Seguridad negocio

Al eliminar estos errores y puntos ciegos, su organización puede dar grandes pasos hacia la optimización del uso de la nube sin exponerse a riesgos cibernéticos.

Phil Muncaster

16 de enero 2024
 • 
,
5 minuto. leer

La computación en la nube es un componente esencial del panorama digital actual. Hoy en día es más probable que la infraestructura, las plataformas y el software de TI se entreguen como un servicio (de ahí las siglas IaaS, PaaS y SaaS, respectivamente) que en una configuración local tradicional. Y esto atrae más que a la mayoría a las pequeñas y medianas empresas (PYMES).

La nube brinda la oportunidad de nivelar el campo de juego con rivales más grandes, lo que permite una mayor agilidad empresarial y una rápida escalabilidad sin arruinarse. Quizás por eso el 53% de las PYMES globales encuestadas en un su informe más reciente dicen que gastan más de 1.2 millones de dólares al año en la nube; frente al 38% del año pasado.

Sin embargo, la transformación digital también conlleva riesgos. La seguridad (72%) y el cumplimiento (71%) son el segundo y tercer desafío de la nube más citado por las PYMES encuestadas. El primer paso para abordar estos desafíos es comprender los principales errores que cometen las empresas más pequeñas con sus implementaciones en la nube.

Los siete principales errores de seguridad en la nube que cometen las PYMES

Seamos claros: los siguientes no son sólo errores que cometen las PYMES en la nube. Incluso las empresas más grandes y con mejores recursos a veces son culpables de olvidar lo básico. Pero al eliminar estos puntos ciegos, su organización puede dar grandes pasos hacia la optimización del uso de la nube, sin exponerse a riesgos financieros o de reputación potencialmente graves.

1. Sin autenticación multifactor (MFA)

Las contraseñas estáticas son intrínsecamente inseguras y no todas las empresas se apegan a una política sólida de creación de contraseñas. Las contraseñas pueden ser robado de varias maneras, como por ejemplo mediante phishing, métodos de fuerza bruta o simplemente adivinados. Es por eso que necesita agregar una capa adicional de autenticación en la parte superior. MFA hará que sea mucho más difícil para los atacantes acceder a las aplicaciones de cuentas SaaS, IaaS o PaaS de sus usuarios, mitigando así el riesgo de ransomware, robo de datos y otros posibles resultados. Otra opción implica cambiar, cuando sea posible, a métodos alternativos de autenticación, como autenticación sin contraseña.

2. Confiar demasiado en el proveedor de la nube (CSP)

Muchos líderes de TI creen que invertir en la nube significa subcontratar todo a un tercero de confianza. Eso es sólo parcialmente cierto. De hecho, hay un modelo de responsabilidad compartida para proteger la nube, dividido entre CSP y cliente. Lo que deba cuidar dependerá del tipo de servicio en la nube (SaaS, IaaS o PaaS) y del CSP. Incluso cuando la mayor parte de la responsabilidad recae en el proveedor (por ejemplo, en SaaS), puede resultar rentable invertir en controles adicionales de terceros.

3. No realizar la copia de seguridad

Según lo anterior, nunca asuma que su proveedor de nube (por ejemplo, para servicios de almacenamiento/intercambio de archivos) lo respalda. Siempre vale la pena planificar para el peor de los casos, que probablemente sea una falla del sistema o un ciberataque. No son sólo los datos perdidos los que afectarán a su organización, sino también el tiempo de inactividad y el impacto en la productividad que podrían seguir a un incidente.

4. No parchear regularmente

Si no aplica el parche, expondrá sus sistemas en la nube a la explotación de vulnerabilidades. Esto, a su vez, podría provocar una infección de malware, filtraciones de datos y más. La gestión de parches es una de las mejores prácticas de seguridad fundamentales que es tan relevante en la nube como en las instalaciones.

5. Mala configuración de la nube

Los CSP son un grupo innovador. Pero el gran volumen de nuevas características y capacidades que lanzan en respuesta a los comentarios de los clientes puede terminar creando un entorno de nube increíblemente complejo para muchas PYMES. Hace que sea mucho más difícil saber qué configuración es la más segura. Los errores comunes incluyen configurar el almacenamiento en la nube para que cualquier tercero pueda acceder a él y no bloquear los puertos abiertos.

6. No monitorear el tráfico en la nube

Un estribillo común es que hoy en día no se trata de “si” sino de “cuándo” se viola su entorno de nube (IaaS/PaaS). Eso hace que la detección y respuesta rápidas sean fundamentales si se quieren detectar las señales desde el principio y contener un ataque antes de que tenga la posibilidad de afectar a la organización. Esto hace que el seguimiento continuo sea imprescindible.

7. No cifrar las joyas de la corona corporativa

Ningún entorno es 100 % a prueba de infracciones. Entonces, ¿qué sucede si una parte malintencionada logra acceder a sus datos internos más confidenciales o a su información personal de empleados/clientes altamente regulada? Al cifrarlo en reposo y en tránsito, se asegurará de que no pueda usarse, incluso si se obtiene.

Cómo lograr la seguridad en la nube correctamente

El primer paso para abordar estos riesgos de seguridad en la nube es comprender dónde residen sus responsabilidades y qué áreas serán manejadas por el CSP. Luego, se trata de tomar una decisión sobre si confía en los controles de seguridad nativos de la nube del CSP o si desea mejorarlos con productos adicionales de terceros. Considera lo siguiente:

• Invierta en soluciones de seguridad de terceros para mejorar la seguridad y la protección de sus aplicaciones de correo electrónico, almacenamiento y colaboración en la nube, además de las características de seguridad integradas en los servicios en la nube ofrecidos por los proveedores de nube líderes en el mundo.
• Agregue herramientas de detección y respuesta extendidas o administradas (XDR/MDR) para impulsar una respuesta rápida a incidentes y la contención/remediación de brechas.
• Desarrollar e implementar un programa continuo de parches basado en riesgos basado en una sólida gestión de activos (es decir, saber qué activos en la nube tiene y luego asegurarse de que estén siempre actualizados)
• Cifre los datos en reposo (a nivel de base de datos) y en tránsito para garantizar que estén protegidos incluso si los delincuentes se apoderan de ellos. Esto también requerirá un descubrimiento y clasificación de datos efectivos y continuos.
• Definir una política clara de control de acceso; exigir contraseñas seguras, MFA, principios de privilegio mínimo y restricciones/listas de permisos basadas en IP para IP específicas
• Considere adoptar un Enfoque de confianza cero, que incorporará muchos de los elementos anteriores (MFA, XDR, cifrado) junto con la segmentación de red y otros controles.

Muchas de las medidas anteriores son las mismas mejores prácticas que uno esperaría implementar en las instalaciones. Y a gran nivel lo son, aunque los detalles serán diferentes. Lo más importante es recordar que la seguridad en la nube no es sólo responsabilidad del proveedor. Tome el control hoy para gestionar mejor el riesgo cibernético.