La nube ha cambiado mucho sobre la forma en que hacemos negocios, pero uno de los cambios más significativos ha sido en el ámbito de la ciberseguridad. La expansión de las cargas de trabajo que se ejecutan en la nube ha impulsado un aumento en los ataques de seguridad centrados en las tecnologías de la nube. A medida que las organizaciones lidian con una mayor superficie de ataque, las violaciones de datos se han vuelto más comunes, de mayor alcance y más costosas que nunca.
¿Cómo es esto diferente del lugar de trabajo de años pasados? Las empresas solían ejecutar su software package localmente, lo que significaba que un firewall era todo lo que necesitabas para proteger los datos de tus empleados y clientes. Los equipos de TI también se basaron en una pila tecnológica monolítica, implementando aplicaciones de un único proveedor que ofrecía sistemas cerrados y aplicaciones de cliente pesado. Y antes de que la nube hiciera el trabajo remoto fácil y accesible, los empleados tenían que trabajar en ubicaciones de oficinas centrales para acceder a la tecnología de la compañía.
El cambio a la nube ha cambiado todo eso. El software package ha pasado de entornos locales a entornos nativos de la nube o híbridos, y las empresas están implementando los mejores paquetes tecnológicos que dependen de múltiples proveedores. Al mismo tiempo, las tecnologías en la nube y móviles están permitiendo a los empleados acceder a su trabajo desde cualquier parte del mundo, lo que ha dado lugar a una nueva period de libertad y capacidades limitadas de management dentro del enfoque tradicional de seguridad. Estos cuatro pasos pueden hacer que su empresa tenga éxito en el panorama tecnológico moderno de hoy.
Paso 1: adopta una mentalidad de confianza cero.
El hecho de que un número creciente de organizaciones continúe utilizando los servicios en la nube significa que las empresas no pueden asumir que se puede confiar en los usuarios simplemente en función de la crimson en la que se encuentran. Por el contrario, todos los usuarios deben ser verificados independientemente de su dispositivo, su ubicación o su dirección IP antes de obtener acceso a datos o aplicaciones corporativas.
Hay un par de formas de implementar este enfoque. Primero, los equipos de seguridad deben comprender la verdadera identidad de quién está accediendo a su pink, y monitorear y registrar todo el tráfico de la purple. Esto significa establecer puntos de control de seguridad y aplicar reglas sobre quién puede continuar accediendo a la red más allá de cada punto de management. (Nota del editor: Okta, junto con otros proveedores, comercializa software package para administrar y asegurar los procesos de autenticación de usuarios en la nube). En segundo lugar, las empresas deben vigilar de cerca los permisos de acceso y otorgar la cantidad mínima de acceso necesaria a cada usuario. Por ejemplo, si un vendedor no necesita acceso a la información de contratación o las credenciales de inicio de sesión del cliente, no se la dé. Cuanto más pueda acceder un usuario o empleado, mayor será el riesgo de una cuenta comprometida.
Paso 2: Implemente la microsegmentación.
Las medidas de seguridad tradicionales, como los firewalls, son buenas para standard lo que entra y sale de su red. Pero hoy, cuando las cargas de trabajo están en la nube y son virtuales, y el acceso está sucediendo desde todas partes, saber quién entra y sale de su pink no lo hace más seguro. Aquí es donde entra en juego la microsegmentación. La microsegmentación le permitirá a su equipo establecer políticas personalizadas para diferentes segmentos, brindándole una seguridad más integral en normal. Estas políticas también se pueden implementar virtualmente, lo que hace que un enfoque microsegmentado sea excellent para un entorno en la nube.
Paso 3: cifre los datos y pase a una experiencia sin contraseña.
El cifrado es una de las formas más simples de proteger sus datos. Solo las personas con las contraseñas o claves correctas pueden acceder a los datos cifrados, por lo que es una forma sencilla de proteger la información almacenada en la nube. Sin embargo, Have I Been Pwned (HIBP) informa que los hackers han logrado violar 555,278,657 contraseñasy investigación Okta, encargado de Opinium en mayo, reveló que más de un tercio de los usuarios reutilizan las mismas contraseñas para varias cuentas.
En última instancia, esto refuerza por qué las políticas específicas de contraseña no deberían ser la última línea de defensa para su organización. De hecho, debido a que las credenciales de inicio de sesión se ven comprometidas y reutilizadas con tanta frecuencia, sin contraseña suele ser la mejor manera a largo plazo para mantener la seguridad de los datos. Su equipo puede eliminar por completo las contraseñas invirtiendo en tecnología como claves de seguridad física y confiando en sistemas de acceso contextual más robustos, y a medida que la gestión de identidad continúa evolucionando, un futuro sin contraseña es cada vez más posible para las organizaciones. Pero si no usar una contraseña no es una opción en su organización, debe, como mínimo, establecer normas de contraseña seguras. Mayores longitudes de contraseña fomentan el uso de frases de contraseña, que proporcionan una mayor protección contra ataques de fuerza bruta. La eliminación de la reutilización de contraseñas antiguas también limita el potencial de futuros compromisos de la cuenta.
Paso 4: No olvides la gestión del ciclo de vida.
En noviembre de 2018, un empleado que fue despedido por el sistema de las Escuelas Públicas de Chicago robó datos personales de 70,000 personas de un foundation de datos privada de CPS. Este escenario es la peor pesadilla de todo ejecutivo de recursos humanos y seguridad: un empleado descontento abandona la empresa y toma represalias llevando datos confidenciales. Desafortunadamente, incluso si un empleado renuncia o es despedido en buenos términos, las contraseñas almacenadas en la nube podrían violarse posteriormente si su cuenta se deja abierta o queda huérfana. Aunque la baja inmediata puede ser desalentadora, es una parte very important de la seguridad y vale la pena la inversión. Tan pronto como alguien deja de trabajar en su organización, debe cortar el acceso futuro a cualquier información.
La incorporación es igualmente importante. Cuando comienza un nuevo empleado, un proceso de incorporación simplificado que requiere que establezca cuentas seguras y participe en capacitación de seguridad significará que hay menos espacio para errores y riesgos en el futuro.
Subestimar los cambios de seguridad que deben acompañar a un cambio a la nube podría ser deadly para una empresa. Tan pronto como su empresa comience a aprovechar las herramientas en la nube, debe incorporar seguridad en su plan desde el primer día. Al adoptar un enfoque de confianza cero y administrar cuidadosamente quién puede acceder a sus datos y su crimson, avanzará un largo camino para evitar una violación de datos paralizante.
Contenido relacionado:
Diya Jolly es directora de producto en Okta. Como CPO, Diya lidera la innovación de productos tanto para la fuerza laboral como para la identidad del cliente. Ella juega un papel instrumental en la promoción del liderazgo de productos de Okta, permitiendo que cualquier organización use cualquier tecnología. Diya se unió a Okta de Google, … Ver biografía completa
Más thoughts
