¿Poca experiencia en la nube? 5 recomendaciones para contratar servicios

¿Poca experiencia en la nube? 5 recomendaciones para contratar servicios

¿Poca experiencia en la nube? 5 recomendaciones para contratar servicios

No ponga en riesgo sus datos por no saber qué es fundamental en los servicios cloud.

“¿Qué tienen en común Apple, Amazon y Microsoft?, la respuesta es que estos tres gigantes de la tecnología, considerados como los más importantes entre los proveedores de nube para computadoras, han sufrido la vergüenza de haber sido hackeados”, asegura Martin Hoz, Vicepresidente de Ingeniería para Latinoamérica y el Caribe de Fortinet.

Y esta situación asombra a usuarios y organizaciones ya que al pensar en ciberseguridad se da por hecho que las grandes compañías de este sector no tienen problemas de este tipo, pero eso es un error.

El incidente ‘Celebgate’ de Apple, puso al descubierto fotos personales de celebridades alojadas en iCloud y generó una alarma enorme entre los usuarios de la manzana el año pasado.

Así mismo, el proveedor de tecnología del Reino Unido, Code Spaces, fue obligado a salirse del negocio después de que algunos hackers trataron de chantajearlo y, al no lograrlo, borraron datos cruciales de su servicio Web de Amazon almacenado en la nube. Y en 2013, un certificado SSL que había expirado en el servicio de nube de Microsoft Azure provocó la caída de Xbox Live y de otros servicios de almacenamiento.

Entre más se usa la nube los riesgos de seguridad aumentan, de hecho, según el informe de Alert Logic, al comparar los resultados de 2015 con 2014, se observó que los ataques alrededor del mundo han aumentado un 45%. De igual manera Forrester Research, asegura que en los próximos cinco años las organizaciones invertirán cerca de $2 billones de dólares para ajustar sus defensas en la nube.

Los usuarios de la nube que no tienen tanta experiencia pueden ser los de mayor riesgo, ya que no están familiarizados con esta nueva tecnología, ni con la una nueva forma de administrar los perfiles, datos y configuraciones de seguridad.

Ante esto, Fortinet recomienda seguir 5 pasos de seguridad en la nube:

1. Conocer las áreas de la nube

Existen tres segmentos principales de cualquier nube: proveedor de la nube, proveedor de servicios de red y la empresa.

Dado que la nube debe ser tratada como una extensión del centro de datos de la empresa, antes de seleccionar un proveedor de nube debe preguntar a los candidatos qué servicio de seguridad ofrecen y con qué otros proveedores de seguridad trabajan. La nube es dinámica y requiere actualizaciones constantes de su arquitectura de seguridad para mantener a raya las amenazas recientes.

También preguntar por las fronteras en el modelo de seguridad compartida que viene con el servicio de nube y, por último, establecer las responsabilidades del proveedor de nube y de la organización ante los posibles riesgos.

2. Nuevas apps, nuevas fortificaciones

¿Está seguro de trasladar una aplicación a la nube? Antes de hacerlo es necesario considerar el incluir nuevos mecanismos de seguridad alrededor de la autenticación de la aplicación y de los procesos de log-in.

Para proteger el acceso a las aplicaciones en nube, se debe tener un esquema granular de acceso a la información, esto se puede hacer bloqueando los privilegios de acceso de acuerdo al perfil de cada trabajador, posiciones jerárquicas y/o diferentes proyectos.

El robo de cuentas puede ser algo usual, pero esta antigua brecha ha sido señalada por la Alianza de Seguridad en la Nube como una de las amenazas permanentes para los usuarios.

Para fortalecer su proceso de acceso, implementar una autenticación de dos factores, comprobación de la postura y usar contraseñas de único uso, pueden ser algunas soluciones, incluso hasta se puede solicitar al usuario cambiar su ID cada vez que entre al sistema.

3. Adoptar la encriptación

Encriptar la información es uno de los mejores recursos en la nube y no debería ser negociable cuando se trata de transferir archivos y correos electrónicos. Aunque esta acción no previene atentados de hacking o robo de datos, puede proteger al negocio de fuertes multas regulatorias cuando un ataque ocurra.

Los proveedores de la nube deben informar sobre cómo encriptar los datos cuando están en descanso, en uso o en movimiento. Para saber qué tipo de información debe ser encriptada es bueno conocer dónde está alojada, ya sea en servidores del proveedor de nube, servidores de otras compañías, laptops de empleados, computadoras de oficina o memorias USB.

4. Luchar con lo virtual

Moverse dentro de la nube permite a los negocios cosechar los beneficios de la virtualización, pero un ambiente virtual presenta retos a la protección de datos debido a la administración de seguridad y el tráfico en la esfera de alquiler múltiple y máquinas virtuales.

Los dispositivos físicos de seguridad tradicionales no están diseñados para manejar la información que está en la nube, es por esto que los dispositivos de seguridad virtual son necesarios, ya que aseguran el tráfico que fluye de una máquina virtual a otra.

Es así como los dispositivos virtuales le permiten al negocio ejercer un control de seguridad más preciso sobre su información en la nube. Al entrar a la nube tenga conocimiento completo de cómo se salvaguarda el ambiente virtual y qué tipo de dispositivos virtuales de seguridad se están usando.

5. Conozca todo sobre Shadow TI

Es muy común conocer reportes que señalan cómo el uso no autorizado de apps y servicios de nube o Shadow TI, están creciendo entre las empresas. No tener políticas de control genera amenazas a la seguridad y un reto de gobierno de la información.

Por ejemplo, si los empleados usan sus smartphones para abrir un archivo, el teléfono crea un tipo de copia del archivo, el cual puede ser enviado a un destino de almacenamiento en línea no aprobado cuando el teléfono realice su copia de seguridad automática, entonces información de la corporación habrá sido transferida a una ubicación no segura.

Detener el Shadow TI es poco probable, es más efectivo educar a los usuarios en el uso de la tecnología para manejar esa situación. La encriptación, el monitoreo de la red y las herramientas para la administración de seguridad pueden ayudar a defender las apps de nube contra los riesgos del Shadow TI.

e-max.it: your social media marketing partner
Read 5001 times
Corporación Colombia Digital

@colombiadigital

La Corporación Colombia Digital (CCD) es una organización dedicada a promover el uso y apropiación de las tecnologías de información y las comunicaciones, en beneficio del desarrollo social y económico.