Los riesgos de la falta de seguridad en la nube

  • Por: Alexis Aguirre.  Director de Seguridad de la Información de Unisys para Latinoamérica.

La adopción de la nube por parte de las empresas latinoamericanas sigue creciendo y, en medio del delicado momento que estamos atravesando, no hay tecnología más útil que ésta para asegurar la continuidad de las operaciones con agilidad y productividad. Además, aquellos que ya vienen utilizando los recursos de la nube saben que generan innovación y, al mismo tiempo, reducen los costos, ya que es posible predecir los gastos que implica cada proyecto.

Bien, cloud es ahora una premisa, un camino sin retorno. Gartner ya llama a la nube «la nueva normalidad de la informática empresarial». En este escenario, la discusión urgente no debería ser sobre la adopción de la nube, sino sobre una mejor comprensión de los cambios fundamentales que se tienen con el uso de la nube. Las empresas tardan en darse cuenta de que, con la nube, la superficie de los ataques de los hackers cambia de lugar.

Por lo tanto, vamos a ir a los puntos prácticos y críticos sobre cómo crear conciencia corporativa para evitar las amenazas a la seguridad de la información en la nube.

  • Tenga claro quién es el responsable de cada parte del proyecto. – Un desafío que viene con la nube es la falta de claridad sobre quién es responsable de qué. El consejo es organizar y unirse a las operaciones de DevSecOps para la integración, implementación y mejora continua después de la migración inicial a la nube.
  • No subestime la complejidad de los entornos de nubes. – Las organizaciones tienden a subestimar las complejidades de los entornos de nubes y su protección. El aumento de la flexibilidad y la potencia de los servicios en la nube se traduce en una mayor complejidad de la gobernanza y las operaciones, lo que aumenta la posibilidad de que se produzcan vulnerabilidades debido a configuraciones incorrectas.

La flexibilidad y la potencia sin precedentes de los microservicios en contenedores y los kubernets también dan lugar a una complejidad adicional, lo que aumenta el número de interfaces que se pueden exponer. El hecho de no comprender o invertir en las herramientas y conocimientos necesarios para gestionar esta complejidad da lugar a configuraciones no adecuadas que facilitan la explotación y fugas de datos.

  • Un nuevo ADN requiere un nuevo proceso de monitoreo. – Algunas organizaciones creen que pueden utilizar las tecnologías de seguridad en entornos de nubes dinámicas. Los enfoques tradicionales simplemente no funcionan porque estamos hablando de nuevo ADN. En la nube, necesita tener un proceso automatizado para proteger su carga de trabajo remota. No se tiene el tiempo, ni el lujo de que alguien monitoree esto diariamente.
  • Crear nuevas políticas, prácticas y procedimientos de seguridad. – La nube ha consolidado las infraestructuras, los sistemas y los recursos informáticos. Ahora las organizaciones deben preparar sus políticas de protección de datos para funcionar cuando no tienen control sobre la infraestructura en la que residen sus datos.
  • Lidiando con los microservicios. – Los proveedores de software ofrecen microservicios en contenedores, que pueden ser aprovechados como componentes por las aplicaciones. Vienen con una variedad de opciones de licencias comerciales y de código abierto, con diferentes niveles de apoyo o sin apoyo.

Algunas licencias de código abierto, como la GPL, pueden hacer que el software sea inadecuado para algunos usos de producción. Las implicaciones legales y de costos de la concesión de licencias de microservicios son un aspecto importante de este nuevo panorama de aplicaciones. Se recomienda considerarlos durante el desarrollo de la aplicación antes de la transición a la producción.

  • La importancia del acceso seguro. – El acceso seguro supone que las aplicaciones, las rutas o los sistemas de comunicación sólo son utilizados por quienes tienen las credenciales adecuadas.

Las relaciones y los límites de confianza deben ser gestionados de acuerdo con los objetivos comerciales y las limitaciones legales. Además de una autenticación robusta que utilice la rotación de credenciales y la autenticación multifactorial.

  • Limite y proteja su superficie de ataque. – La eficacia en la minimización de la superficie de ataque implica limitar el acceso externo e interno (por ejemplo, puertas abiertas) a lo que sea absolutamente necesario. También implica la desactivación de funciones e infraestructura de software innecesarias. Esto reduce el número de elementos que pueden ser comprometidos.

No sólo debe limitarse la superficie de ataque, sino que también debe ser protegida por una estructura automatizada que detecte inteligentemente el tráfico anormal o el comportamiento del software. Esto debería dar lugar a la adopción de medidas apropiadas de cuarentena y notificación basadas en las políticas, limitando así los efectos de las infracciones.

El camino de la nube nos ha guiado hacia el futuro. Si se hace correctamente, puede aportar muchos beneficios a las empresas. Pero no podemos olvidar que la nube y la seguridad deben ir juntas. No es improbable que las empresas corran riesgos de violación de datos, pero las que estén preparadas para arreglar y aislar los ataques en segundos o minutos tendrán más éxito.

 

 

 

MarketCross Company
www.marketcrosscompany.com

 

 

 

AENOR certificación agricultura regenerativa
Congreso Internacional Inclusión y Mejora Educativa 1200
TecnoCard SpA Impresoras de Credenciales

 

 

Síguenos en Google Noticias

Equipo Prensa
Portal Prensa Eventos

Colegio John John Ñuñoa Admisión 2024
Colegio John John Ñuñoa Admisión 2024

Artículo relacionadosMás del autor

Dejar respuesta

Please enter your comment!
Please enter your name here