Construyendo una nube más segura: 5 estrategias para 2022
La adopción de la nube sigue aumentando. Más de dos tercios de las pequeñas y medianas empresas tienen la intención de aumentar el uso de las tecnologías de la nube en los próximos años. Si bien la nube viene con muchos beneficios de seguridad, también conlleva preocupaciones únicas.
A medida que la nube se vuelve cada vez más central para las operaciones comerciales, la seguridad en la nube debe ser una prioridad. Las empresas deben garantizar esta seguridad desde cero, no agregarla más tarde como una ocurrencia tardía. Estas cinco estrategias pueden ayudar a construir una nube más segura para 2022.
1. Revise los datos y las configuraciones de la nube con regularidad
Incluso con un diseño de nube seguro, las empresas nunca deben asumir que están a salvo. La escalabilidad y facilidad de uso de la nube hace que sea fácil olvidar lo que los usuarios almacenan en ella o cómo puede cambiar a medida que se expande. Esto puede conducir a vulnerabilidades sin parchear.
Las empresas pueden abordar estas vulnerabilidades revisando periódicamente su almacenamiento y arquitectura en la nube. Si encuentran archivos o sistemas que ya no usan, deben eliminarlos o moverlos a otro lugar. Minimizar estos datos mitigará posibles infracciones y facilitará la gestión de la nube.
De manera similar, las empresas deben verificar regularmente sus configuraciones de seguridad en la nube. La mala configuración es el causa número uno de brechas en la nube, por lo que es importante nunca asumir que un sistema funciona como debería. Las pruebas periódicas de configuración incorrecta pueden revelar y ayudar a corregir estas vulnerabilidades.
2. Piense en las consideraciones físicas
Las nubes deben ser seguras por diseño, por lo que las empresas deben considerar la seguridad al mapear sus sistemas y construir centros de datos. Eso incluye consideraciones físicas como la refrigeración adecuada y la redundancia de almacenamiento para garantizar el tiempo de actividad.
Al diseñar el lado del software de la nube, las empresas deben reducir las dependencias, el acceso y los puntos finales tanto como sea posible. La arquitectura de confianza cero es la solución ideal para el diseño seguro de la nube. Una cuarta parte de los profesionales de seguridad del gobierno dice que sus agencias ya han implementado seguridad de confianza cero y que las empresas privadas deberían hacer lo mismo.
Es importante asegurarse de que todas las partes también comprendan estas consideraciones. Como contexto, más del 85% de los diseños de centros de datos sufren una ejecución incorrecta durante la construcción. Si las empresas utilizan un proveedor de nube externo, deben especificar sus requisitos de seguridad en sus acuerdos de nivel de servicio (SLA).
3. Enfatice la IAM
La gestión de identidades y accesos (IAM) es otro aspecto crucial de la seguridad en la nube. Los profesionales de seguridad a menudo mencionan que los usuarios son la vulnerabilidad más importante de un sistema y que IAM es la clave para mitigar estos riesgos.
Las políticas de IAM deben seguir el principio de privilegio mínimo. Cada usuario solo debe tener acceso a lo que necesita para sus roles y nada más para mitigar el impacto potencial de una infracción. Dado que los roles y las responsabilidades pueden cambiar, también es importante revisar las políticas de IAM periódicamente. Es posible que los administradores de red tengan que eliminar algunos permisos que un usuario ya no necesita o otorgar más acceso a otra persona.
IAM también debería aplicarse a dispositivos y aplicaciones en la nube. Si un punto final o servicio tiene acceso a más de lo que necesita, los atacantes podrían infiltrarse y causar un daño generalizado.
4. Adopte la automatización
Los entornos de nube son dinámicos. Como tal, su seguridad requiere actualizaciones frecuentes. El monitoreo continuo también es esencial para la seguridad en la nube en 2022, dada la probabilidad de ataques de día cero o vulnerabilidades sin parches. Las empresas pueden dar cuenta de estas dos necesidades con la automatización.
La automatización reduce los errores y los recursos al eliminar la carga de los equipos humanos de TI. La mayoría de las empresas no tienen el presupuesto o los recursos para habilitar el monitoreo continuo impulsado por humanos, e incluso si pudieran, los errores humanos son comunes. Las herramientas automatizadas pueden monitorear entornos en la nube mucho más rápido y con mayor precisión, llenando los vacíos.
Las empresas también deben usar sistemas automatizados para implementar actualizaciones en sus entornos de nube. De esa manera, evitan pasar por alto cualquier parte del sistema y pueden actualizarlo más rápido. La automatización también puede resultar beneficiosa para mantenerse al día con los cambiantes requisitos normativos.
5. Capacite a los usuarios a fondo
Independientemente de cuán fuerte sea la defensa de un sistema en la nube, el error del usuario aún puede poner en peligro la seguridad. Los ciberdelincuentes también lo saben, como indica el reciente aumento de los ataques de phishing. Todos los usuarios de la nube deben recibir capacitación exhaustiva y repetida para evitar errores críticos.
La capacitación en seguridad en la nube debe variar entre usuarios con diferentes niveles de acceso. La capacitación para todos los empleados debe incluir pasos fundamentales como la gestión segura de contraseñas y la prevención del phishing. Los usuarios con acceso de nivel superior deben recibir capacitación adicional en seguridad cibernética y evaluaciones más frecuentes.
Las evaluaciones son una parte importante, pero que se pasa por alto fácilmente, de la capacitación en seguridad en la nube. Evaluar a los usuarios después de enseñarles los pasos correctos puede revelar si la capacitación debe cambiar para ser más efectiva o enfocarse en diferentes temas. Así como las pruebas de penetración revelan vulnerabilidades técnicas, los ataques simulados y las simulaciones de phishing pueden revelar vulnerabilidades humanas que deben abordarse.
Una mejor seguridad en la nube es crucial en 2022
La nube es una herramienta indispensable para las empresas en 2022. En consecuencia, las empresas no pueden pasar por alto la seguridad en la nube. Si las organizaciones no construyen una nube más segura, podrían poner en riesgo todas sus operaciones.
Estos cinco pasos son más que simples recomendaciones. Se están convirtiendo en pasos críticos para las empresas que esperan permanecer operativas y seguras este año.