¿Qué es la seguridad en la nube?

Definición de seguridad en la nube

La seguridad en la nube es una disciplina de la ciberseguridad dedicada a proteger los sistemas informáticos en la nube. Esto incluye mantener los datos privados y seguros en la infraestructura, las aplicaciones y las plataformas en línea. Para proteger estos sistemas se necesitan los esfuerzos de los proveedores de la nube y de los clientes que los utilizan, ya sea una persona, una pequeña o mediana empresa o una compañía.

Los proveedores de la nube alojan los servicios en sus servidores a través de conexiones de Internet siempre activas. Dado que su negocio depende de la confianza de los clientes, utilizan métodos de seguridad en la nube para que los datos de los clientes se mantengan privados y almacenados de forma segura. Sin embargo, la seguridad en la nube también está parcialmente en manos del cliente. La comprensión de ambas facetas es fundamental para una solución saludable de seguridad en la nube.

En su núcleo, la seguridad en la nube se compone de las siguientes categorías:

• Seguridad de datos
• Administración de identidades y accesos (IAM)
• Gobernanza (políticas de prevención, detección y mitigación de amenazas)
• Planificación de la retención de datos (DR) y la continuidad de negocios (BC)
• Cumplimiento legal

La seguridad en la nube puede parecer semejante a la seguridad informática heredada, pero esta plataforma exige en realidad un enfoque diferente. Antes de profundizar en el tema, veamos primero qué es la seguridad en la nube.

¿Qué es la seguridad en la nube?

La seguridad en la nube es el conjunto de tecnología, protocolos y buenas prácticas que protegen los entornos de computación en la nube, las aplicaciones que se ejecutan en la nube y los datos que se encuentran en ella. La seguridad de los servicios en la nube comienza con la comprensión exacta de qué es lo que hay que proteger, así como los aspectos del sistema que se deben administrar.

A modo de resumen, el desarrollo del soporte contra las vulnerabilidades de seguridad está en gran medida en manos de los proveedores de servicios en la nube. Aparte de elegir un proveedor consciente de la seguridad, los clientes deben centrarse sobre todo en la configuración adecuada del servicio y en los hábitos de uso seguro. Además, los clientes deben asegurarse de que el hardware y las redes de los usuarios finales estén debidamente asegurados

El alcance total de la seguridad en la nube está diseñado para proteger lo siguiente, independientemente de sus responsabilidades:

• Redes físicas: enrutadores, energía eléctrica, cableado, controles de clima, etc.
• Almacenamiento de datos: discos duros, etc.
• Servidores de datos: hardware y software informáticos de la red central
• Plataformas de virtualización de computadoras: software de máquinas virtuales, máquinas anfitrionas y máquinas invitadas
• Sistemas operativos (OS): software que es compatible con todas las funciones de la computadora
• Middleware: administración de la interfaz de programación de aplicaciones (API),
• Entornos de ejecución: ejecución y mantenimiento de un programa en ejecución
• Datos: toda la información que se almacena, modifica y accede
• Aplicaciones: servicios tradicionales de software (correo electrónico, software de impuestos, paquetes de productividad, etc.)
• Hardware de usuario final: computadoras, dispositivos móviles, dispositivos de Internet de las cosas (IoT), etc.

Con la computación en la nube, los costos de propiedad de estos componentes puede variar ampliamente. Esto puede hacer que el alcance de las responsabilidades de seguridad del cliente no esté claro. Dado que asegurar la nube puede parecer diferente en función de quién tiene autoridad sobre cada componente, es importante entender cómo se agrupan comúnmente.

Para simplificar, los componentes de la computación en la nube se protegen desde dos puntos de vista principales:

1. Los tipos de servicios en la nube ofrecidos por terceros proveedores como módulos utilizados para crear el entorno de la nube. Según el tipo de servicio, puedes gestionar un grado diferente de los componentes dentro del servicio:

• El núcleo de cualquier servicio de la nube de terceros implica que el proveedor administre la red física, el almacenamiento de datos, los servidores de datos y las plataformas de virtualización de las computadoras. El servicio se almacena en los servidores del proveedor y se virtualiza a través de su red administrada internamente para entregarse a los clientes para su acceso remoto. Esto transfiere los costos de hardware y otras infraestructuras para dar a los clientes tengan acceso a los recursos informáticos que necesiten desde cualquier lugar a través de Internet.
• Los servicios en la nube de software como servicio (SaaS) proporcionan a los clientes acceso a aplicaciones que están alojadas y se ejecutan en los servidores del proveedor. Los proveedores administran las aplicaciones, los datos, el tiempo de ejecución, el middleware y el sistema operativo. Los clientes solo tienen la tarea de conseguir sus solicitudes. Los ejemplos de SaaS incluyen Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx, Evernote.
• Los servicios en la nube de plataforma como servicio proporcionan a los clientes un host para el desarrollo de sus propias aplicaciones, que se ejecutan dentro del propio espacio “sandbox” del cliente en los servidores del proveedor. Los proveedores administran el tiempo de ejecución, el middleware y el sistema operativo. Los clientes tienen la tarea de administrar sus aplicaciones, datos, acceso de usuarios, dispositivos de usuarios finales y redes de usuarios finales. Los ejemplos de PaaS incluyen Google App Engine, Windows Azure.
• Los servicios en la nube de infraestructura como servicio (IaaS) ofrecen a los clientes el hardware y las plataformas de conectividad remota para albergar la mayor parte de su informática, hasta el sistema operativo. Los proveedores solo administran los servicios básicos en la nube. Los clientes tienen la tarea de asegurar todo lo que se instala en un sistema operativo, incluidos las aplicaciones, los datos, los tiempos de ejecución, el middleware y el propio sistema operativo en sí. Además, los clientes deben administrar el acceso de los usuarios, los dispositivos de usuarios finales y las redes de usuarios finales. Los ejemplos de IaaS incluyen Microsoft Azure, Google Compute Engine (GCE), Amazon Web Services (AWS).

2. Los entornos de la nube son modelos de implementación en los que uno o más servicios en la nube crean un sistema para los usuarios finales y las organizaciones. Estos dividen las responsabilidades de administración, incluida la seguridad, entre los clientes y los proveedores.

Los entornos de la nube que se utilizan actualmente son:

• Los entornos de nubepúblicos están compuestos por servicios en la nube de varios usuarios en los que un cliente comparte los servidores de un proveedor con otros clientes, como un edificio de oficinas o un espacio de trabajo. Se trata de servicios de terceros dirigidos por el proveedor para dar acceso a los clientes a través de la web.
• Los entornos de nube privados deterceros se basan en el uso de un servicio en la nube que proporciona al cliente el uso exclusivo de su propia nube. Estos entornos de un solo usuario normalmente son propiedad de un proveedor externo, y se administran y operan fuera del sitio.
• Los entornos de nube privados internos también se componen de servidores de servicios en la nube de un solo usuario, pero se operan desde su propio centro de datos privado. En este caso, este entorno de la nube es manejado por las propias empresas para permitir la configuración completa de cada elemento.
• Los entornos de varias nubes incluyen el uso de dos o más servicios en la nube de proveedores separados. Estos pueden ser cualquier combinación de servicios públicos o privados en la nube.
• Los entornos de nubehíbridos consisten en el uso de una combinación de nube privada de terceros o centro de datos de nubes privadas in situ con una o más nubes públicas.

Al enfocarlo desde esta perspectiva, podemos entender que la seguridad basada en la nube puede ser un poco diferente según el tipo de espacio de nubes en el que trabajen los usuarios. Pero los efectos se sienten tanto en los clientes individuales como en las organizaciones.

¿Cómo funciona la seguridad en la nube

Cada medida de seguridad en la nube funciona para lograr uno o más de los siguientes:

• Permitir la recuperación de datos en caso de pérdida de datos
• Proteger el almacenamiento y las redes contra el robo de datos malicioso
• Impedir el error o la negligencia humana que causa fugas de datos
• Reducir el impacto de cualquier puesta en peligro de datos o sistemas

La seguridad de los datos es un aspecto de la seguridad en la nube que implica el fin técnico de la prevención de amenazas. Las herramientas y las tecnologías permiten a los proveedores y los clientes insertar barreras entre el acceso y la visibilidad de los datos confidenciales. De ellas, el cifrado es una de las herramientas más poderosas disponibles. El cifrado codifica tus datos para que solo los pueda leer alguien que tenga la clave de cifrado. Si pierdes o te roban los datos, serán ilegibles y no tendrán sentido. Las protecciones para el tránsito de datos, como las redes privadas virtuales (VPN), también se enfatizan en las redes de la nube.

La administración de identidades y accesos (IAM) se refiere a los privilegios de acceso que se ofrecen a las cuentas de los usuarios. La administración de la autenticación y la autorización de las cuentas de usuario también se aplica aquí. Los controles de acceso son fundamentales para restringir a los usuarios, tanto los legítimos como los maliciosos, la entrada y la puesta en peligro de datos confidenciales y sistemas. La administración de contraseñas, la autenticación de varios factores y otros métodos entran en el alcance de la IAM.

La gobernanza se centra en las políticas de prevención, detección y mitigación de amenazas. Con las PYMES y las compañías, aspectos como la información sobre amenazas pueden ayudar a rastrear y priorizar las amenazas para mantener los sistemas esenciales vigilados cuidadosamente. Sin embargo, incluso los clientes individuales de la nube podrían beneficiarse de la valoración de las políticas de comportamiento seguro del usuario y de la capacitación. Estas se aplican sobre todo en los entornos organizativos, pero las normas para el uso seguro y la respuesta a las amenazas pueden ser útiles para cualquier usuario.

La planificación de la retención de datos (DR) y la continuidad de negocios (BC) implica medidas técnicas de recuperación de desastres en caso de pérdida de datos. Los métodos de redundancia de datos, como las copias de seguridad, son fundamentales para cualquier plan de DR y BC. Además, disponer de sistemas técnicos para garantizar la continuidad de las operaciones puede ser de gran ayuda. Las plataformas para probar la validez de las copias de seguridad y las instrucciones detalladas de recuperación de los empleados son igual de valiosas para un plan de BC completo.

El cumplimiento legal gira en torno a la protección de la privacidad del usuario, tal como lo establecen los órganos legislativos. Los gobiernos asumieron la importancia de proteger la información de los usuarios privados para que no sea explotada con fines de lucro. Así, las organizaciones deben seguir los reglamentos para cumplir con estas políticas. Uno de los enfoques es el uso del enmascaramiento de datos, que oculta la identidad dentro de los datos mediante métodos de cifrado.

¿Qué hace que la seguridad en la nube sea diferente?

La seguridad informática tradicional ha experimentado una inmensa evolución debido al cambio a la informática basada en la nube. Mientras que los modelos de la nube permiten una mayor comodidad, la conectividad siempre activa requiere nuevas consideraciones para mantenerlas seguras. La seguridad en la nube, como una solución de ciberseguridad modernizada, se distingue de los modelos informáticos heredados en algunos aspectos.

Almacenamiento de datos: la mayor distinción es que los modelos antiguos de TI dependían en gran medida del almacenamiento de datos in situ. Las organizaciones han descubierto desde hace mucho tiempo que la creación de todas las plataformas informáticas internas para los controles de seguridad detallados y personalizados es costosa y rígida. Las plataformas basadas en la nube han ayudado a transferir los costos de desarrollo y mantenimiento de los sistemas, pero también a eliminar cierto control de los usuarios.

Velocidad de escalada: de manera similar, la seguridad en la nube exige una atención única al escalar los sistemas de TI de la organización. La infraestructura y las aplicaciones centradas en la nube son muy modulares y se movilizan rápidamente. Si bien esta capacidad mantiene la uniformidad del ajuste de los sistemas a los cambios organizativos, plantea problemas cuando la necesidad de mejoras y comodidad de una organización supera su capacidad para mantenerse al día en materia de seguridad.

Interfaz del sistema de usuarios finales: tanto para las organizaciones como para los usuarios individuales, los sistemas de nube también se conectan con muchos otros sistemas y servicios que se deben proteger. Los permisos de acceso deben mantenerse desde el nivel de dispositivo de usuario final hasta el nivel de software e incluso el nivel de red. Más allá de esto, los proveedores y los usuarios deben estar atentos a las vulnerabilidades que pueden causar a través de comportamientos de configuración y acceso no protegidos al sistema.

Proximidad a otros datos y sistemas en red: dado que los sistemas en la nube son una conexión persistente entre los proveedores de la nube y todos sus usuarios, esta importante red puede comprometer incluso al propio proveedor. En los entornos de redes, un solo dispositivo o componente débil se puede explotar para infectar al resto. Los proveedores de nube se exponen a las amenazas de muchos usuarios finales con los que interactúan, ya sea que estén proporcionando almacenamiento de datos u otros servicios. Las responsabilidades adicionales en materia de seguridad de la red recaen en los proveedores que, de otro modo, sus productos entregados se basan exclusivamente en los sistemas de los usuarios finales y no en los propios.

Resolver la mayoría de los problemas de seguridad en la nube significa que tanto los usuarios como los proveedores de la nube, tanto en los entornos personales como en los empresariales, deben ser proactivos en cuanto a sus propias funciones en la ciberseguridad. Este doble enfoque significa que los usuarios y los proveedores deben tratar mutuamente:

• Configuración y mantenimiento seguros del sistema.
• Educación sobre seguridad del usuario, tanto en el comportamiento como en la técnica.

Por último, los proveedores y los usuarios de la nube deben tener transparencia y responsabilidad para garantizar que ambas partes estén seguras.

Riesgos para la seguridad en la nube

¿Cuáles son los problemas de seguridad en la computación en la nube? Porque si no los conoces, ¿cómo se supone que vas a tomar las medidas adecuadas? Después de todo, una seguridad débil en la nube puede exponer a los usuarios y proveedores a todo tipo de amenazas de ciberseguridad. Algunas amenazas comunes a la seguridad en la nube incluyen:

• Riesgos de la infraestructura basada en la nube, incluidas las plataformas informáticas heredadas incompatibles y las interrupciones de los servicios de almacenamiento de datos de terceros.
• Amenazas internas debidas a errores humanos como la mala configuración de los controles de acceso de los usuarios.
• Amenazas externas causadas casi exclusivamente por actores maliciosos, como malware, phishing y ataques de DDoS.

El mayor riesgo de la nube es que no tiene perímetro. La ciberseguridad tradicional se centraba en la protección del perímetro, pero los entornos en la nube están muy conectados, lo que significa que las interfaces de programación de aplicaciones (API) no protegidas y los secuestros de cuentas pueden plantear problemas reales. Frente a los riesgos de seguridad de la computación en la nube, los profesionales de la ciberseguridad deben cambiar el enfoque hacia los datos.

La interconexión también plantea problemas para las redes. Los actores maliciosos a menudo violan las redes por tener credenciales comprometidas o débiles. Una vez que un hacker logra ingresar, puede expandirse fácilmente y utilizar interfaces con protección deficiente en la nube para ubicar datos en distintas bases de datos o nodos. Incluso pueden utilizar sus propios servidores en la nube como destino para exportar y almacenar los datos robados. La seguridad tiene que estar en la nube, no solo proteger el acceso a los datos de la nube.

El almacenamiento de tus datos por parte de terceros y el acceso a través de internet también plantean sus propias amenazas. Si, por algún motivo, esos servicios se interrumpen, podrías perder el acceso a los datos. Por ejemplo, un corte en la red telefónica podría significar que no se puede acceder a la nube en un momento esencial. Alternativamente, un corte de energía podría afectar el centro de datos donde se almacenan tus datos, posiblemente con una pérdida de datos permanente.

Tales interrupciones podrían tener más repercusiones a largo plazo. Un reciente corte de energía en una instalación de datos en la nube de Amazon provocó la pérdida de datos de algunos clientes cuando los servidores sufrieron daños en el hardware. Este es un buen ejemplo de por qué deberías tener copias de seguridad locales de al menos algunos de tus datos y aplicaciones.

¿Por qué la seguridad en la nube es importante?

En la década de 1990, los datos comerciales y personales estaban activos localmente, y la seguridad también era local. Los datos estaban localizados en el almacenamiento interno de una PC en casa, y en los servidores de la empresa, si trabajabas para una compañía.

La introducción de la tecnología de la nube ha obligado a todos a reevaluar la ciberseguridad. Tus datos y aplicaciones podrían estar flotando entre sistemas locales y remotos, y estar siempre accesibles por Internet. Si accedes a Google Docs desde tu teléfono inteligente o utilizas el software de Salesforce para atender a tus clientes, esos datos podrían estar guardados en cualquier lugar. Por lo tanto, es más difícil protegerlos que cuando se trataba solo de impedir que usuarios no deseados accedieran a tu red. La seguridad en la nube requiere ajustar algunas prácticas informáticas previas, pero se ha vuelto más esencial por dos razones clave:

1. La conveniencia por encima de la seguridad. La computación en la nube está creciendo exponencialmente como principal método para el lugar de trabajo y el uso individual. La innovación ha permitido que la nueva tecnología se implemente con una velocidad que supera la que las normas de seguridad de la industria pueden mantener, lo que hace que los usuarios y los proveedores tengan más responsabilidad a la hora de considerar los riesgos de la accesibilidad.
2. Centralización y almacenamiento de varios usuarios Cada componente, desde la infraestructura básica hasta pequeños datos como correos electrónicos y documentos, puede ahora localizarse y accederse remotamente a través de conexiones basadas en la web las 24 horas del día, los 7 días de la semana. Toda esta recopilación de datos en los servidores de unos pocos proveedores de servicios importantes puede ser muy peligrosa. Los actores de amenazas pueden ahora atacar a grandes centros de datos de varias organizaciones y causar inmensas violaciones de datos.

Por desgracia, los actores maliciosos comprenden el valor de los objetivos basados en la nube y los investigan cada vez más para encontrar sus vulnerabilidades de seguridad. A pesar de que los proveedores de la nube asumen muchas funciones de seguridad de los clientes, no administran todo. Esto deja incluso a los usuarios no técnicos con el deber de auto educarse sobre la seguridad en la nube.

Dicho esto, los usuarios no están solos en las responsabilidades de seguridad en la nube. Ser consciente del alcance de tus deberes de seguridad ayudará a que todo el sistema esté mucho más seguro.

Preocupaciones de la seguridad en la nube: privacidad

Se han promulgado leyes para ayudar a proteger a los usuarios finales de la venta y el intercambio de sus datos confidenciales. El Reglamento general de protección de datos (GDPR) y la Ley de portabilidad y responsabilidad del seguro médico (HIPAA) cumplen cada uno con sus propios deberes de protección de la privacidad, al limitar la forma en que se pueden almacenar los datos y acceder a ellos.

Se han utilizado métodos de administración de identidades, como el enmascaramiento de datos, para separar las características identificables de los datos de los usuarios, a fin de cumplir con el GDPR. Para el cumplimiento de la HIPAA, las organizaciones como los centros de atención médica deben asegurarse de que su proveedor también haga su parte en la restricción del acceso a los datos.

La ley CLOUD otorga a los proveedores de la nube sus propias limitaciones legales que deben cumplir, potencialmente a costa de la privacidad del usuario. La ley federal de EE. UU. ahora permite a las fuerzas policiales a nivel federal exigir los datos solicitados de los servidores del proveedor de la nube. Si bien esto puede permitir que las investigaciones procedan de manera eficaz, puede eludir algunos derechos a la privacidad y causar posibles abusos de poder.

Cómo proteger la nube

Por suerte, puedes tomar muchas medidas para proteger tus propios datos en la nube. Exploremos algunos de los métodos populares.

El cifrado es una de las mejores maneras de asegurar tus sistemas de computación en la nube. Hay varias formas diferentes de utilizar el cifrado, y puede ofrecerlas un proveedor de la nube o un proveedor de soluciones de seguridad en la nube independiente:

• Cifrado de las comunicaciones con la totalidad de la nube.
• Cifrado de datos de alta confidencialidad, como las credenciales de las cuentas.
• Cifrado de extremo a extremo de todos los datos que se suben a la nube.

En la nube, los datos corren más riesgo de intercepción cuando cambian de lugar. Cuando se transmiten de un lugar de almacenamiento a otro o se a tu aplicación en el sitio, son vulnerables. Por lo tanto, el cifrado de extremo a extremo es la mejor solución de seguridad en la nube para datos importantes. Con el cifrado de extremo a extremo, en ningún momento tu comunicación queda a disposición de extraños sin tu clave de cifrado.

Puedes cifrar tus datos por tu cuenta antes de almacenarlos en la nube o puedes contratar un proveedor de la nube que cifre tus datos como parte del servicio. Sin embargo, si solo usas la nube para almacenar datos no confidenciales, como gráficos o videos corporativos, el cifrado de extremo a extremo podría ser exagerado. Pero para la información confidencial, financiera o comercial, es fundamental.

Si usas cifrado, recuerda que la administración segura de tus claves de cifrado es fundamental. Conserva una copia de seguridad de las claves y, preferentemente, no la guardes en la nube. Quizás también sea conveniente cambiar las claves de cifrado cada cierto tiempo, de modo que si alguien logra acceder a ellas, se bloquee su acceso al sistema al hacer el cambio.

La configuración es otra práctica potente en la seguridad en la nube. Muchas violaciones de datos de la nube provienen de vulnerabilidades básicas como errores de configuración. Al prevenirlas, estás disminuyendo enormemente el riesgo de seguridad en la nube. Si no te sientes seguro para hacer esto solo, tal vez te convenga contratar a un proveedor independiente de soluciones de seguridad en la nube.

Estos son algunos principios que puedes seguir:

1. Modifica siempre los ajustes predeterminados. Usar los ajustes predeterminados le da a un hacker acceso a la puerta principal. Evita hacer esto para complicar el acceso de un hacker a tu sistema.
2. Nunca dejes abierto un depósito de almacenamiento en la nube. Un depósito abierto permite que los hackers vean el contenido con solo abrir la URL del depósito de almacenamiento.
3. Si el proveedor de la nube te ofrece controles de seguridad que puedes activar, úsalos. No seleccionar las opciones de seguridad adecuadas puede ponerte en riesgo.

Los consejosbásicos de ciberseguridad también se deben incorporar en cualquier implementación de la nube. Aunque estés usando la nube, no debes ignorar las prácticas estándar de ciberseguridad. Por ello, vale la pena tener en cuenta lo siguiente si quieres estar lo más seguro posible en línea:

• Utiliza contraseñas seguras. La combinación de letras, números y caracteres especiales hará que tu contraseña sea más difícil de descifrar. Trata de evitar las opciones obvias, como reemplazar una S por un símbolo de $. Cuanto más aleatorias sean tus secuencias, mejor.
• Utiliza un administrador de contraseñas. Podrás asignar a cada aplicación, base de datos y servicio que uses contraseñas distintas, sin tener que recordarlas todas. Sin embargo, debes asegurarte de que proteges tu administrador de contraseñas con una contraseña maestra segura.
• Protege todos los dispositivos que usas para acceder a tus datos en la nube, como teléfonos inteligentes y tabletas. Si tus datos se sincronizan a través de diversos dispositivos, cualquiera de ellos podría ser un eslabón débil que pone en peligro toda tu huella digital.
• Haz una copia de seguridad de tus datos periódicamente para que, en caso de una interrupción en el funcionamiento de la nube o pérdida de datos en tu proveedor de nube, puedas restaurar todos tus datos. Esa copia de seguridad podría estar en la PC de tu casa, en un disco duro externo, o incluso de nube a nube, siempre y cuando estés seguro de que los dos proveedores de nube no comparten la infraestructura.
• Modifica los permisos para evitar que cualquier persona o dispositivo tenga acceso a todos tus datos, a menos que sea necesario. Por ejemplo, las empresas lo hacen a través de la configuración de permisos de la base de datos. Si tienes una red doméstica, usa redes de invitados para tus hijos, para dispositivos de IoT y para tu televisor. Guarda tu contraseña de “acceso a todas las áreas” para usarla tú solo.
• Utiliza un software antivirus y antimalware. Si el malware logra ingresar a tu sistema, los hackers pueden acceder a tu cuenta fácilmente.
• No accedas a tus datos a través de una red pública de Wi-Fi, sobre todo si no utiliza una autenticación fiable. Sin embargo, utiliza una red privada virtual (VPN) para proteger tu puerta de enlace a la nube.

El almacenamiento en la nube y el intercambio de archivos

Los riesgos de seguridad de la computación en la nube pueden afectar a todos, desde las empresas hasta los consumidores individuales. Por ejemplo, los consumidores pueden utilizar la nube pública para almacenar y hacer copias de seguridad de archivos (con servicios de SaaS como Dropbox), para servicios como el correo electrónico y las aplicaciones de oficina, o para rellenar formularios y cuentas de impuestos.

Si usas servicios basados en la nube, debes tener en cuenta cómo compartes los datos de la nube con los demás, sobre todo si trabajas como asesor o autónomo. Aunque compartir archivos en Google Drive o en otro servicio puede ser una forma fácil de compartir tu trabajo con los clientes, es posible que tengas que comprobar que estás administrando los permisos correctamente. Después de todo, querrás asegurarte de que los diferentes clientes no puedan ver los nombres o los directorios de los demás o alterar sus archivos.

Recuerda que muchos de lo servicios de almacenamiento en la nube que están disponibles no cifran los datos. Si deseas mantener tus datos seguros mediante cifrado, tendrás que usar un software de cifrado para hacerlo tú mismo antes de subirlos. Luego, tendrás que proporcionar una clave a tus clientes para que puedan leer los archivos.

Comprueba la seguridad de tu proveedor de la nube

La seguridad debe ser uno de los principales puntos a considerar a la hora de elegir un proveedor de seguridad en la nube. Esto se debe a que la ciberseguridad ya no es solo responsabilidad tuya: las empresas de seguridad en la nube deben poner de su parte para crear un entorno de la nube seguro y compartir la responsabilidad de la seguridad de los datos.

Desafortunadamente, las empresas de la nube no te darán los planos de la seguridad de su red. Esto equivaldría a que un banco te diera los detalles de su bóveda, con los números de combinación de la caja fuerte.

Sin embargo, obtener las respuestas correctas a algunas preguntas básicas te da una mayor confianza de que tus activos en la nube estarán seguros. Además, serás más consciente de si tu proveedor ha abordado con propiedad los riesgos obvios de seguridad en la nube. Recomendamos hacerle a tu proveedor de la nube algunas de las siguientes preguntas:

• Auditorías de seguridad: “¿Realizas regularmente auditorías externas de seguridad?”
• Segmentación de los datos: “¿Los datos de los clientes se segmentan de forma lógica y se mantienen separados?”
• Cifrado: “¿Nuestros datos están cifrados? ¿Qué partes están cifradas?”
• Retención de datos del cliente: “¿Qué políticas de retención de datos de clientes se están siguiendo?”
• Retención de datos del usuario: “¿Mis datos se borran correctamente si dejo el servicio en la nube?”
• Administración del acceso: “¿Cómo se controlan los derechos de acceso?”

También querrás asegurarte de que has leído los términos de servicio (TOS) de tu proveedor. Leer los TOS es esencial para entender si estás recibiendo exactamente lo que quieres y necesitas.

Asegúrate de comprobar que también conoces todos los servicios utilizados con tu proveedor. Si tus archivos están en Dropbox o respaldados en iCloud (la nube de almacenamiento de Apple), en realidad podrían estar en los servidores de Amazon. Por lo tanto, tendrás que comprobar AWS, así como el servicio que usas directamente.

Soluciones de seguridad en la nube híbrida

Los servicios de seguridad en la nube híbrida pueden ser una opción muy inteligente para los clientes en los espacios de las PYMES y las grandes empresas. Son más viables para las aplicaciones de las PYMES y las empresas, ya que generalmente son demasiado complejas para el uso personal. Pero estas organizaciones son las que podrían utilizar la combinación de escala y accesibilidad de la nube con el control interno de determinados tipos de datos.

Estos son algunos de los beneficios de seguridad de los sistemas de seguridad en nubes híbridas:

La segmentación de los servicios puede ayudar a una organización a controlar la forma de almacenamiento y acceso a sus datos. Por ejemplo, colocar datos más confidenciales en el sitio mientras se transfieren otros datos, aplicaciones y procesos a la nube puede ayudar a separar en capas a tu seguridad apropiadamente. Además, la separación de los datos puede mejorar la capacidad de tu organización para cumplir con los reglamentos de datos requeridos por la ley.

La redundancia también se puede lograr a través de entornos de la nube híbrida. Al utilizar las operaciones diarias de los servidores de la nube pública y al hacer copias de seguridad de los sistemas en los servidores de datos locales, las organizaciones pueden mantener sus operaciones en movimiento en caso de que un centro de datos se desconecte o se infecte con ransomware.

Soluciones de seguridad en la nube para PYMES

Mientras que las empresas pueden insistir en una nube privada, que sería el equivalente en Internet de poseer tu propio edificio de oficinas o campus, los individuos y las empresas más pequeñas tienen que administrarse con servicios en la nube pública. Es como compartir una oficina de servicios o vivir en un bloque de apartamentos con cientos de inquilinos más. Por lo tanto, la seguridad debe tu prioridad.

En las aplicaciones de las pequeñas y medianas empresas, descubrirás que la seguridad de la nube depende en gran medida de los proveedores públicos que utilizas.

Sin embargo, hay medidas que puedes tomar para mantenerte protegido:

• Segmentación de los datos de los diferentes usuarios: las empresas deben asegurarse de que cada cliente del servicio de nube pueda acceder solo a sus propios datos. Ya sea que estén alojados en servidores segmentados o cuidadosamente codificados, asegúrate de que haya medidas de segmentación implementadas.
• Controles de acceso de los usuarios:al poner demasiados límites al acceso de los usuarios, los permisos de control pueden convertirse en un obstáculo. Sin embargo, establecer restricciones y después flexibilizarlas hasta encontrar un equilibrio óptimo puede ser mucho más seguro que dejar que demasiada permisividad ponga en peligro la red.
• Cumplimiento legal de los datos: mantener tus datos en conformidad con los reglamentos internacionales como el GDPR es crítico para evitar fuertes multas y daños a la reputación. Asegúrate de que las medidas como el enmascaramiento de datos y la clasificación de datos confidenciales sean una prioridad para tu organización.
• Escalada cuidadosa de los sistemas de la nube: con la rápida implementación de los sistemas de nube, asegúrate de tomarte el tiempo para constatar que los sistemas de tu organización priorizan la seguridad por encima de conveniencia. Los servicios en la nube pueden extenderse rápidamente hasta el punto de carecer de reglamento.

Soluciones de seguridad en la nube para empresas

Dado que más del 90 % de las grandes empresas utilizan la computación en la nube, la seguridad en la nube es una parte fundamental de la ciberseguridad empresarial. Los servicios en la nube privada y otras infraestructuras más costosas pueden ser viables para las organizaciones de nivel empresarial. Sin embargo, tendrás que asegurarte de que tu TI interna se encargue de mantener toda la superficie de tus redes.

Para el uso de empresas a gran escala, la seguridad en la nube puede ser mucho más flexible si realizas algunas inversiones en la infraestructura.

Existen puntos claves que hay que tener en cuenta:

• Esmérate al administrar tus cuentas y servicios: si ya no usas un servicio o software, desactívalo como es debido. Es fácil que los hackers accedan a toda una red en la nube a través de cuentas viejas e inactivas por medio de vulnerabilidades sin parches.
• Autenticación de varios factores (MFA): puedes usar datos biométricos, como huellas dactilares, o una contraseña y el envío de un código independiente a tu dispositivo móvil. Demanda tiempo, pero es útil para tus datos más confidenciales.
• Evalúa los costos y los beneficios de la nube híbrida: la segmentación de datos es mucho más importante en el ámbito empresarial, ya que manejarás cantidades mucho mayores de datos. Debes asegurarte de que tus datos estén separados de los de los demás clientes, ya sea que estén cifrados de manera independiente o segmentados de forma lógica para su almacenamiento independiente. Los servicios en la nube híbrida pueden ayudar con esto.
• Desconfía de la TI invisible: es esencial educar a tus empleados para evitar el uso de servicios de nube no autorizados en sus redes o para el trabajo de la empresa. Si los datos confidenciales se transmiten por canales no seguros, tu organización puede verse expuesta a actores maliciosos o a problemas jurídicos.

Por lo tanto, como usuario individual, usuario de PYMES o incluso usuario de la nube a nivel empresarial, es importante asegurarte de que tu red y tus dispositivos sean lo más seguros posible. Esto comienza con una buena comprensión de la ciberseguridad básica a nivel de usuario individual, así como con la garantía de que tu red y todos los dispositivos estén protegidos por una solución de seguridad robusta diseñada para la nube.

Productos relacionados:

• Kaspersky Security Cloud
• Kaspersky Enterprise Hybrid Cloud Security
• Kaspersky Endpoint Security Cloud for SMBs

Artículos relacionados:

• Cómo escoger el antivirus correcto para la nube
• Por qué es tan importante la seguridad en la red de tu casa
• Cómo evitar los riesgos de seguridad de las redes públicas de Wi-Fi
• Consejos para generar contraseñas seguras y únicas