Los 5 principales principios de seguridad en la nube de NCSC para el cumplimiento

Los 5 principales principios de seguridad en la nube de NCSC para el cumplimiento

Hay muchos factores importantes a considerar al elegir un proveedor de nube para sus casos de uso de la nube. Para las organizaciones en industrias fuertemente reguladas, el cumplimiento de las regulaciones relevantes es una de las cosas más importantes en las que pensar. Ya sea que esté planeando una única carga de trabajo en la nube o una configuración híbrida de múltiples nubes, es imperativo mantener el cumplimiento de los datos confidenciales en la nube.

Los 14 principios de seguridad en la nube publicados por la Centro Nacional de Seguridad Cibernética (NCSC) brinda orientación a las organizaciones en el Reino Unido al momento de evaluar a los proveedores de la nube. Este artículo se centra en los cinco principios de seguridad principales a considerar desde una perspectiva de cumplimiento para ayudar a su empresa a elegir un proveedor de nube adecuado.

Principio 1: Protección de datos en tránsito

Las infraestructuras de TI comerciales modernas son complejas y los datos se mueven regularmente entre diferentes a través de la red. Es fundamental proteger los datos confidenciales que pertenecen a sus clientes y empleados a medida que pasan de las aplicaciones/dispositivos comerciales a la nube. También es imperativo que su proveedor de nube proteja los datos en tránsito dentro de la nube, como cuando los datos se replican en una región diferente para garantizar una alta disponibilidad.

Algunas cosas cruciales a tener en cuenta y garantizar el cumplimiento en el contexto de los datos en tránsito son:

  • Su proveedor de nube aplica el cifrado, lo que evita que terceros lean datos confidenciales.
  • Su proveedor de nube utiliza conexiones de fibra óptica para conectar centros de datos de forma privada.
  • El proveedor utiliza una versión reciente de TLS para proporcionar autenticación, integridad y cifrado para los datos en tránsito.

Principio 2: Protección de Activos y Resiliencia

Este principio establece que los proveedores de servicios en la nube deben proteger los datos de su empresa contra la manipulación física, la pérdida o el daño. En el contexto del cumplimiento, un aspecto importante de este principio es la necesidad de saber dónde se almacenan, procesan y administran sus datos.

Diferentes regulaciones tienen diferentes requisitos sobre dónde se pueden almacenar los datos protegidos. Por ejemplo, algunas regulaciones estipulan que los datos solo pueden transferirse a empresas con niveles suficientes de protección en el procesamiento de datos personales. Si su empresa opta por un proveedor de la nube que no proporciona transparencia sobre la ubicación de los datos, podría terminar incumpliendo las normas sin saberlo.

Principio 3: Separación entre Clientes

Lo último que quiere su empresa es utilizar un servicio de nube pública solo para descubrir que un pirata informático malicioso accedió a sus datos confidenciales al comprometer primero a otro cliente. Este tipo de escenario de incumplimiento preocupante puede ocurrir cuando no hay una separación suficiente entre los diferentes clientes de un servicio en la nube.

Otra situación plausible es cuando un competidor busca activamente explotar sus datos. El competidor puede saber que usa el mismo servicio en la nube y que el proveedor no separa adecuadamente a los diferentes clientes.

Antes de elegir un proveedor de servicios, la diligencia debida es fundamental en términos de tener la confianza de que sus datos están separados de los datos de otros clientes. Esta confianza puede provenir de un proveedor que puede mostrar los resultados de una prueba de penetración independiente en sus servicios. Para mayor confianza, podría valer la pena optar por uno de los grandes nombres en lugar de elegir un proveedor de servicios en la nube nuevo y no probado.

Principio 10: Identidad y Autenticación

Verificar que los usuarios sean quienes dicen ser es esencial para fines de cumplimiento. Cuando cualquier persona en su empresa con acceso a la nube intente usar la nube, debe haber una autenticación sólida y controles de acceso implementados. Busque las siguientes características de autenticación como mínimo:

  • Autenticación multifactor para que los usuarios del servicio no puedan simplemente iniciar sesión con un par de nombre de usuario y contraseña.
  • La opción de utilizar conexiones de red privada para acceder al servicio en la nube.
  • La capacidad de limitar la vida útil de las sesiones de inicio de sesión.
  • El uso de bloqueo o limitación de cuentas donde se detectan intentos de inicio de sesión por fuerza bruta.

Principio 14: Uso Seguro del Servicio por parte del Cliente

Este principio se trata menos del proveedor y más de cómo su empresa utiliza cualquier servicio en la nube. Su proveedor de servicios elegido puede tener una fuerte postura de seguridad de la información, pero el mal uso del servicio en la nube por parte de un empleado puede conducir fácilmente a violaciones de datos y sanciones por incumplimiento.

El error humano sigue siendo una causa asombrosamente frecuente de violaciones de datos. Uno reporte descubrió que el 88 por ciento de los incidentes de violación de datos surgieron de errores de los empleados. Para combatir estos riesgos y garantizar el cumplimiento, las siguientes prácticas deberían ayudar:

  • Cambie la cultura de la empresa a una que priorice la seguridad con una conciencia continua de ciberseguridad.
  • Comunique a los empleados que tienen la responsabilidad de utilizar los servicios en la nube de forma segura.
  • Educar a todos sobre cómo usar los servicios en la nube de manera segura sin comprometer el cumplimiento.
  • Detecte errores de configuración en la nube mediante una solución de gestión de configuración como Configuration Manager. Las configuraciones incorrectas son una causa común de filtraciones de datos en la nube.

Pensamientos finales

Las empresas de todos los tamaños deben cumplir con un número creciente de regulaciones implementadas para proteger la información digital confidencial. Si planea mudarse a la nube, considere detenidamente los principios de seguridad en la nube del NCSC para garantizar la protección contra las altas sanciones asociadas con las infracciones de cumplimiento.

Y para combatir la solución de gestión de configuración. El Administrador de configuración de HCiberSegurity puede ayudarlo a detectar errores de configuración en entornos de múltiples nubes.

Publicaciones Similares