Recomendaciones de privacidad en la nube (parte 4): Seguridad para privacidad en la nube

recomendaciones-4

Como hemos discutido a lo largo de la serie de estos blog posts acerca de recomendaciones en la nube (Parte 1: Introducción, Parte 2: Recomendaciones de privacidad en la nube (parte 2) – Vivimos en un mundo de múltiples nubes: la importancia de los servicios en la nube y los modelos de implementación en cuestiones de privacidad, Parte 3: Recomendaciones sobre privacidad en la nube (parte 3): ¿Qué deben considerar los profesionales al elegir servicios de nube?), hay muchos aspectos de la protección de información y la privacidad que las organizaciones necesitan tomar en cuenta cuando mudan su información y operaciones empresariales a la nube.

En este post, hablaremos acerca de cómo lidiar con la seguridad en la nube puede ayudar a que las organizaciones manejen de mejor manera sus preocupaciones relacionadas con privacidad.

UN DISEÑO DE NUBE ORIENTADO A SEGURIDAD

Actualmente, la ciberseguridad y la privacidad son temas candentes cuando se trata de utilizar servicios en la nube. Hay gran variedad de preocupaciones acerca de seguridad de la información y privacidad, y cómo se utiliza y protege la información personal conforme crece la globalización de los negocios y la adopción de la nube.

Como hemos visto en años recientes, la protección de la información clave de una organización a través de medidas y prácticas de ciberseguridad robusta es esencial sin importar si la información clave se almacena in situ o no.

IDEAS EQUIVOCADAS SOBRE LA SEGURIDAD EN LA NUBE

Uno de los más grandes mitos acerca de la nube es que es menos segura que una alternativa in situ para almacenar la información más sensible de una organización. A pesar de que las organizaciones pueden invertir mucho en proteger sus redes locales de ataques externos, bien podría existir una amenaza mayor a la privacidad de su información cuando esa información se encuentra inmóvil en sus oficinas que cuando está almacenada en un centro de datos de alta seguridad ex situ y con múltiples capas de seguridad ya implementadas.

En este artículo llamado Top Ten Cloud Myths, Gartner habló acerca de los errores más comunes al hablar de la nube y que pueden impedir la innovación y derivar en supuestos peligrosos. La percepción de que “la nube es menos segura que una implementación in situ” es uno de los mitos de los que habla este artículo. Lo que el autor señala es que las filtraciones más comunes siguen involucrando centros de datos in situ. El consejo de Gartner respecto a seguridad en la nube es que las organizaciones no deben asumir que los proveedores de nube no son seguros pero, al mismo tiempo, las organizaciones no deben asumir que ellas están a salvo.

Lo que esto quiere decir es que las organizaciones necesitan realizar auditorías internas, como se señala en nuestro post anterior, y planear una migración a la nube en cuatro fases: planeación, evaluación, diseño y mantenimiento de su nube. Este proceso debe incluir una evaluación del alcance de la información de una organización, su flujo de datos, las capacidades de soporte y servicio de sus proveedores de nube, así como el soporte y experiencia disponibles en su empresa.

Si los servicios de nube se implementan con la privacidad en mente, la seguridad puede ser una de las principales consideraciones por las que una organización debe buscar un proveedor de nube de buena reputación.

LA SEGURIDAD YA NO ES DE LOS MÁS GRANDES DESAFÍOS DE LA NUBE

En Cloud Computing Trends: 2016 State of the Cloud Survey (una encuesta enfocada en Infraestructura como Servicio), RightScale identificó que la “ausencia de recursos/experiencia actualmente es el más grande desafío de la nube (32%), quitándole el lugar a seguridad (29%)”.

Conforme crece la adopción de la nube y las organizaciones ponen más de sus cargas de trabajo y operaciones de negocios en la nube, también crece la necesidad de acceso a experiencia en la nube.

Diseñar, implementar y mantener la infraestructura de nube adecuada con un modelo de soporte y monitoreo 24x7x365 es, por lo tanto, vital para que las organizaciones se liberen de sus preocupaciones sobre seguridad.

Los resultados de la 2016 State of the Cloud Survey muestran también lo siguiente:

  • la adopción de la nube crece
  • el sector privado muestra más crecimiento
  • muchas compañías ya operan con nube híbrida

Basados en estos descubrimientos adicionales, podemos determinar la razón por la que la seguridad en la nube es cada vez menos preocupante en esta encuesta que en previos años, donde la seguridad se presentaba como el máximo desafío para la nube desde 2013: parece que las organizaciones ahora se replantean sus estrategias de seguridad y privacidad para proteger de una manera adecuada sus más valiosos activos empresariales; darse cuenta de los beneficios de distintos modelos de implementaciones de la nube que pueden lidiar de una mejor manera con las preocupaciones acerca de privacidad y seguridad.

De acuerdo con un artículo de The Wall Street Journal, el secretario de Informática de los Estados Unidos, Tony Scott, dice que los proveedores de nube ofrecen la mejor seguridad para información. El máximo oficial de TI del gobierno federal estadunidense dijo que los proveedores de nube tienen incentivos, capacidades y habilidades ” para hacer mucho mejor trabajo respecto a seguridad en comparación con lo que puede hacer cualquier compañía u organización”.

Como se discutió en nuestro post anterior, tener la flexibilidad de implementar una multinube híbrida para distintas cargas de trabajo y tipos de datos permite a los negocios lograr un mejor desempeño a la vez que también se resuelven problemas de seguridad y privacidad. Los proveedores de nube respetables también ofrecen una seguridad de alto nivel, servicios de seguridad avanzada y destrezas y experiencia en seguridad. Al operar una nube híbrida, las organizaciones pueden satisfacer de mejor manera sus requerimientos de conformidad.

LA SEGURIDAD EN LA NUBE ES UNA RESPONSABILIDAD COMPARTIDA

Cuando las organizaciones mudan sus implementaciones a la nube, es importante entender las distintas capas de seguridad. Como se discutió en la segunda parte de esta serie de posts, dependiendo del modelo de servicio de la nube (infraestructura como servicio, plataforma como servicio o software como servicio), los roles y responsabilidades de un proveedor de nube y un usuario de nube pueden variar.

Entender a profundidad la interacción entre nubes (IaaS, PaaS y SaaS) es vital porque estos modelos dividen las responsabilidades para riesgos de privacidad y protección de datos y mitigación de distintas maneras. Dependiendo del tipo de servicios de nube usados, los roles y responsabilidades de la seguridad y privacidad de la información y la mitigación de los riesgos de una filtración de datos pueden variar y podrían dividirse entre los poseedores internos de la información, usuarios de la nube y proveedores de nubes múltiples.

Para proteger adecuadamente su información y acatar las leyes específicas de privacidad y seguridad, así como las regulaciones aplicables a su caso, los usuarios de nube necesitan distinguir entre las medidas de seguridad que los proveedores pueden implementar y operar y las medidas y controles de seguridad que los usuarios de nube pueden implementar y operar por sí mismos.

La responsabilidad por la seguridad de la información no termina una vez que los usuarios migran su información a su nube ex situ. Por tanto, los usuarios de nube necesitan entender qué aspectos de la seguridad son su responsabilidad y cuáles los de su proveedor.

A pesar de que los proveedores son responsables de la seguridad de su infraestructura de nube y de sus prácticas organizacionales, los usuarios de nube son responsables de la seguridad de los datos que ponen en la nube y de la seguridad de la infraestructura que conecta su oficina con dichas nubes.

Para asegurarse de que se lidie correctamente con los riesgos de seguridad y privacidad, las organizaciones necesitan realizar evaluaciones periódicas de riesgo y privacidad a través de sus soluciones in situ y ex situ. Las organizaciones deben probar sus entornos regularmente al realizar pruebas de carga y desempeño, pruebas de penetración y escaneos de vulnerabilidad.

Las organizaciones deben buscar proveedores de nube que (i) provean sus servicios de manera que les den flexibilidad para configurar, asegurar e implementar su solución de hospedaje basada en sus requerimientos específicos; y (ii) tener distintas soluciones, características y servicios de seguridad disponibles para permitir que los usuarios de la nube configuren e implementen soluciones que puedan resolver sus desafíos de seguridad y conformidad.

Con esto en mente, los usuarios de la nube permanecen responsables de cualquier información personal que recopilen y procesen. Por tanto, los usuarios de la nube deben tomar todas las medidas razonables para proteger la información hospedada y cumplir con las leyes y regulaciones que pueda aplicarse a su información. Dichas medidas incluyen la encriptación de información regulada o personal.

PIENSE EN SU SEGURIDAD PUNTA A PUNTA

A pesar de que la seguridad es cada vez un problema menos grave para los proveedores de nube de renombre, la responsabilidad de la seguridad y protección de la información no acaba cuando las organizaciones migran su información a una nube ex situ.

Lo importante no solo es que las organizaciones lleven a cabo evaluaciones internas suficientes de sus proveedores de nube, sino que también participen de manera proactiva y pragmática a la seguridad en general.

Como ya dijimos en esta serie de posts, la nube tiene muchos beneficios, pero si no se implementa y adopta correctamente, las organizaciones podrían no obtener todas las ventajas que su proveedor brinda.

Las organizaciones solo pueden disfrutar de todos los beneficios de la nube si mantienen una postura adecuada de seguridad punta a punta, desde sus sistemas in situ hasta los sistemas y cargas de trabajo en nubes externas.

La seguridad en la implementación de nube de una organización solo es tan buena como el eslabón más débil de todo su flujo de datos. Una buena preparación de seguridad dependerá de controles y políticas de acceso suficientes del lado de los usuarios de la nube. Por tanto, la estrategia de adopción de nube de una organización con seguridad para la privacidad es extremadamente importante.

Con una correcta evaluación de disposición para la nube, planeación y entendimiento de su panorama de datos, las organizaciones pueden tomar decisiones inteligentes. Para evaluar correctamente la pertinencia de los servicios de nube para el tipo de datos que se buscan almacenar en la nube, los profesionales de la privacidad necesitan entender claramente la nube, los impulsores internos del negocio, la arquitectura subyacente y los roles que los usuarios internos y los distintos proveedores desempeñan.

Como ya lo discutimos, en comparación con una implementación in situ, almacenar e implementar soluciones en una nube externa puede resultar en una mejor solución para la privacidad de la información personal. Los proveedores de nube de renombre tienen estándares de seguridad de datos muy elevados, así como ofertas extensas de seguridad, al igual que experiencia para mantener y administrar infraestructuras de nube. Sin embargo, cabe aclarar que cada usuario de la nube debe ser responsable de la información personal que recopila y procesa y de cumplir con las leyes de protección de la información.

RESUELVA LOS RIESGOS DE CIBERSEGURIDAD CON LA EXPERIENCIA Y LOS MODELOS DE IMPLEMENTACIÓN DE NUBE ADECUADOS

Como lo muestra la 2016 State of the Cloud Survey, las organizaciones se preocupan principalmente por la falta de recursos y experiencia cuando se trata de implementaciones en sus nubes. Las organizaciones se las ven negras con la complejidad de escalar aplicaciones e información en la nube, así como de la experiencia y recursos necesarios para mantener las actualizaciones constantes de tecnología. Esta carencia interna puede derivar en recursos insuficientes para asegurar, detectar y responder adecuadamente a fallas de seguridad de amenazas de persistencia avanzada.

Al desplegar la solución de nube correcta, los usuarios de nube pueden acceder a las defensas y actualización de ciberseguridad más recientes sin la necesidad de implementar dispositivos in situ o emplear a expertos internos que impliquen gastos mayores. Asimismo, con el proveedor de nube adecuado, los negocios pueden asegurar tener la solución idónea para monitoreo, control, redundancia, soporte y niveles de servicio de tiempo de respuesta.

Por tanto, es imperante que los profesionales de la privacidad inicien sus evaluaciones de preparación para la nube y se asocien con expertos de seguridad que tengan experiencia en ayudar a proteger las aplicaciones digitales de su organización y las experiencias de usuarios para enfrentar ciberataques.

Implementar la solución de nube adecuada puede ayudar a las empresas a satisfacer los requerimientos legales preestablecidos. Los usuarios de nube pueden entrar a la nube pública para obtener escalabilidad y agilidad a la vez que tienen cargas de trabajo predecibles y de mucha labor, así como información sensible, en servidores dedicados.

En las operaciones de negocios en el mundo globalizado, la seguridad bien llevada es un facilitador para lograr los objetivos de privacidad propuestos. Con una estrategia de privacidad y controles de seguridad adecuados, las organizaciones pueden hacer que la nube funcione de la manera que más se adapte a sus necesidades. Al implementar la nube correctamente, las organizaciones se alejan de lo que se conoce como “shadow IT” hacia un acercamiento más centralizado a la nube y hacia un mejor control de su información.

Por tanto, tener acceso a una expertos especializados en nube y seguridad es fundamental para organizaciones que necesitan diseñar sus implementaciones de nube con la seguridad y la privacidad en mente.

He aquí algunas preguntas que las organizaciones deben responder cuando evalúan la responsabilidad en la nube, para entender la responsabilidad compartida de los datos.

  • ¿Están involucrados distintos proveedores en sus servicios de cómputo en la nube?
  • ¿Cómo se traslapan las responsabilidades de los distintos proveedores de nube que utiliza?
  • ¿En dónde comienza y en dónde acaba la responsabilidad?
  • ¿Hay huecos en dicha responsabilidad?
  • ¿La solución de su proveedor satisface la integridad, seguridad de la información y requisitos de confidencialidad de su organización?
  • ¿Entiende la seguridad física y lógica de su información?
  • ¿Qué controles de acceso se implementaron en el lugar donde los servidores se albergan?
  • ¿Hasta qué punto está encriptada su información?
  • ¿Quién es responsable de encriptar su información?
  • ¿Hay firewalls y otros controles de acceso?
  • ¿Están disponibles sistemas de monitoreo y de acceso?
  • ¿Las actualizaciones de sistema las ha platicado con su proveedor? ¿Quién es responsable?
  • ¿Cuál es el proceso de notificación de filtraciones de información? ¿Quién es responsable por la notificación de filtraciones a individuos?
  • ¿Ya discutió sobre ciberseguridad?
  • ¿Entiende y puede mitigar de manera efectiva amenazas de ciberseguridad?

Las organizaciones también deben confirmar con sus proveedores de nube si los servicios de hospedaje fueron evaluados por auditores externos conforme a la infraestructura de conformidad ISO 27001 y SSAE 16 e ISAE 3402.

Tomar una postura pragmática en cuestiones de seguridad basadas en el tipo de datos, vector de amenaza, desarrollos de la industria y lidiar proactivamente con amenazas que tienen más probabilidad de afectar las operaciones de un negocio es un factor clave para diseñar su seguridad en la nube.

Hacerse cargo de sus preocupaciones de privacidad y ciberseguridad mientras diseña su implementación de nube es la manera en que las organizaciones pueden triunfar al integrar la nube a sus operaciones.

Lo invitamos a conocer todas las soluciones que Aranda Software tiene en la Nube para hacer más fácil y productiva su gestión IT.

 

 

fuente

Dejar un Comentario

5 × 4 =

Empiece a escribir y presione Enter para realizar la búsqueda

Top Contáctanos