La seguridad informática en la Nube consiste en un conjunto de recursos, políticas, procedimientos y tecnologías que trabajan en conjunto para proteger los sistemas, los datos y la infraestructura basados en la Nube. Estas medidas de seguridad están configuradas para respaldar el cumplimiento normativo y proteger la privacidad de los clientes y las empresas, así como establecer reglas de autenticación para usuarios y dispositivos individuales.
Desde la autenticación del acceso hasta el filtrado del tráfico, la seguridad informática se puede configurar según las necesidades y recursos exactos de la empresa. La forma en que se brinda la seguridad dependerá del proveedor de la Nube individual o de las soluciones de seguridad existentes en la Nube.
Los servicios de Cloud Computing ofrecen lo último en confiabilidad y con las medidas correctas de seguridad, los usuarios pueden acceder de forma segura a los datos y las aplicaciones dentro de la Nube, sin importar dónde se encuentren o qué dispositivo estén utilizando.
Un punto primordial en la seguridad informática son los centros de datos que hospedan estas Nubes. Es una buena práctica conocer las certificaciones regulatorias de seguridad que cumple el proveedor como: CSA, FedRAMP, FISMA, HIPAA, IRAP, ISO, 27001, ISO 2701,7 ISO 27018, MPAA.
A nivel usuario, será indispensable conocer qué herramientas de seguridad están disponibles, un ejemplo son: Active Directory como servicio, Manejo de certificados, Módulo de seguridad de Hardware, Administración de identidad, Gestión de llaves, Detección de amenazas Web, Firewall.
Ejemplos y usos prácticos
Utilizar un servicio en la Nube que cifra
El primer paso en la defensa contra los ataques es utilizar un servicio en la Nube que cifra los archivos tanto en reposo del destino final como en reposo local. El cifrado garantiza que los proveedores de servicios y sus administradores de servicios, así como terceros, no tengan acceso a su información privada.
Leer los acuerdos de usuario
Nunca registrarse en un servicio de Cloud Computing sin leer el acuerdo del usuario por completo. Incluye información vital que detalla cómo el servicio protege su información y si usted les da permiso para que usen o vendan su información de alguna manera al registrarse.
Cada vez que su proveedor de servicios actualice sus políticas de privacidad, le notificará por correo electrónico, mensaje de texto o una alerta cuando inicie sesión. Siempre lea estas notificaciones para asegurarse de que los cambios no afecten negativamente su información.
Configuración de privacidad
Se deben configurar los ajustes de privacidad para asegurarse de no compartir su información privada a través de las aplicaciones que se conectan a su proveedor de servicios.
También, se debe determinar cuánto tiempo el servicio almacena los datos y qué tipos de información puede extraer de los dispositivos o aplicaciones. Después de la configuración inicial de su configuración de privacidad, verifique y configure cada pocas semanas para asegurarse de que permanezcan seguros.
Use contraseñas seguras
Una contraseña segura es esencial para cada cuenta que tenga, pero especialmente cuando se trata de proteger cuentas que contienen información privada. Más del 75 por ciento de los ataques se deben a contraseñas débiles. Nunca usar un password de menos de ocho caracteres, se debe crear uno con 15 caracteres o más para la mejor protección.
Evitar el uso de información de identificación como su nombre, fecha de nacimiento, nombre de la empresa o los nombres de las personas o mascotas cercanas. Nunca cree una contraseña únicamente con letras. Asegúrese de utilizar letras mayúsculas y minúsculas, así como números y símbolos. Finalmente, actualice sus contraseñas regularmente y evite usar la misma para varias cuentas.
Usar autenticación de dos factores
Cuando se le proporciona la opción, use siempre el recurso de autenticación de dos factores. Esto significa que cualquier persona que inicie sesión en su cuenta necesitará información además de su contraseña.
Los métodos comunes de autenticación incluyen responder una pregunta secreta, proporcionar un número PIN personal o ingresar un código que el proveedor de la app le envía por correo electrónico o mensajes de texto. También puede optar por descargar una aplicación de autenticación. No todas las cuentas le pedirán automáticamente que configure un identificador secundario, así que asegúrese de verificar su configuración para ver si la opción está disponible.
Segmentación de las responsabilidades de seguridad en la Nube
La mayoría de los proveedores de la Nube informática intentan crear un ambiente seguro para los clientes, su modelo de negocio depende de prevenir infracciones y mantener la confianza del cliente. Los proveedores pueden intentar evitar problemas de seguridad informática con el servicio que brindan, pero no pueden controlar cómo los clientes usan el servicio, qué datos le agregan y quién tiene acceso.
Los clientes pueden debilitar la ciberseguridad en la nube con su configuración, datos confidenciales y políticas de acceso. En cada tipo de servicio de nube, el proveedor y el cliente comparten diferentes niveles de responsabilidad por la seguridad.
Por tipo de servicio, estos son:
- Software como servicio (SaaS): los clientes son responsables de proteger sus datos y el acceso de los usuarios.
- Plataforma como servicio (PaaS): los clientes son responsables de proteger sus datos, el acceso de los usuarios y las aplicaciones.
- Infraestructura como servicio (IaaS): los clientes son responsables de proteger sus datos, acceso de usuarios, aplicaciones, sistemas operativos y tráfico de red virtual.
Dentro de todos los tipos de servicios de Nube pública, los clientes son responsables de proteger sus datos y controlar quién puede acceder a esos datos. La seguridad informática de los datos en la computación en la nube es fundamental para adoptar y obtener con éxito los beneficios de la Nube.
Las empresas que consideran ofertas SaaS populares como Microsoft Office 365 o Salesforce deben planificar cómo cumplirán con su responsabilidad compartida de proteger los datos en la Nube.
Aquellas empresas que consideran las ofertas de IaaS como Google Cloud Platform (GCP), Amazon Web Services (AWS) o Microsoft Azure necesitan un plan más integral que comience con datos, pero que también cubra la seguridad informática de las aplicaciones en la Nube, los sistemas operativos y el tráfico de red virtual, cada uno de los cuales también puede presentar problemas potenciales de seguridad de datos.
Recuerde, contar con un aliado de tecnología con la experiencia y el conocimiento necesario, le ayudará a lograr sus objetivos comerciales, lo invitamos a visitar https://www.kionetworks.com/es-mx/
Fuentes:
Ali, Mazhar & Khan, Samee & Vasilakos, Athanasios. ResearchGate. (2015). Security in Cloud Computing: Opportunities and Challenges https://www.researchgate.net/publication/272373406_Security_in_Cloud_Computing_Opportunities_and_Challenges/link/5a0130f30f7e9b62a158681f/download consultado mayo, 2020.
.png?width=27&height=27&name=Threads_(app).png){kind=small}
