La seguridad en la nube es la práctica de proteger los datos, las aplicaciones y la infraestructura basados en la nube frente a accesos no autorizados, ciberataques y amenazas internas y externas. Incluye la protección de entornos en la nube contra ataques de denegación de servicio distribuido (DDoS), piratas informáticos, malware y otros riesgos.
En su afán por impulsar la colaboración y la innovación, cada vez más empresas ponen en la nube sus aplicaciones y datos críticos. Las ventajas de trasladar las operaciones a la nube son la rapidez de implantación, la flexibilidad, los bajos costes iniciales y la escalabilidad. Aunque la mayoría de los proveedores de servicios en la nube utilizan herramientas estándar para supervisar el uso y detectar actividades sospechosas, los expertos internos en seguridad informática pueden considerar que esas herramientas son insuficientes. Los equipos internos también suelen tener la carga de configurar y gestionar la seguridad de las cargas de trabajo en la nube. Al trasladar activos a la nube, cada organización debe sopesar las ventajas y los riesgos, incluido el aumento de la exposición de los datos y las aplicaciones.
La seguridad en la nube está diseñada para proteger los datos y las aplicaciones que residen en ella, respaldar el cumplimiento de la normativa y proteger la privacidad de los clientes. Desde la autenticación del acceso de personas y dispositivos hasta el equilibrio entre la facilidad de acceso y la seguridad de la organización, la seguridad en la nube debe ajustarse a las necesidades particulares de cada organización. Las empresas se beneficiarán de trabajar con asesores de confianza para obtener ayuda en la gestión de estos factores y maximizar el retorno de la inversión. Los proveedores de seguridad en la nube pueden ayudar a las empresas a configurar y gestionar de forma centralizada las cargas de trabajo en la nube, reduciendo los gastos generales y liberando a los equipos de TI para que puedan centrarse en otras áreas de la empresa.
La responsabilidad de la seguridad en la nube es compartida por los proveedores y los clientes de la nube. El modelo de responsabilidad compartida divide las responsabilidades en tres categorías: responsabilidades que son siempre del proveedor, las que son siempre del cliente, y las que varían en función del modelo de servicio, como Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS) o Software como Servicio (SaaS).
Proveedores (como Amazon, Google, Microsoft u Oracle) son responsables de salvaguardar la infraestructura, lo que incluye el acceso, la aplicación de parches y la configuración de la red física en la que se ejecutan y residen el ordenador y el almacenamiento.
Clientes son responsables de gestionar los usuarios y los privilegios de acceso de los usuarios (incluida la gestión de identidades y accesos), salvaguardar las cuentas en la nube de accesos no autorizados, cifrar y proteger los activos de datos basados en la nube, gestionar la postura de seguridad en la nube (conformidad) y detectar las amenazas, así como responder a los incidentes en sus entornos en la nube.
Muchos de los retos tradicionales de ciberseguridad también se plantean en la nube, entre ellos:
- Ciberataques. Las infraestructuras basadas en la nube son directamente accesibles desde la Internet pública, y a menudo están mal configuradas, lo que las hace inseguras. Muchas de ellas contienen datos sensibles o valiosos, lo que convierte a las instalaciones en la nube en un objetivo popular (y rentable) para los ciberdelincuentes.
- Acceso no autorizado. A diferencia de la infraestructura local, los despliegues basados en la nube viven más allá del perímetro de la red de una organización, por lo que es mucho más fácil acceder a ellos desde la Internet pública. Esto las hace cómodas para empleados y clientes, pero también más fáciles de acceder para los ciberdelincuentes.
- Secuestro de cuentas. Las contraseñas débiles o reutilizadas agravan el impacto del secuestro, el phishing y las violaciones de datos, haciendo posible que un atacante desbloquee varias cuentas con una sola contraseña de empleado robada.
- Menor visibilidad. Los recursos basados en la nube se ejecutan en infraestructuras de terceros, lo que limita la capacidad de una organización para supervisarlos y protegerlos, y ralentiza la detección y respuesta a las amenazas. Los equipos informáticos deben pedir a los proveedores de servicios en la nube visibilidad de tantos datos de aplicaciones "as-a-service" como sea posible para informar sus operaciones de seguridad.
- Pérdida o fuga de datos. Los entornos basados en la nube facilitan el intercambio de datos y dificultan su protección. Hacer que la información sea accesible a cualquiera con un enlace puede abrir la puerta a la pérdida o fuga de datos.
- Información privilegiada maliciosa. En la nube, muchas soluciones de seguridad tradicionales son menos eficaces para detectar amenazas internas maliciosas.
- Ataques DoS. Los ataques de denegación de servicio -que suelen ir acompañados de peticiones de rescate- pueden ralentizar o paralizar los sistemas atacados, lo que puede afectar gravemente a las operaciones diarias, los sistemas críticos de la empresa o las aplicaciones orientadas al cliente.
- Privacidad y confidencialidad de los datos. Las normativas de protección de datos, como el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Portabilidad y Accesibilidad a los Seguros Médicos (HIPAA) y la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS), se aplican a los datos almacenados en la nube, aunque muchas organizaciones carecen de medios para asegurar el acceso de los empleados a estos datos.
La mejor solución para la seguridad en la nube depende del tipo y la sensibilidad de los datos, el número y el tipo de usuarios, la arquitectura de la nube y la disponibilidad de herramientas integradas. Algunas buenas prácticas:
- Controlar el acceso y el uso. Utilice una gestión de identidades y accesos (IAM) granular y basada en políticas. Conceda los privilegios de acceso mínimos a los activos y las API. Utilice autenticación de dos factores (2FA) o autenticación multifactor (AMF) para verificar la identidad del usuario. Registre y supervise todos los accesos y actualizaciones de datos. Adopte un confianza cero postura de seguridad para verificar constantemente todos los usuarios, recursos y aplicaciones.
- Detecte las amenazas en el momento. Utilice reglas, alertas e inteligencia sobre amenazas para detectar y corregir amenazas conocidas y desconocidas en tiempo real, cruzando datos internos (sistemas de gestión de activos y configuraciones, análisis de vulnerabilidades) con datos externos (fuentes públicas de inteligencia sobre amenazas, geolocalización).
- Mejorar la protección de datos. Cifre los datos en reposo, en uso y en tránsito. Proteja los archivos compartidos y las comunicaciones. Utilice gestión de eventos e información de seguridad (SIEM) y detección y respuesta ampliadas (XDR) herramientas para analizar e informar sobre autenticación, eventos, rendimiento y uso de datos y anomalías. Mantenga buenas prácticas de almacenamiento de datos, incluida la detección de buckets mal configurados y la finalización de recursos huérfanos.
- Proteger las aplicaciones con cortafuegos. Utilice protecciones de seguridad en el borde de la nube, incluidos cortafuegos de aplicaciones web de nueva generación, para inspeccionar y controlar todo el tráfico hacia y desde los servidores de aplicaciones.
- Garantizar la visibilidad y el control de la ubicación de los datos. Utilice la ubicación para determinar si un dato determinado puede copiarse en ubicaciones dentro o fuera de la nube.
Las organizaciones pueden proteger los datos basados en la nube con herramientas de ciberseguridad para gestión de identidades y accesos (incluida la autenticación multifactor) y detección de amenazas y respuesta. Para quienes disponen de una gestión de identidades y accesos y unos controles de amenazas eficaces en sus instalaciones, el siguiente paso es ampliar esas soluciones a la nube. Las nuevas empresas, o las que necesitan una actualización, deben buscar herramientas de seguridad que protejan los datos dondequiera que estén, ya sea en las instalaciones o en la nube.
