19 mejores prácticas de seguridad en la nube para 2019

Ahora bien en su segunda década de disponibilidad comercial, la computación en la nube se ha vuelto casi omnipresente, con aproximadamente el 95 por ciento de las empresas informando que tienen una estrategia en la nube. Si bien los proveedores de la nube son más seguros que nunca, aún existen riesgos al usar cualquier servicio en la nube. Afortunadamente, pueden mitigarse en gran medida siguiendo estas mejores prácticas de seguridad en la nube:

Proteja sus datos en la nube

1. Determine qué datos son los más confidenciales. Si bien aplicar el nivel más alto de protección en todos los ámbitos sería, naturalmente, excesivo, no proteger los datos sensibles pone a su empresa en riesgo de pérdida de propiedad intelectual o sanciones regulatorias. Por lo tanto, la primera prioridad debe ser comprender qué proteger mediante el descubrimiento y la clasificación de datos, que normalmente realiza un motor de clasificación de datos. Apunte a una solución integral que localice y proteja contenido confidencial en su red, puntos finales, bases de datos y en la nube, mientras le brinda el nivel adecuado de flexibilidad para su organización.
2. ¿Cómo se accede y almacena esta información? Si bien es cierto que los datos confidenciales lata almacenarse de forma segura en la nube, ciertamente no es una conclusión inevitable. De acuerdo con la McAfee 2019 Cloud Adoption and Risk Report, El 21 por ciento de todos los archivos en la nube contienen datos confidenciales, un aumento considerable respecto al año anterior¹. Si bien gran parte de estos datos reside en servicios empresariales en la nube bien establecidos como Box, Salesforce y Office365, es importante darse cuenta de que ninguno de estos servicios garantiza el 100 por ciento de seguridad. Es por eso que es importante examinar los permisos y el contexto de acceso asociados con los datos en su entorno de nube y ajustarlos adecuadamente. En algunos casos, es posible que deba eliminar o poner en cuarentena los datos confidenciales ya almacenados en la nube.
3. ¿Quién debería poder compartirlo y cómo? El intercambio de datos confidenciales en la nube ha aumentado en más del 50% año tras año.¹ Independientemente de cuán poderosa sea su estrategia de mitigación de amenazas, los riesgos son demasiado altos para adoptar un enfoque reactivo: las políticas de control de acceso deben establecerse y aplicarse antes de que los datos ingresen a la nube. Así como el número de empleados que necesitan la capacidad de editar un documento es mucho menor que el número que puede necesitar verlo, es muy probable que no todos los que necesitan poder acceso ciertos datos necesitan la capacidad de compartir La definición de grupos y la configuración de privilegios para que el uso compartido solo esté habilitado para aquellos que lo requieran puede limitar drásticamente la cantidad de datos que se comparten externamente.
4. No confíe en el cifrado del servicio en la nube. El cifrado completo a nivel de archivo debería ser la base de todos sus esfuerzos de seguridad en la nube. Si bien el cifrado ofrecido dentro de los servicios en la nube puede proteger sus datos de terceros, necesariamente le da acceso al proveedor de servicios en la nube a sus claves de cifrado. Para controlar completamente el acceso, querrá implementar soluciones de cifrado estrictas, utilizando sus propias claves, antes de cargando datos a la nube.

Minimice las amenazas internas de seguridad en la nube

5. Saca el uso de la nube de los empleados de las sombras. El hecho de que tenga una estrategia corporativa de seguridad en la nube no significa que sus empleados no estén utilizando la nube en sus propios términos. Desde cuentas de almacenamiento en la nube como Dropbox hasta servicios de conversión de archivos en línea, la mayoría de las personas no consultan con TI antes de acceder a la nube. Para medir el riesgo potencial del uso de la nube por parte de los empleados, primero debe verificar su proxy web, firewall y registros SIEM para obtener una imagen completa de los servicios en la nube que se están utilizando, y luego realizar una evaluación de su valor para el empleado / organización en comparación con su riesgo cuando se implementa total o parcialmente en la nube. Además, tenga en cuenta que el uso de la sombra no solo se refiere a puntos finales conocidos que acceden a servicios desconocidos o no autorizados: también necesitará una estrategia para evitar que los datos pasen de servicios en la nube confiables a dispositivos no administrados que desconoce. Debido a que los servicios en la nube pueden proporcionar acceso desde cualquier dispositivo conectado a Internet, los puntos finales no administrados, como los dispositivos móviles personales, crean un agujero en su estrategia de seguridad. Puede restringir las descargas a dispositivos no autorizados haciendo que la verificación de seguridad del dispositivo sea un requisito previo para descargar archivos.
6. Crea una lista "segura". Si bien la mayoría de sus empleados están utilizando servicios en la nube para fines superiores, algunos inadvertidamente encontrarán y usarán servicios dudosos en la nube. De los 1.935 servicios en la nube en uso en la organización promedio, 173 de ellos se clasifican como servicios de alto riesgo.¹ Al saber qué servicios se utilizan en su empresa, podrá establecer políticas 1.) Esbozar qué tipos de datos están permitidos en la nube, 2.) Establecer una lista "segura" de aplicaciones en la nube que los empleados pueden utilizar, y 3.) Explicar las mejores prácticas, precauciones y herramientas de seguridad en la nube necesarias para la utilización segura de estas aplicaciones.
7. Los puntos finales también juegan un papel. La mayoría de los usuarios acceden a la nube a través de los navegadores web, por lo que la implementación de herramientas de seguridad para clientes sólidas y garantizar que los navegadores estén actualizados y protegidos de las vulnerabilidades del navegador es un componente crucial de la seguridad en la nube. Para proteger completamente sus dispositivos de usuario final, utilice seguridad de punto final avanzada, como soluciones de firewall, particularmente si usa modelos IaaS o PaaS.
8. Mira al futuro. Las nuevas aplicaciones en la nube se conectan con frecuencia y el riesgo de los servicios en la nube evoluciona rápidamente, lo que hace que las políticas manuales de seguridad en la nube sean difíciles de crear y mantener actualizadas. Si bien no puede predecir todos los servicios en la nube a los que se accederá, puede actualizar automáticamente las políticas de acceso web con información sobre el perfil de riesgo de un servicio en la nube para bloquear el acceso o presentar un mensaje de advertencia. Realice esto mediante la integración de la remediación de circuito cerrado (que aplica políticas basadas en una calificación de riesgo de todo el servicio o atributos de servicio en la nube distintos) con su puerta de enlace web o firewall seguro. El sistema actualizará y aplicará automáticamente las políticas sin interrumpir el entorno existente.
9. Protéjase contra usuarios descuidados y maliciosos. Con organizaciones que experimentan un promedio de 14.8 incidentes de amenazas internas por mes, y 94.3 por ciento experimentan un promedio de al menos uno por mes, no es cuestión de Si te encontrarás con este tipo de amenaza; es un asunto de cuando. Las amenazas de esta naturaleza incluyen tanto la exposición no intencional, como la difusión accidental de un documento que contiene datos confidenciales, como el verdadero comportamiento malicioso, como que un vendedor descargue su lista de contactos completa antes de partir para unirse a un competidor. Los empleados descuidados y los atacantes externos pueden exhibir un comportamiento que sugiere un uso malicioso de los datos en la nube. Las soluciones que aprovechan tanto el aprendizaje automático como el análisis de comportamiento pueden monitorear las anomalías y mitigar la pérdida de datos tanto internos como externos.
10. Confianza. Pero verificar. Se debe requerir una verificación adicional para cualquier persona que use un nuevo dispositivo para acceder a datos confidenciales en la nube. Una sugerencia es requerir automáticamente la autenticación de dos factores para cualquier escenario de acceso a la nube de alto riesgo. Las soluciones de seguridad en la nube especializadas pueden introducir el requisito de que los usuarios se autentiquen con un factor de identidad adicional en tiempo real, aprovechando los proveedores de identidad existentes y los factores de identidad (como un token duro, un token suave de teléfono móvil o un mensaje de texto) que ya son familiares para los usuarios finales .

Desarrollar asociaciones sólidas con proveedores de reputación en la nube

11. El cumplimiento normativo sigue siendo clave. Independientemente de cuántas funciones empresariales esenciales se transfieran a la nube, una empresa nunca puede externalizar la responsabilidad del cumplimiento. Ya sea que deba cumplir con la Ley de Privacidad del Consumidor de California, PCI DSS, GDPR, HIPAA u otras políticas regulatorias, deberá elegir una plataforma de arquitectura en la nube que le permita cumplir con los estándares regulatorios que se aplican a su industria. A partir de ahí, deberá comprender qué aspectos del cumplimiento se encargará su proveedor y cuáles quedarán bajo su competencia. Si bien muchos proveedores de servicios en la nube están certificados para una miríada de regulaciones gubernamentales y de la industria, todavía es su responsabilidad crear aplicaciones y servicios compatibles en la nube y mantener ese cumplimiento en el futuro. Es importante tener en cuenta que las obligaciones contractuales anteriores o las barreras legales pueden prohibir el uso de servicios en la nube por el hecho de que hacerlo constituye renunciar al control de esos datos.
12. Pero el cumplimiento de la marca también es importante. Pasar a la nube no tiene que significar sacrificar su estrategia de marca. Desarrolle un plan integral para administrar identidades y autorizaciones con servicios en la nube. Los servicios de software que cumplen con SAML, OpenID u otros estándares de federación le permiten extender sus herramientas de administración de identidad corporativa a la nube.
13. Busque proveedores confiables. Los proveedores de servicios en la nube comprometidos con la rendición de cuentas, la transparencia y el cumplimiento de las normas establecidas generalmente mostrarán certificaciones como SAS 70 Tipo II o ISO 27001. Los proveedores de servicios en la nube deben hacer fácilmente accesible la documentación y los informes, como los resultados de auditoría y las certificaciones, con detalles relevantes para proceso de evaluacion. Las auditorías deben realizarse de forma independiente y basarse en los estándares existentes. Es responsabilidad del proveedor de la nube mantener continuamente las certificaciones y notificar a los clientes sobre cualquier cambio en el estado, pero es responsabilidad del cliente comprender el alcance de los estándares utilizados; algunos estándares ampliamente utilizados no evalúan los controles de seguridad, y algunas firmas de auditoría y Los auditores son más confiables que otros.
14. ¿Cómo te están protegiendo? Ningún proveedor de servicios en la nube ofrece un 100 por ciento de seguridad. En los últimos años, muchos CSP de alto perfil han sido blanco de hackers, incluidos AWS, Azure, Google Drive, Apple iCloud, Dropbox y otros. Es importante examinar las estrategias de protección de datos y la arquitectura de múltiples inquilinos del proveedor, si es relevante; si el hardware o el sistema operativo del proveedor se ven comprometidos, todo lo alojado dentro de ellos está automáticamente en riesgo. Por esa razón, es importante usar herramientas de seguridad y examinar auditorías previas para encontrar posibles brechas de seguridad (y si el proveedor usa sus propios proveedores externos, las mejores prácticas de seguridad en la nube sugieren que también examine sus certificaciones y auditorías). podrá determinar qué problemas de seguridad deben abordarse de su parte. Por ejemplo, menos de 1 de cada 10 proveedores encriptan los datos almacenados en reposo, y aún menos admiten la capacidad de un cliente de encriptar datos usando sus propias claves de encriptación.¹ Encontrar proveedores que ofrezcan una protección integral, así como la capacidad de los usuarios de cerrar cualquier brecha, es crucial para mantener una sólida postura de seguridad en la nube.
15. Investigue los contratos de proveedores de la nube y los SLA cuidadosamente. El contrato de servicios en la nube es su única garantía de servicio, y su recurso principal en caso de que algo salga mal, por lo que es esencial revisar y comprender completamente todos los términos y condiciones de su acuerdo, incluidos los anexos, cronogramas y apéndices. Por ejemplo, un contrato puede marcar la diferencia entre una empresa que toma Responsabilidad para sus datos y una empresa que toma propiedad de tu información. (Solo el 37.3% de los proveedores especifican que los datos del cliente son propiedad del cliente. El resto no especifica legalmente quién es el propietario de los datos, crea un área gris legal, o, más notoriamente, reclama la propiedad de todos los datos cargados.¹) ¿Ofrece el servicio visibilidad de eventos y respuestas de seguridad? ¿Está dispuesto a proporcionar herramientas de monitoreo o ganchos en sus herramientas de monitoreo corporativo? ¿Proporciona informes mensuales sobre eventos de seguridad y respuestas? ¿Y qué sucede con sus datos si finaliza el servicio? (Tenga en cuenta que solo el 13.3 por ciento de los proveedores de la nube eliminan los datos del usuario inmediatamente después de la finalización de la cuenta. El resto conserva los datos por hasta un año, y algunos especifican que tienen el derecho de mantenerlos indefinidamente). Si considera que parte del contrato es objetable , puede intentar negociar, pero en el caso de que le digan que ciertos términos no son negociables, depende de usted determinar si el riesgo presentado al aceptar los términos tal como es es aceptable para su negocio. De lo contrario, deberá encontrar medios alternativos para administrar el riesgo, como cifrado o monitoreo, o buscar otro proveedor.
16. ¿Qué ocurre si algo va mal? Dado que no hay dos proveedores de servicios en la nube que ofrezcan el mismo conjunto de controles de seguridad, y una vez más, ningún proveedor de la nube ofrece una seguridad del 100 por ciento, desarrollar un plan de Respuesta a Incidentes (IR) es crítico. Asegúrese de que el proveedor lo incluya y lo considere un socio en la creación de dichos planes. Establezca vías de comunicación, roles y responsabilidades con respecto a un incidente, y revise la respuesta y las entregas con anticipación. Los SLA deben detallar los detalles de los datos que proporcionará el proveedor de la nube en el caso de un incidente, cómo se manejarán los datos durante los incidentes para mantener la disponibilidad y garantizar el soporte necesario para ejecutar eficazmente el plan de IR empresarial en cada etapa. Si bien el monitoreo continuo ofrecerá la mejor oportunidad de detección temprana, las pruebas a gran escala deben realizarse al menos una vez al año, con pruebas adicionales que coincidan con cambios importantes en la arquitectura.
17. Proteja sus entornos IaaS. Al utilizar entornos IaaS como AWS o Azure, usted es responsable de la seguridad de los sistemas operativos, las aplicaciones y el tráfico de red. La tecnología avanzada antimalware se debe aplicar al sistema operativo y a la red virtual para proteger su infraestructura. Implemente la lista blanca de aplicaciones y la prevención de explotación de memoria para cargas de trabajo de propósito único y protección basada en aprendizaje automático para almacenes de archivos y cargas de trabajo de propósito general.
18. Neutralice y elimine el malware de la nube.El malware puede infectar cargas de trabajo en la nube a través de carpetas compartidas que se sincronizan automáticamente con los servicios de almacenamiento en la nube, propagando el malware de un dispositivo de usuario infectado al dispositivo de otro usuario. Use un programa de solución de seguridad en la nube para escanear los archivos que ha almacenado en la nube para evitar malware, ransomware o ataques de robo de datos. Si se detecta malware en un host de carga de trabajo o en una aplicación en la nube, se puede poner en cuarentena o eliminar, protegiendo los datos confidenciales y evitando la corrupción de datos por ransomware.
19. Audite sus configuraciones de IaaS regularmente. Las muchas configuraciones críticas en entornos IaaS como AWS o Azure pueden crear debilidades explotables si están mal configuradas. Las organizaciones tienen, en promedio, al menos 14 instancias de IaaS mal configuradas que se ejecutan en un momento dado, lo que resulta en un promedio de casi 2,300 incidentes de configuración incorrecta por mes. Peor aún, más de 1 de cada 20 cubos AWS S3 en uso están mal configurados para ser legibles públicamente.¹ Para evitar tal potencial de pérdida de datos, deberá auditar sus configuraciones para la gestión de identidad y acceso, la configuración de red y el cifrado. McAfee ofrece un Auditoría gratuita en la nube para ayudarlo a comenzar.

1. Informe de adopción y riesgo de la nube de McAfee 2019