde exportar y almacenar los datos robados. La seguridad tiene que estar en la nube y no servir como elemento exclusivo para proteger frente al acceso a los datos que allí se almacenan.

El almacenamiento de los datos por parte de terceros y el acceso a través de Internet también plantean sus propias amenazas. Si, por algún motivo, estos servicios se interrumpen, podría perderse el acceso a los datos. Por ejemplo, un corte en la red telefónica podría significar que no se puede acceder a la nube en un momento esencial. Alternativamente, un corte de energía podría afectar al centro de datos donde se almacenan los datos, lo que podría conllevar una pérdida de datos permanente.

Dicho tipo de interrupciones podrían tener repercusiones a más largo plazo. Un reciente corte del suministro eléctrico en una instalación de datos en la nube de Amazon resultó en la pérdida de los datos de algunos clientes debido a los desperfectos que se ocasionaron en el hardware de los servidores. Este es un buen ejemplo de por qué conviene tener copias de seguridad locales de al menos algunos de sus datos y aplicaciones.

¿Por qué es importante la seguridad en la nube?

En la década de 1990, los datos comerciales y personales se almacenaban y gestionaban a nivel local, y la seguridad también era local. Los datos se encontraban en el almacenamiento interno de un PC en casa, y en los servidores de la empresa, si trabajaba para una empresa.

La introducción de la tecnología de la nube ha obligado a todos a reevaluar la ciberseguridad. Los datos y aplicaciones pueden estar flotando entre sistemas locales y remotos, y estar siempre accesibles por Internet. Si accede a Google Docs desde el teléfono o PC esos datos pueden guardarse en cualquier parte.

De ahí que protegerlos sea más difícil que cuando solo se trataba de impedir que usuarios no deseados accedieran a su red. La seguridad en la nube requiere ajustar algunas prácticas informáticas previas, pero se ha vuelto más esencial por dos razones clave:

Comodidad por encima de la seguridad. 

La informática en la nube está creciendo de forma exponencial como método principal tanto para el lugar de trabajo como para el uso individual. La innovación ha permitido que la nueva tecnología se implemente más rápido de lo que avanzan las normas de seguridad de la industria, lo que hace que los usuarios y los proveedores tengan más responsabilidad a la hora de considerar los riesgos de la accesibilidad.

Centralización y almacenamiento para múltiples usuarios. 

Cada componente, desde la infraestructura básica hasta pequeños datos como correos electrónicos y documentos, puede ahora localizarse y accederse de forma remota e ininterrumpida a través de conexiones basadas en la web. Toda esta recopilación de datos en los servidores de unos pocos proveedores de servicios importantes puede ser muy peligrosa. Los actores de amenazas pueden atacar ahora a grandes centros de datos de varias empresas y causar importantísimas filtraciones de datos.

Lamentablemente, los actores maliciosos se dan cuenta del valor de los objetivos basados en la nube y los investigan cada vez más para encontrar sus vulnerabilidades de seguridad. A pesar de que los proveedores de la nube asumen muchas funciones de seguridad de los clientes, no lo gestionan todo. Esto deja incluso a los usuarios no técnicos con el deber de auto educarse sobre la seguridad en la nube.

Dicho esto, los usuarios no están solos en lo que respecta a las responsabilidades de seguridad en la nube. Ser consciente del alcance de sus deberes de seguridad ayudará a que todo el sistema esté mucho más seguro.

Preocupaciones de la seguridad en la nube: privacidad

Se han promulgado nuevas leyes para ayudar a proteger a los usuarios finales frente a la venta y el intercambio de sus datos confidenciales. El Reglamento general de protección de datos (GDPR) y la Ley de portabilidad y responsabilidad del seguro médico (HIPAA) cumplen cada uno con sus propios deberes de protección de la privacidad, al limitar la forma en que se pueden almacenar los datos y acceder a ellos.

Se han utilizado métodos de administración de identidades, como el enmascaramiento de datos, para separar las características identificables de los datos de los usuarios, a fin de cumplir con el GDPR. En lo que respecta al cumplimiento de la HIPAA, las empresas como los centros de atención médica deben asegurarse de que su proveedor también haga su parte en cuanto a la restricción del acceso a los datos.

La ley CLOUD otorga a los proveedores de servicios en la nube sus propias limitaciones legales que deben cumplir, potencialmente a costa de la privacidad del usuario. La ley federal de EE. UU. ahora permite a las fuerzas policiales a nivel federal exigir los datos solicitados de los servidores del proveedor de la nube. Si bien esto puede permitir que las investigaciones procedan de manera eficaz, puede eludir algunos derechos a la privacidad y causar un posible abuso de poder.

Cómo asegurar la nube

Por suerte, existen muchas opciones para proteger sus propios datos en la nube. Veamos algunos de los métodos más conocidos.

El cifrado es una de las mejores maneras de proteger sus sistemas de informática en la nube. Existen diversas maneras de usar el cifrado, y puede ofrecerlas el proveedor de servicios en la nube o un proveedor de soluciones de seguridad en la nube independiente,

Cifrado

• Cifrado de las comunicaciones con la nube en su totalidad.
• Cifrado de datos especialmente confidenciales, como las credenciales de las cuentas.
• Cifrado de extremo a extremo de todos los datos que se suben a la nube.

En la nube, los datos corren más riesgo de ser interceptados cuando están en movimiento. Cuando se están trasladando entre dos ubicaciones de almacenamiento o cuando se transmiten a su aplicación local, los datos son más vulnerables. Por este motivo, el cifrado de extremo a extremo es la mejor solución de seguridad en la nube para los datos esenciales. Con el cifrado de extremo a extremo, en ningún momento su comunicación se pone a disposición de personas que no dispongan de la clave de cifrado.

Puede cifrar los datos usted mismo antes de guardarlos en la nube o usar un proveedor de servicios en la nube que los cifre como parte de los servicios que le ofrece. Sin embargo, si solo utiliza la nube para almacenar sus datos no sensibles, como, por ejemplo, el material gráfico o los vídeos de su empresa, el cifrado de extremo a extremo podría ser excesivo. Por otro lado, en el caso de la información financiera, confidencial o comercialmente sensible, este tipo de cifrado es vital.

Si utiliza cifrado, recuerde que es fundamental manejar de manera segura su clave de cifrado. Guarde una copia de seguridad de la clave y, si es posible, no la guarde en la nube. Asimismo, puede que sea de utilidad cambiar las claves de cifrado de manera periódica para que, si alguien consigue acceder a ellas, quede desconectado del sistema cuando realice el cambio.

La configuración es otra herramienta de enorme utilidad en la seguridad en la nube. Muchas infracciones de datos en la nube se deben a vulnerabilidades básicas, tales como errores de configuración. Al prevenirlas, está disminuyendo enormemente el riesgo de seguridad en la nube. Si no se siente seguro/a al hacerlo, plantéese utilizar un proveedor de soluciones de seguridad en la nube.

Principios a seguir:

1. Nunca deje sin modificar la configuración predeterminada. Utilizar la configuración predeterminada permite al hacker entrar por la puerta principal: es como dejarse la llave puesta en la puerta de casa. Evite hacerlo para complicar el acceso a su sistema.
2. Nunca deje un sector de almacenamiento en la nube abierto. Los hackers podrían ver el contenido con solo abrir la URL del sector de almacenamiento.
3. Si el proveedor de servicios en la nube le proporciona controles de seguridad que puede activar, utilícelos. No seleccionar las opciones de seguridad correctas podría ponerle en riesgo.

Los consejos básicos de ciberseguridad 

También se deben incorporar en cualquier implementación de la nube. Si utiliza la nube, conviene que no pase por alto las prácticas estándar de ciberseguridad. Merece la pena que tenga en cuenta los siguientes aspectos si desea contar con la máxima seguridad en Internet:

Utilice contraseñas seguras. 

Combinar letras, números y caracteres especiales hará que resulte más difícil descifrar una contraseña. Procure evitar opciones previsibles, como reemplazar una S por el símbolo del dólar ($). Cuanto más aleatoria sea la secuencia de una contraseña, mejor.

Utilice un administrador de contraseñas. 

De este modo, podrá asignar a cada aplicación, base de datos y servicio que utilice una contraseña propia, sin necesidad de recordarlas todas. No obstante, es esencial que se asegure de proteger su administrador de contraseñas con una contraseña maestra segura.

Proteja todos los dispositivos que utilice para acceder a los datos en la nube,

incluidos los smartphones y tablets. Si tiene los datos sincronizados en varios dispositivos, cualquiera de ellos podría ser un eslabón débil que ponga toda su huella digital en riesgo.

Haga una copia de seguridad de sus datos periódicamente

para que, en caso de producirse un apagón en la nube o una pérdida de datos en su proveedor de servicios en la nube, pueda restaurarlos completamente. Puede guardar la copia de seguridad en un equipo en su casa, en un disco duro externo, o incluso de nube a nube, siempre y cuando esté seguro/a de que los dos proveedores de nube no comparten la infraestructura.

Modifique los permisos 

para evitar que ningún dispositivo o persona acceda a todos sus datos a menos que sea necesario. Por ejemplo, las empresas lo hacen configurando los permisos de sus bases de datos. Si tiene una red doméstica, utilice redes de invitados para sus hijos, para sus dispositivos IoT y para la televisión. Guarde su permiso «acceso a todas las zonas» para su uso personal.

Protéjase con un buen software antivirus y antimalware.

Los hackers podrán acceder fácilmente a su cuenta si un malware se abre camino en su sistema.

Evite acceder a sus datos a través de una Wi-Fi pública,

sobre todo si no está protegida por una autenticación segura. Utilice una red privada virtual (VPN) para proteger su acceso a la nube.

Almacenamiento y uso compartido de archivos en la nube

Los riesgos de seguridad de la informática en la nube pueden afectar a todos, desde las empresas hasta los consumidores individuales. Los usuarios pueden utilizar la nube para guardar archivos y copias de seguridad (en servicios como Dropbox), así como para servicios como el correo electrónico y aplicaciones de ofimática, o para rellenar formularios de impuestos y llevar a cabo su contabilidad.

También deberían pensar en cómo comparte los datos en la nube con los demás, sobre todo si trabaja como asesor o por cuenta propia. Si bien compartir archivos en Google Drive u otro servicio puede ser un modo fácil de trabajar con clientes, debe asegurarse de que está gestionando correctamente los permisos. Después de todo, querrá asegurarse de que sus diferentes clientes no puedan ver los nombres o los directorios de los demás ni alterar sus archivos.

Recuerde que muchos de estos servicios de almacenamiento en la nube de uso generalizado no cifran los datos. Si quiere mantener sus datos seguros mediante el cifrado, deberá usar un software específico para cifrarlos antes de cargarlos. A continuación, tendrá que facilitar a sus clientes una clave, ya que, de otro modo, no podrán leer los archivos.

Compruebe la seguridad de su proveedor de servicios en la nube

La seguridad debe ser uno de los principales puntos a considerar a la hora de elegir un proveedor de seguridad en la nube. La ciberseguridad de sus datos no es solo asunto suyo; un proveedor de servicios en la nube debe velar por crear un entorno seguro en la nube y compartir la responsabilidad por la seguridad de los datos.

Desafortunadamente, las empresas de la nube no le darán los planos de seguridad de su red. Esto equivaldría a que un banco le diese sus datos de seguridad, incluidos los números de combinación de la caja fuerte.

Sin embargo, obtener las respuestas correctas a algunas preguntas básicas le dará una mayor confianza de que sus activos en la nube estarán seguros. Además, será más consciente de si su proveedor ha abordado adecuadamente los riesgos obvios de seguridad en la nube.

Consultas

Le recomendamos plantearle a su proveedor cloud algunas de las siguientes preguntas:

• Auditorías de seguridad: “¿realiza regularmente auditorías externas de su seguridad?”
• Segmentación de los datos: «¿los datos de los clientes se segmentan de forma lógica y se mantienen separados?»
• Cifrado: «¿están cifrados los datos? ¿Qué partes de los datos están cifradas?”
• Retención de datos del cliente: «¿qué políticas de retención de datos de clientes se están siguiendo?»
• Retención de datos del usuario: «¿mis datos se borrarán correctamente si dejo de utilizar su servicio en la nube?»
• Gestión del acceso:«¿cómo se controlan los derechos de acceso?»

También querrá asegurarse de haber leído las condiciones de servicio (TOS) de su proveedor. Leer las condiciones de servicio es esencial para comprender si está recibiendo exactamente lo que quiere y necesita.

Asegúrese de comprobar que también conoce todos los servicios utilizados con su proveedor. Si sus archivos están en Dropbox o guarda una copia de seguridad en iCloud (el almacenamiento en la nube de Apple), podría significar perfectamente que se almacenan en servidores de Amazon. Por lo tanto, le convendría comprobar AWS, además del servicio que utiliza directamente.

Soluciones de seguridad en la nube híbrida

Los servicios de seguridad en la nube híbrida pueden ser una opción muy inteligente para los clientes en los espacios de las PYMES y las empresas. Son más viables para las aplicaciones de las PYMES y las empresas, ya que generalmente son demasiado complejos para el uso personal. No obstante, estas empresas podrían utilizar la combinación de escala y accesibilidad de la nube con el control in situ de los datos específicos. Estos son algunos de los beneficios de seguridad de los sistemas de seguridad en la nube híbrida:

La segmentación de los servicios 

Puede ayudar a una empresa a controlar la forma en que se accede a sus datos y se almacenan. Por ejemplo, guardar los datos más confidenciales in situ mientras se transfieren otros datos, aplicaciones y procesos a la nube puede ayudar a separar correctamente en capas la seguridad. Además, la separación de los datos puede mejorar la capacidad de su empresa para cumplir legalmente con los reglamentos de datos.

La redundancia 

También se puede lograr a través de entornos de la nube híbrida. Al utilizar las operaciones diarias de los servidores de la nube pública y al hacer copias de seguridad de los sistemas en los servidores de datos locales, las empresas pueden mantener sus operaciones en movimiento en caso de que un centro de datos se desconecte o se infecte con ransomware.

Soluciones de seguridad en la nube para PYMES

Si bien las empresas pueden insistir en tener una nube privada, el equivalente en Internet a tener su propio campus o edificio de oficinas, las personas, a título individual, así como las pequeñas empresas, tienen que trabajar con servicios en la nube pública. Vendría a ser como compartir una oficina o vivir en un edificio con centenares de vecinos. De ahí que su seguridad deba ser una de sus principales preocupaciones.

En las aplicaciones de las pequeñas y medianas empresas, descubrirá que la seguridad en la nube reside en gran medida en los proveedores públicos que utiliza.

Medidas que puede tomar para mantenerse a salvo:

• Segmentación de datos de varios usuarios: las empresas deben asegurarse de que ningún otro cliente de su proveedor de servicios en la nube pueda acceder a sus datos. Bien sea que estén alojados en servidores segmentados o cuidadosamente codificados, asegúrese de que se aplique correctamente las medidas de segmentación adecuadas.
• Controles de acceso de los usuarios: los permisos de control pueden significar que el acceso de los usuarios se reduzca a un nivel que resulte incómodo. Sin embargo, ser restrictivo y trabajar de forma segura para encontrar un equilibrio puede ser mucho más seguro que permitir que los permisos sin asignar se filtren en su red.
• Cumplimiento legal de los datos: mantener los datos de conformidad con los reglamentos internacionales como el GDPR es crítico para evitar importantes sanciones y daños a la reputación. Asegúrese de que las medidas como el enmascaramiento de datos y la clasificación de datos confidenciales sean una prioridad para su empresa.
• Escalada cuidadosa de los sistemas de la nube: con la rápida implementación de los sistemas de la nube, asegúrese de tomarse el tiempo necesario para revisar los sistemas de su empresa para obtener seguridad por encima de la comodidad. Los servicios en la nube pueden extenderse rápidamente hasta el punto de carecer de reglamento.

Soluciones de seguridad en la nube para empresas

Dado que hoy en día más del 90 % de las grandes empresas utilizan la computación en la nube, la seguridad en la nube se ha convertido en un aspecto esencial de la ciberseguridad corporativa. Los servicios en la nube privada y otras infraestructuras más costosas pueden ser viables para las organizaciones de nivel empresarial. Sin embargo, deberá asegurarse de que su TI interna se encargue de mantener toda la superficie de sus redes.

Para el uso de empresas a gran escala, la seguridad en la nube puede ser mucho más flexible si realiza algunas inversiones en infraestructura.

Principios fundamentales que debe tener en cuenta:

• Administre activamente sus cuentas y servicios: si ya no utiliza un servicio o software, desactívelo y ciérrelo correctamente. Los hackers pueden acceder fácilmente a toda una red de la nube a través de cuentas obsoletas e inactivas por medio de vulnerabilidades sin parches.
• Autenticación de varios factores (MFA): podría tratarse de datos biométricos, como huellas dactilares, o de una contraseña y el envío de un código independiente a su dispositivo móvil. Lleva más tiempo, pero es útil para proteger los datos más sensibles.
• Evalúe los costes y los beneficios de la nube híbrida: la segmentación de los datos es mucho más importante en el uso empresarial, ya que manejará cantidades mucho mayores de datos. Debe asegurarse de que sus datos estén separados de los de otros usuarios, bien sea cifrados por separado o segmentados lógicamente para un almacenamiento aparte. Los servicios en la nube híbrida pueden ser de gran ayuda.
• Desconfíe de la TI en la sombra: es esencial educar a sus empleados para evitar el uso de servicios en la nube no autorizados en sus redes o para el trabajo de la empresa. Si se comunican datos confidenciales or canales no seguros, su empresa puede estar expuesta a actores maliciosos o a problemas jurídicos.

Por lo tanto, bien sea un usuario individual, un usuario de una PYME o incluso un usuario de la nube a nivel empresarial, es importante asegurarte de que su red y sus dispositivos sean lo más seguros posible. Esto comienza con una buena comprensión de la ciberseguridad básica a nivel de usuario individual, así como con la garantía de que su red y todos los dispositivos están protegidos por una solución de seguridad robusta diseñada para la nube.

¿Qué nivel de seguridad tienen las nubes públicas frente a las privadas?

Los servicios en la nube pública los presta un proveedor externo desde un depósito virtualizado de recursos en el que varios clientes o «inquilinos» pueden alquilar recursos informáticos en el mismo servidor físico. Esto puede añadir un ligero riesgo de seguridad a los activos de un cliente que se ejecutan en la nube. Además, los equipos de seguridad tienen una visibilidad limitada de las cargas de trabajo que se ejecutan en soluciones de nube pública, lo que dificulta garantizar la protección.

Por otro lado, una nube privada puede ofrecer un mayor control y seguridad, ya que todos los recursos de la nube están dedicados a un único cliente. Los clientes de nube privada tienen acceso a servidores bare metal dentro de la nube que ayudan a garantizar que no compitan por ancho de banda con otros clientes y evitan los riesgos de seguridad que otros clientes pueden representar. Además, los equipos de seguridad tienen una mayor visibilidad de la infraestructura subyacente de una nube privada.

¿Qué son las amenazas para la seguridad de nube empresarial?

Los entornos de nube empresarial se enfrentan a una amplia variedad de desafíos y posibles amenazas de seguridad.

• Configuración incorrecta. Si los ajustes de seguridad se configuran incorrectamente o no se implementan, puede provocar que los agentes maliciosos aprovechen las vulnerabilidades y obtengan fácilmente acceso no autorizado a los datos, las aplicaciones y los sistemas.
• Ataques de denegación de servicio (DoS). Los ataques DoS y los ataques distribuidos de denegación de servicio (DDoS) están diseñados para ralentizar o bloquear un equipo o red. Los ataques DoS suelen ser un preámbulo de ataques más devastadores.
• Ciberataques. Las amenazas de ciberseguridad como el ransomware, el malware y las filtraciones de datos, son comunes y potentes, lo que a menudo da lugar a daños de millones de dólares para las empresas.
• API desprotegidas. Cuando las APIs que permiten que los programas de software se comuniquen entre sí quedan desprotegidas, suponen un punto de entrada fácil para los agentes maliciosos.
• Robo de cuentas. Los atacantes pueden utilizar credenciales robadas para acceder y secuestrar una cuenta de usuario, haciéndose pasar por el usuario para robar dinero o acceder a datos confidenciales.
• Filtraciones de datos. Las filtraciones de datos maliciosas o accidentales pueden poner en peligro la seguridad de los datos y exponer información confidencial o datos de clientes almacenados en la nube.
• Error humano. Las investigaciones demuestran que la mayoría de los fallos de seguridad en la nube son el resultado de errores humanos, como visitar un sitio web malicioso, compartir credenciales de inicio de sesión, caer en una estafa de phishing o no practicar una buena higiene de seguridad.

¿Cuáles son los desafíos de la seguridad de nube empresarial?

• Entornos de nube multicliente. Los clientes en entornos de nube pública utilizan recursos de nube que pueden compartir un servidor físico con otros clientes o inquilinos, lo que aumenta la preocupación de que los activos de un cliente puedan verse comprometidos por ataques maliciosos contra otro inquilino.
• Falta de visibilidad. La visibilidad puede ser un problema para las organizaciones que utilizan varios proveedores de nube. Este enfoque descentralizado de la gestión de la nube puede crear puntos ciegos, como terminales, cargas de trabajo y tráfico, que no se gestionan o protegen correctamente.
• TI en la sombra. Con la tendencia a lugares de trabajo remotos e híbridos y el uso de dispositivos personales, existe un mayor riesgo de que los usuarios empleen TI en la sombra o recursos de nube no autorizados, ya que buscan acceder a los datos y recursos que necesitan para mantener su productividad.
• Cargas de trabajo dinámicas. Las cargas de trabajo en la nube implican diversos procesos y recursos, como máquinas virtuales, contenedores, bases de datos, etc. Garantizar la protección de cada parte de la carga de trabajo puede ser una tarea compleja.
• Cumplimiento de normativas. Los marcos normativos, como HIPAA y PCI DSS, tienen requisitos estrictos para el almacenamiento, uso y protección de los datos de los clientes y la información de los pacientes por parte de las empresas. Cuando los datos se almacenan en la nube, las organizaciones pueden encontrar más difícil garantizar el cumplimiento de los requisitos de residencia y soberanía de dichos datos.

¿Cuál es el modelo de responsabilidad compartida para la seguridad empresarial?

La mayoría de los proveedores de servicios en la nube abordan la seguridad de nube empresarial con un modelo de responsabilidad compartida. En virtud de este acuerdo, el proveedor de nube es responsable de proteger la infraestructura subyacente que pone a disposición de los clientes como servicios en la nube, y el cliente es responsable de proteger cualquier parte del entorno de nube sobre la que tenga el control.

Si los equipos de TI y las organizaciones no tienen claras sus responsabilidades en este modelo, puede dar lugar a brechas en los controles y programas de seguridad que los agentes maliciosos pueden aprovechar fácilmente.

¿Cómo funciona la responsabilidad compartida en diferentes entornos de nube?

El nivel de responsabilidad que tienen las empresas para proteger sus activos en la nube depende del tipo de modelo de prestación de servicios en la nube. En las soluciones de infraestructura como servicio (IaaS), el proveedor de nube es responsable de proteger la infraestructura como los componentes de servidores, almacenamiento y red, mientras que el cliente es responsable de proteger las aplicaciones, los terminales, las cargas de trabajo y los datos.

Mientras que en las ofertas de plataforma como servicio (PaaS), el proveedor de nube protege todo el hardware y el software, mientras que el cliente es responsable de proteger todas las aplicaciones desarrolladas en la plataforma, así como los terminales, las cargas de trabajo y la seguridad de los usuarios y de la red. En las soluciones de software como servicio (SaaS), el proveedor de servicios en la nube protege toda la infraestructura y las aplicaciones, mientras que el cliente es responsable de proteger solo los terminales, las cargas de trabajo, los datos y la seguridad de los usuarios y la red.

¿Cuáles son las claves de la seguridad de nube empresarial?

Para mantener una estrategia de seguridad sólida, la seguridad de nube empresarial requiere un enfoque multicapa de la estrategia de seguridad. Las soluciones de seguridad basada en la nube más comunes incluyen:

• Gestión de acceso e identidades. Las soluciones de control de acceso sólido, permisos estrictos y autenticación multifactor dificultan a los atacantes el uso de credenciales robadas para acceder a los entornos de nube.
• Supervisión continua. Las soluciones de seguridad que permiten a los equipos de TI supervisar continuamente las plataformas y los servicios en la nube pueden ayudar a identificar y corregir rápidamente las posibles amenazas.
• Seguridad de red de nube. Las soluciones para segmentar los activos en la nube pueden reducir el impacto de una filtración. La tecnología de seguridad de red en la nube también puede supervisar el tráfico y proteger los datos y los activos digitales contra la explotación y el movimiento lateral.
• Protección de datos. El cifrado de datos en tránsito y en reposo puede proteger los datos almacenados en la nube y simplificar el cumplimiento de una amplia gama de leyes y normativas.
• Inteligencia sobre amenazas. El acceso a información actualizada sobre amenazas puede ayudar a las organizaciones a identificar y defenderse de las ciberamenazas emergentes.
• Agentes seguros de acceso a la nube (CASB). Un CASB se sitúa entre los clientes y sus servicios en la nube para ayudar a aplicar políticas de seguridad y añadir una capa de seguridad.
• Acceso de red Zero Trust (ZTNA). Las soluciones ZTNA proporcionan un acceso remoto seguro a los activos en la nube con cada solicitud, lo que garantiza que los usuarios o las aplicaciones que solicitan se autentican continuamente.

¿Cuáles son las ventajas de la seguridad basada en la nube?

Las soluciones de seguridad basada en la nube proporcionan servicios de seguridad desde servidores en centros de datos remotos a través de una conexión a Internet. Con las soluciones basadas en la nube, las empresas pueden evitar el coste y el esfuerzo de implementar equipos en entornos locales. Los equipos de seguridad pueden gestionar los programas de seguridad de forma remota desde un único panel, desde cualquier parte del mundo. Las soluciones de seguridad basada en la nube ofrecen una escalabilidad mucho mayor que la tecnología de entorno local, y elegir soluciones basadas en la nube ayuda a preparar los sistemas de seguridad para el futuro.

Preguntas frecuentes

¿Son más seguras las nubes públicas o las privadas?

Con los servicios de nube pública, varios clientes o inquilinos pueden compartir recursos informáticos en el mismo servidor físico, lo que aumenta el riesgo de los activos en la nube. Además, los equipos de seguridad tienen una visibilidad limitada de las cargas de trabajo que se ejecutan en soluciones de nube pública, lo que dificulta garantizar la protección. Los entornos de nube privada más control y seguridad, ya que todos los recursos de la nube están dedicados a un único cliente y los equipos de seguridad tienen una mayor visibilidad de la infraestructura subyacente de una arquitectura de nube privada.

¿Qué es la optimización de la nube?

La optimización de la nube es el proceso de determinar la mejor forma de elegir y asignar recursos de nube para maximizar el rendimiento, racionalizar los recursos y minimizar los costes. Al ayudar a mitigar la propagación no controlada de instancias, servicios o proveedores de nube en una organización, la optimización de la nube puede ayudar a mejorar la estrategia de seguridad.

¿Cuáles son las ventajas de la seguridad basada en la nube?

Las soluciones de seguridad basada en la nube proporcionan servicios de seguridad desde servidores en centros de datos remotos a través de una conexión a Internet. Con las soluciones basadas en la nube, las empresas pueden evitar el coste y el esfuerzo de implementar equipos en entornos locales.

¿Son las nubes privadas más seguras que los servicios de nube pública?

Las nubes públicas y privadas son formas de almacenar datos en Internet. Los servicios en la nube pública se comparten entre varios clientes, lo que significa que pueden ser menos seguros. Las nubes privadas son solo para un cliente y le proporcionan más control y seguridad.

¿Qué es Cloud Security Alliance?

Cuando miramos a la industria de la computación en nube, es un mercado dispar sin un órgano central de gobierno al que las empresas puedan acudir para orientarse. Esto puede ser frustrante, especialmente cuando se abordan retos como cloud security.

Afortunadamente, en lugar de los órganos de gobierno, hay una serie de organizaciones que se dedican a apoyar a la industria. Cloud Security Alliance es una de esas organizaciones.

La Cloud Security Alliance (CSA) es una organización sin ánimo de lucro dedicada a desarrollar y concienciar sobre las mejores prácticas para mantener un entorno de computación en la nube seguro.

Se trata de una organización de miembros que ofrece a la industria orientación sobre la seguridad específica de las nubes en forma de educación, investigación, eventos y productos. Esta orientación se aprovecha directamente de la experiencia combinada en la materia de los profesionales de la industria, las asociaciones, los gobiernos y los miembros individuales y corporativos de la CSA.

Para que entienda mejor la Cloud Security Alliance, veamos más de cerca cómo apoyan a la industria.

Membresía

El CSA se construye sobre la base de sus miembros. Unirse a la CSA como miembro abre un rango de diferentes beneficios dependiendo de si es un individuo, una empresa o un proveedor de soluciones.

Principalmente, éstas se encuentran en categorías similares que incluyen el acceso a su red de expertos de otros miembros, una plaza en el Consejo Internacional de Normalización, descuentos en la capacitación y acceso a eventos y seminarios web exclusivos.

Aseguramiento

La CSA ha desarrollado uno de los más renombrados programas de certificación de cloud security: el Registro de Seguridad, Confianza y Garantía (STAR).

STAR es un programa de garantía del proveedor que proporciona transparencia a través de la autoevaluación, la auditoría de terceros y la vigilancia continua de acuerdo con las normas. El programa comprende tres niveles, demostrando que el titular se adhiere a las mejores prácticas mientras valida la seguridad de sus ofertas en la nube.

Educación

Para apoyar la mejora continua de la seguridad en la nube en la industria, la CSA ofrece una gama de servicios de educación. Puede obtener una serie de certificaciones de seguridad en la nube desarrolladas por la CSA, acceder a su centro de conocimientos y participar en sus seminarios y eventos educativos programados regularmente.

Investigación

La CSA sigue apoyando a la industria que desarrolla e innova las mejores prácticas de Cloud Security a través de sus continuas investigaciones. Esto es impulsado por sus grupos de trabajo que ahora abarcan 30 dominios de la Cloud Security.

Los más recientes y vanguardistas incluyen el surgimiento de grupos de trabajo para DevSecOps, Internet de las Cosas, Inteligencia Artificial y Blockchain. La CSA publica continuamente sus investigaciones – de forma gratuita – asegurando que la industria pueda mantenerse actualizada e informada de la naturaleza siempre cambiante de cloud security.

Comunidad

La CSA también apoya a la industria al continuar manteniendo y desarrollando la comunidad de cloud security. Han creado y mantienen una amplia gama de comunidades que permiten a las mentes de toda la industria de cloud security conectarse, compartir conocimientos e innovar.

El blog de CSA

Estas comunidades en crecimiento se presentan de muchas formas. Hay capítulos de CSA a los que puede unirse para conectarse con profesionales locales y cumbres de CSA donde las mejores mentes comparten su experiencia con las masas. Incluso hay un blog de CSA que alberga una comunidad de seguidores que quieren seguir el ritmo de las prácticas de CSA.

Amenazas y vulnerabilidades en la nube

Casi todas las organizaciones han adoptado la computación en la nube en distintos grados dentro de sus negocios. Sin embargo, con esta adopción de la nube surge la necesidad de garantizar que la estrategia de seguridad en la nube de la organización sea capaz de proteger contra las principales amenazas a la seguridad en la nube.

Mal configuración

Las configuraciones incorrectas de los ajustes de seguridad en la nube son una de las principales causas de las filtraciones de datos en la nube. Las estrategias de gestión de la postura de seguridad en la nube de muchas organizaciones son inadecuadas para proteger su infraestructura basada en la nube.

Varios factores contribuyen a esto. La infraestructura de la nube está diseñada para ser fácilmente utilizable y permitir compartir datos fácilmente, lo que dificulta que las organizaciones garanticen que solo las partes autorizadas puedan acceder a los datos. Además, las organizaciones que utilizan una infraestructura basada en la nube tampoco tienen visibilidad y control completos sobre su infraestructura, lo que significa que deben depender de los controles de seguridad proporcionados por su proveedor de servicios en la nube (CSP) para configurar y asegurar su implementación en la nube.

Dado que muchas organizaciones no están familiarizadas con la seguridad de la infraestructura de la nube y, a menudo, tienen implementación de múltiples nubes (cada una con una gama diferente de controles de seguridad proporcionados por el proveedor), es fácil que una mala configuración o una supervisión de la seguridad dejen los recursos basados en la nube de una organización expuestos a los atacantes.

Acceso no autorizado

A diferencia de la infraestructura local de una organización, su implementación basada en la nube está fuera del perímetro de la red y es directamente accesible desde la Internet pública. Si bien esto es un activo para la accesibilidad de esta infraestructura para empleados y clientes, también facilita que un atacante obtenga acceso no autorizado a los recursos basados en la nube de una organización. La seguridad configurada de manera incorrecta o las credenciales comprometidas pueden permitir que un atacante obtenga acceso directo, potencialmente sin el conocimiento de una organización.

Interfaces/API inseguras

Los CSP suelen proporcionar una serie de interfaces de programación de aplicaciones (API) e interfaces para sus clientes. En general, estas interfaces están bien documentadas en un intento de hacerlas fácilmente utilizables para los clientes de un CSP. Sin embargo, esto crea problemas potenciales si un cliente no ha protegido adecuadamente las interfaces para su infraestructura basada en la nube. Un ciberdelincuente también puede utilizar la documentación diseñada para el cliente para identificar y explotar métodos potenciales para acceder y extraer datos confidenciales del entorno de nube de una organización.

Actualmente los servicios en la Nube ofrecen APIs. Las cuales son las interfaces que son diseñadas para protegerse contra intentos accidentales y malintencionados.  Los equipos de TI utilizan interfaces y APIs para administrar e interactuar con servicios en la Nube.

Tanto la seguridad y disponibilidad de los servicios, la autenticación y control de acceso depende de la seguridad API, las interfaces y APIs débiles exponen a las organizaciones a las cuestiones de seguridad relacionadas con la confidencialidad, integridad, disponibilidad y responsabilidad.

Las APIs e interfaces tienden a ser la parte más expuesta de un sistema, ya que por lo general son accesibles desde la Internet abierta, por eso se recomienda controles adecuados y revisiones de código centrados en la seguridad y pruebas de penetración rigurosa.

Secuestro de cuentas

Muchas personas tienen una seguridad de contraseñas extremadamente débil, lo que incluye la reutilización de contraseñas y el uso de contraseñas débiles. Este problema exacerba el impacto de los ataques de phishing y las filtraciones de datos, ya que permite el uso de una sola contraseña robada en varias cuentas diferentes.

El secuestro de cuentas es uno de los problemas de seguridad en la nube más graves, ya que las organizaciones dependen cada vez más de la infraestructura y las aplicaciones basadas en la nube para las funciones comerciales principales. Un atacante con las credenciales de un empleado puede acceder a datos o funcionalidades confidenciales, y las credenciales de clientes comprometidas brindan control total sobre su cuenta en línea. Además, en la nube, las organizaciones a menudo carecen de la capacidad de identificar y responder a estas amenazas con la misma eficacia que en la infraestructura local.

Por lo general, las brechas de datos y otros ataques son el resultado de contraseñas débiles o pobres. Las claves deben ser protegidas de manera adecuada, y es necesaria una infraestructura de clave pública bien asegurada, También necesitan las claves o contraseñas deben ser cambiadas periódicamente para hacer que a los atacantes les resulte más difícil utilizar las claves que han obtenido sin autorización.

Las estrategias comunes de protección y defensa pueden contener los daños sufridos por una violación. Las organizaciones deben prohibir que se compartan las credenciales de cuenta entre los usuarios y los servicios, así como permitir los esquemas de autenticación multifactoriales donde estén disponibles. Las cuentas, incluso las cuentas de servicio, deben ser controladas de manera que cada transacción se pueda remontar a una sola persona.

Falta de visibilidad

Los recursos basados en la nube de una organización están ubicados fuera de la red corporativa y se ejecutan en una infraestructura que la empresa no posee. Como resultado, muchas herramientas tradicionales para lograr visibilidad de la red no son efectivas para entornos de nube y algunas organizaciones carecen de herramientas de seguridad centradas en la nube. Esto puede limitar la capacidad de una organización para monitorear sus recursos basados en la nube y protegerlos contra ataques.

Intercambio externo de datos

La nube está diseñada para facilitar el intercambio de datos. Muchas nubes ofrecen la opción de invitar explícitamente a un colaborador por correo electrónico o de compartir un enlace que permite que cualquier persona con la URL acceda al recurso compartido.

Si bien este fácil intercambio de datos es una ventaja, también puede ser un problema importante de seguridad en la nube. El uso del uso compartido basado en enlaces, una opción popular ya que es más fácil que invitar explícitamente a cada colaborador previsto, dificulta el control del acceso al recurso compartido. El enlace compartido puede ser reenviado a otra persona, robado como parte de un ataque cibernético o adivinado por un ciberdelincuente, proporcionando acceso no autorizado al recurso compartido. Además, el uso compartido basado en enlaces hace que sea imposible revocar el acceso a un solo destinatario del enlace compartido.

Insiders maliciosos

Las amenazas internas son un problema de seguridad importante para cualquier organización. Un interno malintencionado ya tiene acceso autorizado a la red de una organización y a algunos de los recursos confidenciales que contiene. Los intentos de obtener este nivel de acceso son lo que revela a la mayoría de los atacantes a su objetivo, lo que dificulta que una organización no preparada detecte una información privilegiada maliciosa.

En la nube, la detección de un usuario interno malintencionado es aún más difícil. Con implementaciones en la nube, las empresas carecen de control sobre su infraestructura subyacente, lo que hace que muchas soluciones de seguridad tradicionales sean menos eficaces. Esto, junto con el hecho de que se puede acceder a la infraestructura basada en la nube directamente desde la internet pública y de que a menudo dicha infraestructura presenta configuraciones incorrectas de seguridad, hace que sea aún más difícil detectar a usuarios internos malintencionados.

Las actitudes maliciosas van desde el robo de datos hasta la venganza. En un escenario de Nube, un vengador interno puede destruir infraestructuras enteras o manipular los datos. Los sistemas que dependen únicamente de la empresa de servicios en la nube para la seguridad, como el cifrado, se encuentran en mayor riesgo. Se recomienda que las organizaciones controlen el proceso de cifrado y las claves, la segregación de funciones y la reducción al mínimo del acceso a los usuarios. Son también críticos el registro eficaz, la vigilancia y la auditoría de las actividades del administrador.

DDOS y DOS, Ataques de denegación de servicio

La nube es esencial para la capacidad de muchas organizaciones de hacer negocios. Utilizan la nube para almacenar datos críticos para el negocio y ejecutar importantes aplicaciones internas y de cara al cliente.

Esto significa que un ataque de denegación de servicio (DoS) exitoso contra la infraestructura de la nube probablemente tendrá un impacto importante en varias empresas diferentes. Como resultado, los ataques DoS en los que el atacante exige un rescate para detener el ataque representan una amenaza importante para los recursos basados en la nube de una organización.

Estos tipos de ataques han existido durante muchos años, sin embargo, en los últimos años ha tomado más protagonismo debido a la computación en la Nube, ya frecuentemente afecta la disponibilidad. Según un estudio: “Experimentar un ataque de denegación de servicio es como estar atrapado en el tráfico en hora punta; hay una manera de llegar a su destino y no hay nada que pueda hacer al respecto, salvo sentarse y esperar”.

Fuga de datos

Los entornos basados en la nube facilitan el intercambio de datos que están almacenados en ellos. Estos entornos son accesibles directamente desde la internet pública e incluyen la capacidad de compartir datos fácilmente con otras partes a través de invitaciones directas por correo electrónico o mediante un enlace público a los datos.

La facilidad para compartir datos en la nube, si bien es un activo importante y clave para la colaboración en la nube, genera serias preocupaciones con respecto a la pérdida o fuga de datos. De hecho, el 69% de las organizaciones señalan esto como su mayor preocupación en materia de seguridad en la nube. El intercambio de datos mediante enlaces públicos o la configuración de un repositorio basado en la nube como público los hace accesibles a cualquier persona con conocimiento del enlace, y existen herramientas específicas para buscar en Internet estas implementaciones en la nube no seguras.

Esto puede venir de un error humano como de un ataque dirigido, es producido por vulnerabilidades de aplicaciones o seguridad deficiente. Por otro lado, debido a la cantidad de datos almacenados en los servidores de la Nube, los proveedores se convierten en un objetivo atractivo, por eso para no incurrir en multas o enfrentar demandas por la valoración de datos, se recomienda a las organizaciones que utilicen la autenticación de factores múltiples y la encriptación para protegerse contra las violaciones de datos.

Vulnerabilidad del sistema explotado.

Esta amenaza, no es algo nuevo que suceda, sin embargo, se han convertido en un problema grave debido a la capacidad multiusuario de la Nube.  Las organizaciones comparten la memoria, bases de datos y otros recursos en estrecha proximidad entre sí, creando nuevas áreas de ataque.

Pero, estos ataques pueden ser minimizados gracias a prácticas que incluyen la exploración regular de la vulnerabilidad, la gestión de parches del sistema, y un rápido seguimiento de las amenazas reportadas.

Amenazas Persistentes Avanzadas (APT).

Se llaman así por sus siglas en inglés, estas amenazas se filtran en los sistemas para establecer un punto de apoyo, poco a poco se van filtrando en los datos y la propiedad intelectual durante un largo tiempo, los APTs son difíciles de detectar ya que se van moviendo lateralmente a través de la red y se mezclan con el tráfico normal. Los principales proveedores de las Nubes, están utilizando técnicas avanzadas para evitar que los APTs se filtren en las infraestructuras, por lo que los clientes tienen que ser tan diligentes en la detección de los compromisos de las APTs en las cuentas de la nube como lo harían en los sistemas de correo locales.

Pérdida de datos Permanente.

El objetivo principal de los hackers maliciosos es eliminar permanentemente los datos de la nube para dañar a las empresas, y los centros de datos en la nube son tan vulnerables a los desastres naturales como cualquier instalación.

Los proveedores de nube recomiendan distribuir los datos y las aplicaciones a través de múltiples zonas para una mayor protección. Las medidas adecuadas de respaldo de datos son esenciales, así como la adhesión a las mejores prácticas en la continuidad del negocio y la recuperación de desastres. La copia de seguridad diaria y el almacenamiento fuera de las instalaciones siguen siendo importantes en los entornos de nube.

Tecnología compartida = peligros compartidos.

Una amenaza importante para la Nube, es el intercambio de la tecnología. Por lo general, los proveedores de servicio de la Nube comparten infraestructura, plataformas y aplicaciones, y si se presenta una vulnerabilidad en cualquiera de estas capas, podría afectar a todos los que están incluidos.

Para disminuir los riesgos de forma rentable al aplicar controles de seguridad para disminuir las probabilidades de que puedan explotarse las vulnerabilidades del bien y derivar en la implementación de amenazas.

Controles de seguridad en la nube

Cloud Security abarca las tecnologías, los controles, los procesos y las políticas que se combinan para proteger sus sistemas, datos e infraestructura basados en la nube. Es un subdominio de la seguridad informática y, más ampliamente, de la seguridad de la información.

Es una responsabilidad compartida entre usted y su proveedor de servicios en la nube. Usted implementa una estrategia de Cloud Security para proteger sus datos, cumplir con las normas y proteger privacidad de sus clientes. Lo que a su vez lo protege de las ramificaciones de reputación, financieras y legales de las violaciones y pérdidas de datos.

Modelo de Responsabilidad Compartida de Cloud Security (Fuente de la imagen: Sinopsis)

Cloud Security es un requisito crítico para todas las organizaciones. Especialmente con la última investigación del (ISC)2 que informa que el 93% de las organizaciones están moderada o extremadamente preocupadas por Cloud Security, y una de cada cuatro organizaciones que confirman un incidente de Cloud Secutity en los últimos 12 meses.

Exploramos los riesgos de seguridad al trasladarse a la nube, comprenderá por qué es necesario Cloud Security y descubrirá las mejores prácticas de Cloud Security. También cubriremos temas como la forma de evaluar la seguridad de un proveedor de servicios en la nube e identificar las certificaciones y la formación para mejorar su Cloud Secutity.

¿Cómo funciona Cloud Security?

Cloud Security es una compleja interacción de tecnologías, controles, procesos y políticas. Una práctica que está altamente personalizada a los requerimientos únicos de su organización.

Como tal, no hay una sola explicación que abarque cómo «funciona» Cloud Security

Un modelo para asegurar las cargas de trabajo de las nubes (Fuente de la imagen: HyTrust)

Afortunadamente, hay un conjunto de estrategias y herramientas ampliamente establecidas que se pueden utilizar para lograr una sólida configuración de Cloud Security, entre ellas:

Gestión de la identidad y el acceso

Todas las empresas deberían tener un sistema de gestión de la identidad y el acceso (IAM) para controlar el acceso a la información. Su proveedor de nubes se integrará directamente con su IAM u ofrecerá su propio sistema incorporado. Un IAM combina la autenticación multifactorial y las políticas de acceso de los usuarios, ayudándole a controlar quién tiene acceso a sus aplicaciones y datos, a qué pueden acceder y qué pueden hacer con sus datos.

Seguridad física

La seguridad física es otro pilar de la Cloud Security. Es una combinación de medidas para prevenir el acceso directo y la interrupción del hardware alojado en el centro de datos de su proveedor de nube. La seguridad física incluye el control de acceso directo con puertas de seguridad, fuentes de alimentación ininterrumpida, CCTV, alarmas, filtración de aire y partículas, protección contra incendios y más.

Inteligencia, vigilancia y prevención de amenazas

La Inteligencia de Amenazas, los Sistemas de Detección de Intrusos (IDS) y los Sistemas de Prevención de Intrusos (IPS) forman la columna vertebral de Cloud Security. La Inteligencia de Amenazas y las herramientas de IDS ofrecen funcionalidad para identificar a los atacantes que actualmente tienen como objetivo sus sistemas o que serán una amenaza futura. Las herramientas de IPS implementan funcionalidad para mitigar un ataque y avisarle de su ocurrencia para que usted también pueda responder.

Cifrado

Usando la tecnología de la nube, usted está enviando datos hacia y desde la plataforma del proveedor de la nube, a menudo almacenándolos dentro de su infraestructura. El cifrado es otra capa de Cloud Security para proteger sus activos de datos, codificándolos cuando están en reposo y en tránsito. Esto asegura que los datos sean casi imposibles de descifrar sin una clave de descifrado a la que sólo usted tiene acceso.

Pruebas de vulnerabilidad y penetración de las nubes

Otra práctica para mantener y mejorar la Cloud Security es la prueba de vulnerabilidad y penetración. Estas prácticas implican que usted – o su proveedor – ataque su propia infraestructura de nube para identificar cualquier debilidad o explotación potencial. A continuación, puede implementar soluciones para parchear estas vulnerabilidades y mejorar su posición de seguridad.

Microsegmentación

La microsegmentación es cada vez más común en la implementación de Cloud Security. Es la práctica de dividir el despliegue de la nube en distintos segmentos de seguridad, hasta el nivel de la carga de trabajo individual. Al aislar las cargas de trabajo individuales, se pueden aplicar políticas de seguridad flexibles para minimizar los daños que un atacante podría causar, en caso de que obtuviera acceso.

La próxima generación de cortafuegos

Los cortafuegos de última generación son otra pieza del rompecabezas de Cloud Security. Protegen sus cargas de trabajo usando la funcionalidad de los cortafuegos tradicionales y las nuevas características avanzadas. La protección de los cortafuegos tradicionales incluye filtrado de paquetes, inspección de estado, proxy, bloqueo de IP, bloqueo de nombres de dominio y bloqueo de puertos.

Los cortafuegos de última generación añaden un sistema de prevención de intrusiones, inspección profunda de paquetes, control de aplicaciones y análisis del tráfico cifrado para proporcionar una detección y prevención integral de amenazas.

Arquitectura de alojamiento (fuente: Kinsta)

En este ejemplo, en Kinsta aseguran todos los sitios web detrás del Firewall de Google Cloud Platform (GCP). Ofreciendo una protección de última generación y la capacidad de integrarse más estrechamente con otras soluciones de seguridad de GCP.

7 Riesgos de seguridad de la computación en nube

Ya sea que esté o no operando en la nube, la seguridad es una preocupación para todos los negocios. Se enfrentará a riesgos como la denegación de servicio, el malware, la inyección SQL, las brechas de datos y la pérdida de datos. Todo ello puede tener un impacto significativo en la reputación y los resultados de su empresa.

Cuando se mueve a la nube introduce un nuevo conjunto de riesgos y cambia la naturaleza de los demás. Eso no significa que la computación en la nube no sea segura. De hecho, muchos proveedores de nubes introducen el acceso a herramientas y recursos de seguridad altamente sofisticados a los que de otra manera no podrías acceder. Simplemente significa que hay que ser consciente del cambio en los riesgos para mitigarlos. Así que, echemos un vistazo a los riesgos de seguridad únicos de la computación en nube.

1. Pérdida de visibilidad

La mayoría de las empresas accederán a una gama de servicios de nube a través de múltiples dispositivos, departamentos y geografías. Este tipo de complejidad en una configuración de computación en nube – sin las herramientas apropiadas en su lugar – puede causar que pierda la visibilidad del acceso a su infraestructura. Sin los procesos correctos en su lugar, puede perder de vista quién está usando sus servicios en la nube. Incluyendo qué datos están accediendo, subiendo y bajando. Si no puede verlo, no puede protegerlo. Aumentando el riesgo de violación y pérdida de datos.

2. Violaciones del cumplimiento

Con el aumento del control reglamentario, es probable que tenga que cumplir una serie de requisitos de cumplimiento muy estrictos. Al pasar a la nube, se introduce el riesgo de violaciones de cumplimiento si no se tiene cuidado. Muchos de estos reglamentos exigen que su empresa sepa dónde están sus datos, quién tiene acceso a ellos, cómo se procesan y cómo se protegen. Otras regulaciones requieren que su proveedor de nube tenga ciertas credenciales de cumplimiento. Una transferencia descuidada de datos a la nube, o el traslado al proveedor equivocado, puede poner a su organización en un estado de incumplimiento. Introduciendo repercusiones legales y financieras potencialmente graves.

3. Falta de estrategia y arquitectura de Cloud Security

Este es un riesgo de Cloud Security que puede ser fácilmente evitado, pero muchos no lo hacen. En su prisa por migrar los sistemas y datos a la nube, muchas organizaciones empiezan a funcionar mucho antes de que los sistemas y estrategias de seguridad estén en funcionamiento para proteger su infraestructura. Asegúrese de implementar una estrategia de seguridad e infraestructura diseñada para que la nube funcione en línea con sus sistemas y datos.

4. Amenazas internas

Sus empleados de confianza, contratistas y socios comerciales pueden ser algunos de sus mayores riesgos de seguridad. Estas amenazas internas no tienen por qué tener un propósito malicioso para causar daños a su negocio. De hecho, la mayoría de los incidentes internos se deben a la falta de formación o a la negligencia.

Mientras que actualmente se enfrenta a este problema, el traslado a la nube cambia el riesgo. Usted entrega el control de sus datos a su proveedor de servicios en la nube e introduce una nueva capa de amenaza interna de los empleados del proveedor.

5. Incumplimientos contractuales

Cualquier sociedad contractual que tenga incluirá restricciones sobre cómo se utilizan los datos compartidos, cómo se almacenan y quién está autorizado a acceder a ellos. Sus empleados, al trasladar involuntariamente datos restringidos a un servicio en la nube sin autorización, podrían crear un incumplimiento de contrato que podría dar lugar a acciones legales.

Asegúrese de leer los términos y condiciones de sus proveedores de nubes. Incluso si tiene autorización para mover datos a la nube, algunos proveedores de servicios incluyen el derecho de compartir cualquier dato cargado en su infraestructura. Por ignorancia, usted podría involuntariamente violar un acuerdo de no divulgación.

6. Interfaz de usuario de aplicaciones inseguras (API)

Cuando se operan sistemas en una infraestructura de nube, se puede utilizar una API para implementar el control. Cualquier API incorporada a sus aplicaciones web o móviles puede ofrecer acceso interno por parte del personal o externo por parte de los consumidores.

Son las API de cara al exterior las que pueden introducir un riesgo de Cloud Security Cualquier API externa insegura es una puerta de entrada que ofrece acceso no autorizado a los ciberdelincuentes que buscan robar datos y manipular servicios.

El ejemplo más destacado de una API externa insegura es el escándalo de Facebook – Cambridge Analytica. La API externa insegura de Facebook le dio a Cambridge Analytica un acceso profundo a los datos de los usuarios de Facebook.

7. Desconfiguración de los servicios de la nube

La configuración errónea de los servicios de la nube es otro posible riesgo para Cloud Security. Con el aumento de la gama y la complejidad de los servicios, este es un problema creciente. La configuración errónea de los servicios en la nube puede hacer que los datos se expongan públicamente, se manipulen o incluso se eliminen.

Entre las causas más comunes se encuentran el mantenimiento de la seguridad predeterminada y la configuración de la gestión del acceso a datos altamente confidenciales. Otras incluyen una gestión de acceso mal ajustada que da acceso a personas no autorizadas, y el acceso a datos manipulados en los que los datos confidenciales se dejan abiertos sin necesidad de autorización.

¿Por qué se requiere Cloud Security?

La adopción masiva de la tecnología de nubes combinada con un volumen y una sofisticación cada vez mayores de las amenazas cibernéticas es lo que impulsa la necesidad de Cloud Security. Reflexionando sobre los riesgos de seguridad de la adopción de la tecnología de nubes – esbozados anteriormente – el fracaso en la mitigación de los mismos puede tener implicaciones significativas.

Beneficios de la Cloud Security

Más allá de la protección contra las amenazas y de evitar las consecuencias de las malas prácticas, cloud security ofrece beneficios que la convierten en un requisito para las empresas. Entre ellos se incluyen:

1. Seguridad centralizada

De la misma manera que la computación en la nube centraliza las aplicaciones y los datos, cloud security centraliza la protección. Ayudándole a mejorar la visibilidad, implementar controles y protegerse mejor contra los ataques. También mejora la continuidad de su negocio y la recuperación de desastres al tenerlo todo en un solo lugar.

2. Costo reducido

Un reputado proveedor de servicios de nube ofrecerá hardware y software incorporado dedicado a asegurar sus aplicaciones y datos las 24 horas del día. Esto elimina la necesidad de una inversión financiera significativa en su propia configuración.

3. Administración reducida

El paso a la nube introduce un modelo de responsabilidad compartida para la seguridad. Esto puede proporcionar una reducción significativa de la cantidad de tiempo y recursos invertidos en la administración de la seguridad. El proveedor de servicios de la nube asumirá la responsabilidad de asegurar su infraestructura – y a usted – a través del almacenamiento, la computación, las redes y la infraestructura física.

4. Aumento de la fiabilidad

Un proveedor líder de servicios de nube ofrecerá hardware y software de Cloud Security de última generación en el que se puede confiar. Tendrá acceso a un servicio continuo en el que sus usuarios podrán acceder de forma segura a los datos y aplicaciones desde cualquier lugar y en cualquier dispositivo.

Mejores prácticas para Cloud Security

Al mover sus sistemas a la nube, muchos procesos de seguridad y mejores prácticas siguen siendo los mismos. Sin embargo, se encontrará con un nuevo conjunto de desafíos que deberá superar para mantener la seguridad de sus sistemas y datos basados en la nube.

Para ayudarle con este desafío, hemos compilado una serie de mejores prácticas de seguridad para despliegues basados en la nube.

Elija un proveedor de confianza

La base de las mejores prácticas de cloud security se basa en la selección de un proveedor de servicios de confianza. Usted desea asociarse con un proveedor de nubes que ofrezca los mejores protocolos de seguridad incorporados y que se ajuste a los niveles más altos de las mejores prácticas de la industria. Un proveedor de servicios que le extiende un mercado de socios y soluciones para mejorar aún más la seguridad de su despliegue.

La marca de un proveedor de confianza se refleja en el rango de cumplimiento de la seguridad y las certificaciones que poseen. Algo que cualquier buen proveedor pondrá a disposición del público. Por ejemplo, todos los proveedores líderes como Amazon Web Services, Alibaba Cloud, Google Cloud (que impulsa a Kinsta) y Azure ofrecen un acceso transparente en el que se puede confirmar su cumplimiento de seguridad y sus certificaciones.

Comprender su modelo de responsabilidad compartida

Cuando se asocia con un proveedor de servicios en la nube y se trasladan los sistemas y datos a la nube, se entra en una asociación de responsabilidad compartida para la implementación de la seguridad. Una parte crítica de las mejores prácticas implica revisar y comprender su responsabilidad compartida. Descubrir qué tareas de seguridad permanecerán con usted y cuáles serán ahora manejadas por el proveedor. Esta es una escala móvil dependiendo de si se opta por el Software como Servicio (SaaS), Plataforma como Servicio (PaaS), Infraestructura como Servicio (IaaS), o en un centro de datos en las instalaciones.

Modelo de responsabilidad compartida de Google Cloud Platform

Los principales proveedores de servicios en la nube como AWS, Azure, Google Cloud Platform y Alibaba Cloud publican lo que se conoce como un modelo de responsabilidad compartida para la seguridad. Asegurando la transparencia y la claridad. Asegúrese de revisar su modelo de responsabilidad compartida de los proveedores de servicios en la nube.

Revise sus contratos de proveedores de nubes y los acuerdos de nivel de servicio

Puede que no piense en revisar sus contratos de nubes y SLA como parte de las mejores prácticas de seguridad, debería hacerlo. Los SLA y los contratos de servicio de la nube son sólo una garantía de servicio y recurso en caso de un incidente. Hay mucho más incluido en los términos y condiciones, anexos y apéndices que pueden afectar a su seguridad. Un contrato puede significar la diferencia entre que su proveedor de servicios en la nube sea responsable de sus datos y que los posea.

Según el McAfee 2019 Cloud Adoption and Risk Report, el 62,7% de los proveedores de cloud computing no especifican que los datos de los clientes son propiedad del cliente. Esto crea una zona gris legal en la que un proveedor podría reclamar la propiedad de todos sus datos cargados. Compruebe quién es el propietario de los datos y qué pasa con ellos si termina sus servicios. Además, busque claridad sobre si el proveedor está obligado a ofrecer visibilidad de cualquier evento de seguridad y respuestas.

Si no está satisfecho con los elementos del contrato, intente negociar. Si alguno de ellos no es negociable, debe determinar si el acuerdo es un riesgo aceptable para el negocio. De lo contrario tendrá que buscar opciones alternativas para mitigar el riesgo mediante la codificación, la supervisión o incluso un proveedor alternativo.

Entrene a sus usuarios

Sus usuarios son la primera línea de defensa en la computación segura en la nube. Su conocimiento y aplicación de las prácticas de seguridad puede ser la diferencia entre proteger su sistema o abrir una puerta para los ataques cibernéticos. Como mejor práctica, asegúrese de capacitar a todos sus usuarios – personal y partes interesadas – que acceden a sus sistemas en prácticas de nube segura. Hágalos conscientes de cómo detectar el malware, identificar los correos electrónicos de phishing y los riesgos de las prácticas inseguras.

Para los usuarios más avanzados -como los administradores- que participan directamente en la aplicación de cloud security, considere la capacitación y la certificación específicas de la industria. 

Controlar el acceso de los usuarios

La aplicación de un control estricto del acceso de los usuarios mediante políticas es otra de las mejores prácticas de cloud security. Ayudarle a gestionar los usuarios que intentan acceder a sus servicios en la nube. Se debe empezar desde un lugar de cero confianza, sólo permitiendo a los usuarios el acceso a los sistemas y datos que requieren, nada más. Para evitar la complejidad en la aplicación de las políticas, cree grupos bien definidos con funciones asignadas para que sólo concedan acceso a los recursos elegidos. A continuación, podrá añadir usuarios directamente a los grupos, en lugar de personalizar el acceso para cada usuario individual.

Asegure sus puntos finales de usuario

Otro elemento de las mejores prácticas de cloud security es asegurar los puntos finales de los usuarios. La mayoría de los usuarios accederán a sus servicios en la nube a través de los navegadores web. Por lo tanto, es fundamental introducir una seguridad avanzada en el lado del cliente para mantener los navegadores de los usuarios actualizados y protegidos contra los ataques.

También debería considerar la posibilidad de implementar una solución de seguridad de punto final para proteger sus dispositivos de usuario final. Vital con la explosión de los dispositivos móviles y el trabajo a distancia, donde los usuarios acceden cada vez más a los servicios de la nube a través de dispositivos que no son propiedad de la empresa.

Busque una solución que incluya cortafuegos, antivirus y herramientas de seguridad de Internet, seguridad de dispositivos móviles y herramientas de detección de intrusos.

Mantener la visibilidad de sus servicios en la nube

El uso de los servicios de nubes puede ser diverso y fugaz. Muchas organizaciones utilizan múltiples servicios de nube en una variedad de proveedores y geografías. Las investigaciones sugieren que los recursos de la nube tienen un promedio de vida de 2 horas.

Este tipo de comportamiento crea puntos ciegos en su entorno de nubes. Si no puede verlo, no puede asegurarlo.

Asegúrese de implementar una solución de cloud security que ofrezca visibilidad de todo su ecosistema. De este modo, podrá supervisar y proteger el uso de la nube en todos sus recursos, proyectos y regiones dispares a través de un único portal. Esta visibilidad le ayudará a implementar políticas de seguridad granulares y a mitigar una amplia gama de riesgos. 

Implementar la encriptación

La encriptación de sus datos es una mejor práctica de seguridad independientemente de la ubicación, crítica una vez que se mueve a la nube. Al utilizar los servicios en la nube, usted expone sus datos a un mayor riesgo al almacenarlos en una plataforma de terceros y enviarlos de ida y vuelta entre su red y el servicio en la nube.

Asegúrese de implementar los más altos niveles de encriptación para los datos tanto en tránsito como en reposo. También debe considerar el uso de sus propias soluciones de encriptación antes de subir los datos a la nube, usando sus propias claves de encriptación para mantener un control total.

Un proveedor de nube puede ofrecer servicios de encriptación incorporados para proteger sus datos de terceros, pero les permite acceder a sus claves de encriptación.

 

Implementar una política de seguridad de contraseñas fuertes

Una fuerte política de seguridad de contraseñas es la mejor práctica, independientemente del servicio al que se acceda. La aplicación de la política más estricta posible es un elemento importante para evitar el acceso no autorizado. Como requisito mínimo, todas las contraseñas deben requerir una letra mayúscula, una letra minúscula, un número, un símbolo y un mínimo de 14 caracteres. Obligar a los usuarios a actualizar su contraseña cada 90 días y configurarla de manera que el sistema recuerde las últimas 24 contraseñas.

Una política de contraseñas como ésta evitará que los usuarios creen contraseñas simples, en múltiples dispositivos, y los defenderá de la mayoría de los ataques de fuerza bruta. Como una capa adicional de mejores prácticas de seguridad y protección, también debería implementar la autenticación multifactorial. Exigir al usuario que añada dos -o más- pruebas para autentificar su identidad.

Usar un Cloud Access Security Broker (CASB)

El uso de un CASB se está convirtiendo rápidamente en una herramienta central para implementar las mejores prácticas de cloud security. Es un software que se encuentra entre usted y su proveedor de servicios en la nube para extender sus controles de Cloud Security.

Un CASB le ofrece un sofisticado conjunto de herramientas de cloud security para proporcionar visibilidad de su ecosistema en la nube, hacer cumplir las políticas de seguridad de datos, implementar la identificación y protección de amenazas y mantener el cumplimiento.

Las 10 recomendaciones de la lista de seguridad para los clientes de la nube

Cuando se migra a la nube y selecciona un proveedor de servicios, uno de los factores más importantes que se debe considerar es la seguridad. Compartirá y/o almacenará los datos de la empresa con el proveedor de servicios elegido.

Necesita estar seguro de que sus datos están seguros. Hay innumerables factores de seguridad a considerar, desde la responsabilidad compartida hasta si los estándares de seguridad del proveedor están a la altura. Esto puede ser un proceso desalentador, especialmente si no es un experto en seguridad.

1. Protección de los datos en tránsito y de los datos en reposo

Cuando se pasa a un servicio en la nube, un elemento clave de la seguridad es la protección de los datos en tránsito entre usted (el usuario final) y el proveedor. Esta es una responsabilidad doble tanto para usted como para el proveedor. Necesitará protección de la red para evitar la interceptación de datos y encriptación para evitar que un atacante lea cualquier dato en caso de ser interceptado.

Busque un proveedor de servicios que le ofrezca un conjunto de herramientas para ayudarle a cifrar fácilmente sus datos en tránsito y en reposo. Esto garantizará el mismo nivel de protección para cualquier tránsito de datos interno dentro del proveedor de servicios en la nube, o el tránsito entre el proveedor de servicios en la nube y otros servicios en los que las API pueden estar expuestas.

2. Protección de activos

Cuando selecciona un proveedor de servicios de nube, es necesario comprender la ubicación física de donde se almacenan, procesan y gestionan los datos. Esto es especialmente importante después de la implementación de regulaciones gubernamentales e industriales como la GDPR.

Para asegurar que sus activos estén protegidos, un buen proveedor tendrá una protección física avanzada en su centro de datos para defender sus datos de accesos no autorizados. También se asegurarán de que sus activos de datos se borren antes de que se reabastezcan o se eliminen los recursos para evitar que caigan en las manos equivocadas.

3. Visibilidad y control

Un factor clave en la seguridad es la capacidad de ver y controlar sus propios datos. Un buen proveedor de servicios le ofrecerá una solución que le proporcionará una visibilidad total de sus datos y de quién está accediendo a ellos, independientemente de dónde estén y de dónde usted se encuentre.

Su proveedor debe ofrecer un monitoreo de la actividad para que pueda descubrir los cambios de configuración y seguridad en todo su ecosistema. Así como apoyar el cumplimiento de la integración de soluciones nuevas y existentes.

4. Mercado de seguridad de confianza y red de asociados

Para asegurar el despliegue de la nube se necesitará más de una solución o socio. Un buen proveedor de servicios en la nube le facilitará la búsqueda y la conexión con diferentes socios y soluciones a través de un mercado.

Busque un proveedor con un mercado que ofrezca una red curada de socios de confianza con un historial de seguridad probado. El mercado también debería ofrecer soluciones de seguridad que proporcionen un despliegue con un solo clic y que sean complementarias para asegurar sus datos, ya sea que opere en un despliegue de nube público, privado o híbrido.

5. Gestión segura de los usuarios

Un buen proveedor de servicios en la nube ofrecerá herramientas que permitan la gestión segura de los usuarios. Esto ayudará a impedir el acceso no autorizado a las interfaces y procedimientos de gestión para garantizar que las aplicaciones, los datos y los recursos no se vean comprometidos.

El proveedor de la nube también debe ofrecer funcionalidad para implementar protocolos de seguridad que separen a los usuarios y eviten que cualquier usuario malicioso (o comprometido) afecte a los servicios y datos de otro.

6. Integración de la conformidad y la seguridad

Cuando se considera un proveedor de servicios en la nube, la seguridad y el cumplimiento van de la mano. Deben cumplir los requisitos de cumplimiento global que son validados por una organización tercera. Usted desea un proveedor de servicios en la nube que siga las mejores prácticas de la industria en materia de Cloud Security e idealmente tenga una certificación reconocida.

El programa de Registro de Seguridad, Confianza y Garantía de la Alianza de Cloud Security (STAR) es un buen indicador. Además, si usted está operando en una industria altamente regulada – donde HIPPA, PCI-DSS, y GDPR podrían aplicarse – también tendrá que identificar un proveedor con certificación específica de la industria.

Para asegurar que sus esfuerzos de cumplimiento son rentables y eficientes, el proveedor de servicios en la nube debe ofrecerle la posibilidad de heredar sus controles de seguridad en sus propios programas de cumplimiento y certificación.

7. Identidad y autenticación

El proveedor cloud debe asegurarse de que el acceso a cualquier interfaz de servicio se limite únicamente a las personas autorizadas y autenticadas. Cuando se trata de proveedores, se desea un servicio que ofrezca características de identidad y autenticación, incluyendo nombre de usuario y contraseña, autenticación de dos factores, certificados de cliente TLS y federación de identidad con su proveedor de identidad existente.

También quiere la posibilidad de restringir el acceso a una línea dedicada, empresa o red comunitaria. Un buen proveedor sólo entrega autenticación a través de canales seguros – como HTTPS – para evitar la interceptación. Asegúrese de evitar los servicios con prácticas de autenticación débiles. Esto expondrá sus sistemas a un acceso no autorizado que conducirá a un robo de datos, cambios en su servicio o una denegación de servicio. También evite la autenticación por correo electrónico, HTTP o teléfono.

Son extremadamente vulnerables a la ingeniería social y a la interceptación de credenciales de identidad y autenticación.

8. Seguridad operacional

Al seleccionar un servicio cloud, busque un proveedor que implemente una fuerte seguridad operacional para detectar y prevenir los ataques. Esto debería cubrir cuatro elementos básicos:

• Configuración y gestión de cambios: Quiere un proveedor que ofrezca transparencia en los activos que componen el servicio, incluyendo cualquier configuración o dependencia. Deben informarle de cualquier cambio en el servicio que pueda afectar a la seguridad para garantizar que no se produzcan vulnerabilidades.

• Gestión de vulnerabilidades: Su proveedor debe contar con un proceso de gestión de la vulnerabilidad para detectar y mitigar cualquier nueva amenaza a su servicio. Se le debe mantener informado de estas amenazas, su gravedad y el calendario de mitigación de amenazas previsto, que incluye su resolución.

• Vigilancia de protección: Cualquier proveedor que valga la pena contará con herramientas avanzadas de monitoreo para identificar cualquier ataque, mal uso o mal funcionamiento del servicio. Tomarán medidas rápidas y decisivas para hacer frente a cualquier incidente, manteniéndole informado del resultado.

• Gestión de incidentes: Su proveedor ideal tendrá un proceso de gestión de incidentes planificado de antemano para los tipos comunes de ataques. Estarán listos para desplegar este proceso en respuesta a cualquier ataque.

Habrá una ruta de contacto clara para informar de cualquier incidente, con un plazo y un formato aceptables.

9. Seguridad del personal

Necesita un proveedor de servicios en la nube en cuyo personal pueda confiar, ya que tendrá acceso a sus sistemas y datos. El proveedor de servicios en la nube que elija tendrá un proceso de control de seguridad riguroso y transparente.

Deberían poder verificar la identidad de su personal, el derecho al trabajo y comprobar si hay condenas penales pendientes. Lo ideal es que se ajusten a las normas de selección establecidas localmente en sus países, como BS 7858:2019 para el Reino Unido o rellenar el formulario I-9 en los EE.UU.

Además de la selección, se necesita un proveedor de servicios que se asegure de que su personal comprende sus responsabilidades inherentes de seguridad y se somete a una formación regular. También deben tener una política para minimizar el número de personas que tienen acceso a sus servicios y que pueden afectarlos.

10. Uso seguro del servicio

Puede elegir un proveedor de nube con una seguridad de vanguardia y aún así experimentar una brecha a través de un mal uso del servicio. Es importante entender dónde están las responsabilidades de seguridad cuando se utiliza el servicio. Su nivel de responsabilidad será influenciado por su modelo de despliegue de nubes, la forma en que utiliza cualquier servicio y las características incorporadas de cualquier servicio individual.

Por ejemplo, tiene importantes responsabilidades de seguridad con IaaS. Desplegando una instancia de computación, la responsabilidad recaería en usted para instalar un sistema operativo moderno, configurar la seguridad, y garantizar los parches y el mantenimiento en curso. Lo mismo es cierto para cualquier aplicación que se despliegue en esa instancia.  Por lo tanto, asegúrese de que entiende los requisitos de seguridad del servicio elegido y las opciones de configuración de seguridad disponibles. Asegúrese también de educar a su personal en el uso seguro de sus servicios elegidos.

No te detengas, sigue avanzando

Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera!

Google Cloud Platform – Fundamentos Laboratorios y Practicas

Usa la mejor solución empresarial donde tienes todo lo que necesitas, en un solo lugar, con respaldo de la marca Google.

Calificación: 4,1 de 54,1 (845 calificaciones) 40.042 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Brian De Vita

Lo que aprenderás

• Crear Cuenta de Facturación
• Crear Proyectos
• Crear y personalizar maquinas virtuales
• Crear y Monitorizar Clústers
• Instalar aplicaciones desde App Engine
• Manipular Pub/Sub, Cloud Run y Cloud Functions
• Crear Instancias SQL
• Crear Instancias Cloud Storage
• Crear Instancias Cloud Datastore
• Crear Instancias Cloud Spanner
• Manipular BigTable
• BigQuery crear dataset, realizar consultas
• Suite Operaciones Google Cloud

Bienvenidos a la formación profesional donde aprenderán como usar una de las mejores alternativas en soluciones Cloud:

Google Cloud Platform.

Te enseñaremos las diferentes tecnologías, opciones y soluciones que te brinda Google Cloud Platform, como ser:

• Crear Cuenta de Facturación
• Crear Proyectos
• Crear y personalizar maquinas virtuales
• Crear y Monitorizar Clústers
• Instalar aplicaciones desde App Engine
• Manipular Pub/Sub, Cloud Run y Cloud Functions
• Crear Instancias SQL
• Crear Instancias Cloud Storage
• Crear Instancias Cloud Datastore
• Crear Instancias Cloud Spanner
• Manipular BigTable
• BigQuery crear dataset, realizar consultas
• Suite Operaciones Google Cloud

Esta formación profesional es ideal para todo aquel que quiera estar a la vanguardia tecnología y mantenerse actualizado sobre las demandas del mercado!

Te acompañaremos en el proceso de aprendizaje donde además de recibir soporte a tus preguntas, iremos agregando material en base a tus sugerencias y también sujeto a actualizaciones en relación al contenido.

Empieza a aprender ya mismo y Certifícate!

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes serguirme en mis redes:

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mi y de mis servicios en mi sitio web: laprovittera.com y seguirme en mis redes:

• LinkedIn
• Twitter
• Telegram
• Instagram

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Cómo Iniciarse en Hacking y Ciberseguridad en 2024

Cómo Iniciarse en Hacking y Ciberseguridad en 2024