¿Es Segura la Nube? Cómo Garantizar la Seguridad en la Nube

Las aplicaciones en la nube son excelentes para la productividad y son fáciles de usar, pero debemos tener en cuenta los riesgos de seguridad que implica utilizarlas. Bienvenido a la Generación de la Nube. A continuación, cinco pasos para mejorar la protección de su organización.

Paso 1: Hacer un Inventario de las Aplicaciones en la Nube

Cualquier servicio en la nube que procese o almacene datos, incluso un simple conversor de PDF online, cuenta como una aplicación en la nube. Saber cuáles son las aplicaciones en la nube que utilizan sus empleados es un primer paso fundamental con respecto a la seguridad y cumplimiento en la nube. Cada organización subestima la cantidad de aplicaciones en la nube que utiliza.

Una gran organización puede determinarlo por completo a partir de un Broker de Seguridad de Acceso a la Nube (CASB). Las organizaciones de menor tamaño que no cuenten con los recursos de IT como para implementar un CASB pueden preguntarles a sus empleados y voluntarios qué aplicaciones utilizan.

Paso 2: Evitar Errores al Compartir Archivos.

En el último Shadow Data Report, Symantec informó que el 29% de los correos electrónicos y adjuntos y el 13% de todos los archivos almacenados en la nube se comparten ampliamente y corren riesgo de filtraciones.

Un ejemplo típico. Un empleado crea una cuenta de Microsoft Office 365, Google Drive, Box o DropBox. Luego, el empleado sube un archivo con datos confidenciales y comparte el vínculo con alguien externo a la organización, quien no tiene una cuenta en ese servicio de intercambio de archivos. Entonces, el servicio en la nube ofrece un vínculo al que podrá acceder cualquier persona que lo tenga. Y luego, el empleado envía ese vínculo a un asociado o proveedor, o a quien el empleado piense que necesita esos datos.

A pesar de que esta situación puede parecer inofensiva, ese vínculo es un vínculo público y puede ser una amenaza a la seguridad de su organización. El vínculo de acceso al archivo puede ser descubierto a través de un rastreador web que realice búsquedas de ciertos términos. Los operadores externos con intenciones maliciosas hacen esto con frecuencia, en búsqueda de un botín fácil con respecto a una compañía. Es importante capacitar a los empleados regularmente con respecto a no dejar archivos en la nube por más tiempo del estrictamente necesario.

Tenga cuidado con los archivos que contengan información confidencial. Las organizaciones pueden implementar algunas técnicas simples, como etiquetar cualquier archivo que tenga contenidos confidenciales con las palabras "confidencial" o "privado" en el nombre del archivo. También pueden implementar una marca de agua que diga "confidencial" en el archivo para que le resulte evidente a cualquier persona que utilice el archivo que el mismo contiene información confidencial.

Paso 3: Identificar a los Empleados de Alto Riesgo

Los empleados de alto riesgo tienen muchas características, algunas virtuales y algunas físicas. Un empleado de alto riesgo utiliza la misma contraseña para todas sus cuentas. Un empleado de alto riesgo transfiere información confidencial del sistema de la organización a sus cuentas de correo electrónico personal para trabajar en casa o mientras viaja. Un empleado de alto riesgo no bloquea su computadora o dispositivo móvil con una contraseña y deja el dispositivo abierto cuando se aleja del dispositivo.

Cuando tratan con empleados de alto riesgo, las grandes organizaciones pueden utilizar una tecnología de CASB para evitar la exposición de los datos, controlar su acceso e intercambio y monitorear las acciones de alto riesgo. Incluso las organizaciones de menor tamaño que no cuenten con recursos dedicados de IT pueden utilizar las capacidades de seguridad incorporadas que ofrecen las aplicaciones en la nube como Microsoft Office 365, Google G Suite, Box y DropBox. Asegúrese también de comunicarles a sus usuarios cuáles comportamientos se consideran de bajo riesgo y cuáles de alto riesgo. Todas las organizaciones pueden hacer esto, sin importar su tamaño.

Con respecto a las aplicaciones oficiales en la nube, asegúrese de que los empleados utilicen cuentas exclusivamente dedicadas a la organización, en lugar de una mezcla de cuentas personales y profesionales. Facilite que sus empleados accedan de forma remota. Es preferible que accedan a los datos privados a través de sistemas que usted puede monitorear, en lugar de hacerlo a través de cuentas personales sin supervisión.

Finalmente, implemente una solución de gestión de identidad y una autenticación de múltiples factores. Si su organización es de menor tamaño, puede implementar la utilización de un programa de gestión de contraseñas para todo el personal. Tal vez ya cuente con esta capacidad en su protección de endpoint, pero si éste no es el caso, existen productos de bajo costo disponibles para tal fin.

Paso 4: Tenga en Cuenta a los Operadores Maliciosos

Los usuarios y contraseñas fáciles de adivinar o los datos de ingreso no seguros les facilitan el acceso a los hackers y al malware a las aplicaciones en la nube y, por lo tanto, a los datos confidenciales. Un voluntario o empleado descontento puede divulgar datos sensibles, descargar malware, enviar información confidencial o borrar datos antes de abandonar una organización.

¿Qué se puede hacer con respecto a los operadores maliciosos? Puede proteger sus endpoint contra el malware, de manera de que si ocurre una infección, esto no afecte a su grupo de usuarios u otros sistemas. Puede implementar la obligación de incluir contraseñas sólidas y automatizar cambios trimestrales. Esto, por sí solo, puede mantener a un infiltrado malicioso alejado de sus cuentas, luego de que haya afectado a un competidor.

Aproveche la autenticación de múltiples factores en donde sea posible. Por último, asegúrese de que exista una lista de verificación estándar para cada puesto, para aplicarla cuando un empleado o voluntario abandone la organización, de manera de poder desactivar ese acceso y borrar los datos.

Paso 5: Manténgase Alerta con Respecto a las Filtraciones de Datos

Todos los días vemos artículos en las noticias acerca de proveedores de aplicaciones en la nube que sufren filtraciones. Si uno de los servicios en la nube de su organización aparece en las noticias, debería enviarle a usted un correo electrónico o una notificación acerca de sus datos. Esto es especialmente crítico si es posible que sus datos se hayan visto afectados.

Si ocurrió una filtración en una de sus aplicaciones en la nube, notifique a todos los empleados que deben cambiar todas sus contraseñas de esa aplicación inmediatamente. Luego, verifique cuáles son los datos que almacena su organización en esa aplicación en la nube y pregúntese si sería problemático que quedaran expuestos.

Si alguna de estas grandes filtraciones ha alcanzado a datos confidenciales y los mismos pertenecen a sus clientes, patrocinadores o constituyentes, tal vez esté obligado a notificarlos. Antes de enviar una notificación, consulte con su equipo legal o de seguridad de IT y solicite su consejo.

Luego de hacerlo, debe evaluar si desea continuar utilizando esa aplicación en la nube. Tal vez exista una aplicación en la nube más segura que realice las mismas funciones.

Las aplicaciones en la nube mejoran nuestro flujo de trabajo, reducen nuestros gastos y nos convierten en organizaciones más eficientes. Sin embargo, es importante tener en cuenta los riesgos, mantenerse informado acerca de las opciones de supervisión disponibles y planificar nuestras respuestas.

OBTENER SEGURIDAD

BACK TO TOP