8 buenas prácticas de seguridad en la nube híbrida
Cada vez más organizaciones ponen en marcha infraestructuras IT mixtas basadas en la combinación de nubes públicas y privadas para obtener los máximos beneficios de ellas. Para estas empresas, la gestión de la seguridad en la nube híbrida se torna un aspecto clave al momento de protegerse de ciberataques y otras amenazas. Los desafíos de la seguridad en la nube híbrida La puesta en marcha de soluciones de nube híbrida acelera la transformación digital de las organizaciones, ofreciendo ventajas como mayor accesibilidad a los recursos, escalabilidad, agilidad y un mayor control de los costos. No obstante, este tipo de entornos presenta algunos retos en términos de seguridad. Compliance Una de las principales preocupaciones de las empresas está relacionada con el cumplimiento de las normativas, especialmente aquellas que tienen que ver con el manejo de la información confidencial. Verificar que los entornos distribuidos están acordes a las normas vigentes, y cumplir las reglas que indican que determinados tipos de datos deben mantenerse en la infraestructura cloud privada o contar con accesos restringidos a determinados perfiles, es uno de los principales retos de seguridad en la nube híbrida. Protección de los datos Encontrar formas de limitar la exposición de los datos a través del cifrado también es un asunto importante en términos de ciberseguridad en modelos cloud híbridos. De acuerdo al uso que se les dé en cada momento, los datos pueden estar en tránsito o en reposo, lo que implica que se deben implementar mecanismos de seguridad en ambos estados. Alcances de la responsabilidad en la cadena de suministro La nube híbrida suele contar con productos y sistemas que pertenecen a diferentes proveedores. Esto implica que es necesario verificar cómo estos partners gestionan sus plataformas y qué procedimientos llevan a cabo. A su vez, la existencia de diferentes actores puede hacer que los límites de roles y responsabilidades se tornen poco claros, lo que genera superposiciones o, en el peor de los casos, vacíos en la cobertura de seguridad. Las empresas deben asegurarse de que los proveedores cumplan con las obligaciones establecidas en los acuerdos a nivel de servicio y diseñar un plan de recuperación ante desastres que proteja sus datos, archivos y aplicaciones. Gestion de incidentes Relacionado con el punto anterior, otro de los desafíos de seguridad en la nube híbrida tiene que ver con la manera en la cual se gestionan los incidentes producidos en la infraestructura del proveedor de soluciones cloud. Las organizaciones deben trabajar con el partner para resolver el problema, a menudo con complicaciones añadidas como, por ejemplo, inconvenientes de privacidad de datos, análisis insuficiente de registros o falta de definición precisa o conjunta de lo que es entendido como incidente. Aplicación de la seguridad Las aplicaciones están expuestas a diferentes amenazas de seguridad. En el mercado existen productos que resuelven diferentes tipos de problemas, como autenticación, supervisión de software y cumplimiento, entre otros. Sin embargo, cuando están distribuidas en un entorno híbrido, las empresas tienen dificultades para tener visibilidad de toda la infraestructura. Por lo tanto, uno de los principales retos es hallar un servicio o plataforma que les permita una supervisión integral, combinando diferentes funciones. ¿Cómo gestionar la seguridad en la nube híbrida? Algunas buenas prácticas Los entornos híbridos no son iguales en todas las organizaciones, ya que dependen de los recursos con los que cuentan las empresas, así como de sus necesidades y procedimientos. No obstante, existen algunas buenas prácticas que pueden aplicarse de manera general. 1. Limitar los privilegios y el acceso autorizado En los entornos cloud híbridos, este punto va más allá de limitar qué usuarios pueden acceder a determinados recursos o servicios, ya que también incluye determinar en qué medida las aplicaciones pueden interactuar entre sí. Si un servicio de la nube pública tiene acceso limitado o restringido a otro de la IT local, se elimina la posibilidad de que usuarios sin autorización o ciberamenazas se cuelen en la infraestructura empresarial. 2. Automatizar la supervisión de las configuraciones de las nubes y los centros de datos Aunque parezca mentira, gran parte de los errores de configuración se originan en equivocaciones de los usuarios. Si estos no son corregidos, aumenta la vulnerabilidad de la infraestructura. Por eso, es importante que las compañías automaticen la auditoría de las configuraciones de los data centers y las nubes, para liberar a los colaboradores de la gestión manual y reducir la probabilidad de errores. 3. Efectuar frecuentemente análisis de vulnerabilidades Las soluciones automatizadas también permiten analizar el estado de la infraestructura y clasificar las vulnerabilidades en función de su perfil de riesgo. De esta manera, se priorizan los problemas más graves, destinando recursos para solucionar aquellos inconvenientes que representan un peligro real. 4. Adoptar un enfoque Zero Trust “Nunca confiar, siempre comprobar” es la premisa máxima del modelo Zero Trust, que consiste en no permitir que programas o usuarios interactúen con recursos de la nube hasta que hayan probado su identidad y demostrado que son confiables. Aplicar este enfoque reduce el riesgo de ataques. 5. Implementar una gestión de panel único Tal como mencionamos, uno de los principales retos de seguridad en la nube híbrida tiene que ver con la existencia de múltiples proveedores que ofrecen supervisión de sus servicios únicamente, lo que dificulta la visibilidad global. Contar con un panel único que centralice toda la actividad de las nubes y permita identificar inconvenientes y amenazas es la mejor forma de gestionar un entorno combinado. 6. Proteger los endpoints Los puntos finales son los eslabones más débiles de la cadena en términos de seguridad. Dado que los datos móviles y aquellos que se conectan a través de la tecnología IoT son los de mayor vulnerabilidad, es clave proteger la información que pasa de la nube a los endpoints y viceversa. 7. Diseñar un plan de recuperación Asimismo, es importante diferenciar el almacenamiento de copia de seguridad del origen de los datos y aplicaciones. De esta forma, se evita tener un único punto de fallo y, en caso de inconvenientes, se agiliza la reparación y
8 buenas prácticas de seguridad en la nube híbrida Read More »