Mejores Prácticas para Tener una Infraestructura en la Nube Segura

La ciberseguridad es una preocupación creciente para muchas empresas y organizaciones, especialmente las que utilizan la nube para almacenar datos sensibles de sus clientes.

 

La tecnología en la nube se está convirtiendo en una de las principales inversiones para las organizaciones de todos los tamaños por los beneficios que brinda. Generalmente, su objetivo incluye planes para reducir costos, innovar de manera más eficaz, garantizar la disponibilidad de los servidores en cualquier parte del mundo y tener la capacidad necesaria sin un límite de almacenamiento.

 

Empresas de todos los sectores están modernizando sus plataformas de datos, para contar con un aprovechamiento de las aplicaciones actuales, y los análisis avanzados al mismo tiempo que trasladan sus datos a la nube para construir, desplegar y migrar a entornos basados en esta, haciendo de la nube la nueva norma.

 

De acuerdo a la encuesta “Data modernization and the cloud” de la firma Deloitte, realizada en agosto de 2019 a más de 500 líderes y ejecutivos de TI, la seguridad y la protección de datos es el principal impulsor para migrar a la nube. Un 58% de los encuestados clasificándolo en el número 1 o 2, la seguridad es lo primero para todo el mundo, desde los ejecutivos hasta los gerentes y desarrolladores de TI.

 

Los ataques de seguridad cibernética son cada vez más sofisticados, y la escasez de conocimientos significa que muchas empresas están luchando para gestionar la seguridad internamente. Algunos ejecutivos de TI están recurriendo a servicios de seguridad gestionados y en nube de terceros, con proveedores de servicios en la nube como Amazon Web Services (AWS), que cada día siguen ampliando los servicios de seguridad para proteger sus infraestructuras.

 

Es posible que haya implementado las prácticas base de seguridad. Sin embargo, dado que en su infraestructura en la nube se lanza y modifica un gran volumen de recursos con regularidad, es posible que haya pasado por alto algunas de las mejores prácticas de seguridad, contratar un proveedor no da seguridad al primer minuto, ya que, en última instancia la seguridad es una responsabilidad compartida por el proveedor y los usuarios.

 

Una infraestructura en la nube se construye y gestiona, no sólo de acuerdo con las mejores prácticas y normas de seguridad, sino también con las necesidades únicas de la nube en mente. Pero a medida que los datos continúan moviéndose a la nube, muchos profesionales en ciberseguridad están luchando por mantener la seguridad de sus entornos virtuales, haciendo que la computación en la nube se enfrente a nuevos desafíos en su entorno.

 

Tal es el caso de la Organización de los Estados Americanos (OEA), quien en conjunto con AWS presentaron el reporte “Ciberseguridad: Planificación para el futuro a través del desarrollo de la fuerza laboral”. Siendo la primera investigación que describe el estado de las ofertas académicas de ciberseguridad en la región de América Latina y el Caribe, tomando en cuenta la brecha laboral de 600 mil personas capacitadas para ocupar puestos de ciberseguridad y hacer frente a las amenazas de América Latina y el Caribe, de acuerdo al (ISC). Asimismo, presenta un enfoque educativo para combatir esta escasez, promoviendo soluciones para incluir aspectos de la ciberseguridad en todos los niveles de capacitación y educación.

 

La mayoría de los incidentes de seguridad en la nube se centran en los datos y el acceso. Con los modelos de responsabilidad compartida en los servicios de computación en nube, esos dos aspectos están completamente en el control de los clientes. Todavía, afortunadamente, los riesgos de seguridad en la nube pueden mitigarse en gran medida siguiendo mejores prácticas, que pueden ayudar a construir y mantener un entorno de nube seguro.

 

  1. Ponga su estrategia en primer lugar y determine si soporta distintas herramientas y controles

 

Hay mucho debate sobre si se deben elegir primero las herramientas y controles, o establecer la estrategia de seguridad. Aunque pueda parecer una discusión subyacente, la respuesta es más compleja. En la mayoría de los casos, el primer paso para asegurar la infraestructura de la nube es definir una estrategia. Se trata de un proceso de identificación de los riesgos y amenazas únicos a los que se enfrenta su empresa y de planificación de un conjunto de controles que se utilizarán para defenderla. Este proceso puede parecer desalentador al principio, pero la verdad es que, aunque cada empresa tiende a tener unos pocos elementos únicos, la mayoría de las empresas son bastante similares en su núcleo.

 

Por lo general, se recomienda establecer primero la estrategia de seguridad, de modo que cuando acceda a una herramienta o un control, pueda evaluar si apoya o no su estrategia y en qué medida lo hace. Poner en marcha una estrategia de seguridad en primer lugar también es de gran ayuda con el despliegue continuo.

 

   2.- Implemente un control de acceso de usuarios

 

Al igual que en el proceso tradicional de seguridad de los programas informáticos, los administradores deben aplicar un control estricto y seleccionado de acceso de los usuarios para definir “¿Quién puede acceder a los datos?”, y “¿En qué medida los usuarios pueden acceder a ellos?” Esto ayudará a garantizar que sólo los usuarios autorizados puedan acceder a los datos en la infraestructura de la nube.

 

Las credenciales del usuario Root permiten a los usuarios tener pleno acceso a los recursos del sistema, sin embargo, esto hace que el sistema sea vulnerable a las violaciones de la seguridad.

 

En lugar de tener claves de acceso al usuario Root, implemente un usuario administrador de gestión de identidad y acceso que defina y gestione los privilegios de acceso y las funciones de los usuarios individuales de la red. Además, utilice la autenticación multifactorial para mejorar la seguridad, ya que añade una capa de protección adicional.

 

   3.- Aplique seguridad en todas las capas

 

La aplicación de las medidas de seguridad en detalle siempre ha sido increíblemente tediosa. Por ejemplo; para averiguar qué datos de una selección no estructurada contienen una referencia a las personas, habría que inspeccionar cada archivo individualmente. Cuando era operado por personas, era, en términos prácticos, imposible y el uso de filtros generales no iba lo suficientemente lejos.

 

Con la computación en nube, la recolección y almacenamiento de datos, en conjunto con los registros se han vuelto tan accesibles, que estamos tratando con cantidades cada vez mayores de datos que deberían ser analizados. Gracias a las aplicaciones de seguridad de Aprendizaje Automático o Machine Learning, se han creado nuevas herramientas que pueden ser utilizadas para avanzar en la automatización.

 

Las características de la nueva generación se describen mejor con Amazon Macie. El servicio de AWS, es tiene dos vertientes; una parte seguridad y una parte de cumplimiento. Macie utiliza algoritmos de “Aprendizaje Automático”, para proporcionar una visibilidad sin precedentes en los datos personales o relacionados con la seguridad. Macie se utiliza para encontrar anomalías o contenidos de riesgo. En circunstancias normales, típicamente tendrías una advertencia aproximadamente cada 3 días, con un número bajo de falsos positivos.

 

   4.- Saque provecho de los recursos nativos de seguridad en la nube

 

En un mundo completamente interconectado a través de Internet, las operaciones de los servidores web, los sitios web y las aplicaciones web son omnipresentes en casi todos los sectores corporativos del planeta. A medida que las aplicaciones web se hacen más numerosas y los sitios web dinámicos aumentan en número, las preocupaciones de seguridad asociadas a las aplicaciones web también se intensifican.

 

Al implementar herramientas como Amazon CloudFront, puede proteger sus aplicaciones web alojadas en cualquier parte del mundo. Hay una serie de herramientas de seguridad nativas de Amazon Web Services como: AWS Shield, Guard Duty y Cloud Watch, por mencionar algunas, y disponibles para auxiliar a convertir más segura el entorno de su nube.

    5.- Desarrolle una cultura de seguridad

 

El mantenimiento de la seguridad debe ser un esfuerzo de arriba a abajo, en el que cada miembro de la organización debe asumir la responsabilidad de la misma. Especialmente en estos tiempos en que hay una falta de profesionales en ciberseguridad, y es difícil encontrar individuos que estén capacitados en las últimas tecnologías y herramientas.

 

Ya sea que cuente con un equipo de seguridad dedicado o no, asegúrese de formar a todos sus empleados sobre la importancia de la seguridad y sobre cómo pueden contribuir a reforzar la seguridad general de la organización.

 

Organizaciones y empresas de todo el mundo que han crecido o nacido en la nube, han adoptado este tipo de prácticas para que su infraestructura virtual se encuentre; segura y actualizada, ante todo tipo de nuevas amenazas.

 

Nubank, empresa emergente de servicios financieros con sede en Brasil y con presencia en México, utiliza la mayoría de los servicios en seguridad de AWS, ofreciendo a sus clientes una tarjeta de crédito que pueden manejar en sus dispositivos iOS y Android de manera amparada.

 

A medida que cambie a una infraestructura en la nube o escale la que ya tiene, el negocio tendrá que examinar más a fondo la seguridad de su infraestructura. Los usuarios también necesitan estar actualizados sobre los últimos cambios para adoptar medidas de seguridad mejores y más completas. Estas son sólo algunas de las mejores prácticas de seguridad que puede implementar para mantener una fuerte seguridad para su ecosistema en la nube.

 

 

Artículo por Raúl Frías, líder del grupo de Arquitectos de Soluciones para Amazon Web Services en México.

 

Acerca de Raúl Frías:

Raúl inició su carrera en Amazon Web Services como Arquitecto de Soluciones en 2013, ayudando a dar forma y ejecutar una estrategia para crear un intercambio de ideas y un amplio uso de los servicios de AWS dentro de las organizaciones. Tres años después, Raúl obtendría el cargo de Gerente de Arquitecto de Soluciones para AWS en California, para posteriormente convertirse en el líder del grupo de Arquitectos de Soluciones para AWS en México. Actualmente lidera a su equipo de constructores para ayudar a los clientes de todos los tamaños y mercados en México y Latinoamérica a adoptar y acelerar la adopción de tecnologías en la nube.

Inscríbete a nuestro boletín de información
  • White Facebook Icon
  • Twitter
  • White Instagram Icon

Expresión Forense © 2020 Todos los Derechos Reservados.