En la era digital y bajo demanda de hoy, muchas organizaciones dependen en gran medida de múltiples servicios en la nube para el funcionamiento diario de sus operaciones. Pero la naturaleza de terceros de esta funcionalidad introduce riesgos de seguridad adicionales y, con actores maliciosos siempre presentes para aprovechar los perímetros de red porosos, los profesionales de la seguridad cibernética deben asegurarse de ser rigurosos en la protección de la empresa. A continuación, se ofrecen puntos de control clave para las mejores prácticas para proteger las aplicaciones basadas en la nube. Gestión de activos y flujo de datos Es fundamental comprender cómo se gestionan los activos y dónde fluyen los datos dentro de la organización. Este conocimiento permite identificar brechas en la postura de seguridad cibernética y, con eso, localizar los vectores de ataque. Las organizaciones pueden buscar información de los proveedores para identificar dichas brechas dentro de sus sistemas y usar herramientas (como CrowdStrike) para tomar medidas contra las vulnerabilidades que surjan. Para garantizar que haya una comprensión clara de dónde existen las cosas, este trabajo incluye la identificación de cada activo presente en la organización, así como el mapeo de datos estructurados y no estructurados. Políticas y procedimientos de seguridad Solo se necesita un eslabón débil para que la organización sea vulnerable a los ataques. Esto requiere políticas y procedimientos de seguridad sólidos para toda la empresa, con medidas aplicadas de manera uniforme en toda la infraestructura de TI, incluidas las nubes públicas, las nubes privadas y la tecnología local. Configuración del servidor en la nube Los servidores en la nube mal configurados pueden exponer datos directamente en la Internet pública y dar lugar a violaciones e infracciones de cumplimiento. La configuración correcta requiere la aportación de expertos específicos de la nube, combinada con una estrecha coordinación con el proveedor de la nube. Una vez establecida y cumplida una configuración de referencia segura para cada aplicación en la nube, la monitorización continua en tiempo real mediante herramientas automatizadas puede ayudar a detectar y remediar las configuraciones incorrectas antes de que provoquen incidentes de seguridad; las auditorías periódicas también garantizan que estas configuraciones sigan siendo seguras y cumplan con los estándares y políticas de seguridad. Gestión de acceso Garantizar que solo las personas que los necesitan puedan acceder a los datos confidenciales es un componente fundamental de la postura de seguridad de cualquier organización. Los usuarios no deben tener más que el nivel mínimo de acceso que necesitan para realizar su función laboral, una estipulación asistida por el control de acceso basado en roles (RBAC) que reduce el riesgo de derechos de acceso excesivos. La confiabilidad de los usuarios, dispositivos y aplicaciones también debe verificarse continuamente antes de conceder el acceso. El panorama de seguridad en la nube mejora constantemente su postura de seguridad a través de la gestión de acceso de identidad (IAM), donde se aplican medidas de seguridad como la autenticación multifactor (MFA) y se revisan regularmente los registros de auditoría para identificar intentos de acceso fallidos y detectar intrusiones. Cifrado de datos El cifrado de datos mediante protocolos sólidos hace que cualquier dato sea ilegible en caso de robo o filtración en una violación de seguridad en la nube. Por lo tanto, el cifrado es una herramienta clave para mantener seguros los datos (en particular los datos confidenciales), ya sea que estén en tránsito o en reposo. El cifrado no es nuevo, pero continúa evolucionando; a medida que los ataques se vuelven más complejos, el desarrollo de algoritmos de cifrado avanzados puede desempeñar un papel importante en la gestión del riesgo cibernético. El enfoque de confianza cero Las arquitecturas de confianza cero adoptan el principio de que no se debe confiar en ningún usuario, dispositivo o sistema para acceder a aplicaciones y datos basados ​​en la nube hasta que se hayan verificado. Esto garantiza que solo las personas y la tecnología autorizadas puedan ver o usar datos confidenciales, lo que reduce la probabilidad de que caigan en manos equivocadas. Educación para toda la empresa Independientemente de si están relacionados con la nube, muchos ataques cibernéticos ocurren debido al riesgo humano, que cubre actividades como usuarios que son víctimas de un ataque de phishing, instalan malware sin saberlo, usan sistemas obsoletos o dispositivos vulnerables o practican una mala higiene de contraseñas. Combatir esto requiere capacitación en seguridad continua en toda la empresa; además de cubrir las mejores prácticas de seguridad en la nube, esto debe incluir simulaciones regulares de phishing para educar a los usuarios sobre cómo reconocer y evitar estos ataques cada vez más sofisticados, así como ejercicios para explicar por qué la protección de datos es tan importante para toda la organización. Promover una cultura de seguridad dentro de una empresa también agrega algunas capas de seguridad al hacer que sea responsabilidad de todos. Planes de respaldo Incluso los procesos y preparativos de seguridad más meticulosos no son a prueba de fallos, lo que significa que las organizaciones necesitan planes de contingencia. Los datos deben respaldarse para evitar que se pierdan o alteren. Además, un plan de conmutación por error garantiza la continuidad del negocio si falla un servicio en la nube. Una ventaja de las instalaciones de nube híbrida y multinube es que se pueden usar nubes separadas como copias de seguridad, como el almacenamiento de datos en la nube para una base de datos local. Los CISO y los profesionales de seguridad también cuentan con la ayuda de varios conjuntos de herramientas para una implementación segura en la nube. Por ejemplo, las herramientas de gestión de la postura de seguridad en la nube (CSPM) pueden cifrar datos confidenciales, utilizar controles de geolocalización para cumplir con las regulaciones de protección de datos y realizar auditorías y pruebas de penetración periódicas. Y las herramientas de prevención de pérdida de datos (DLP) monitorean y controlan el movimiento de datos confidenciales en entornos de nube; utilizadas junto con las políticas adecuadas, evitan el intercambio no autorizado o la fuga de información confidencial. Al mismo tiempo, la IA está desempeñando, como era de esperar, un papel cada vez más importante en todos los ámbitos de las operaciones de ciberseguridad. La detección de amenazas mediante IA puede mejorar significativamente el monitoreo de la seguridad y la mitigación de incidentes; también puede predecir y detener los problemas de seguridad antes de que ocurran. Las operaciones basadas en la nube han transformado el entorno empresarial pero, como ocurre con la mayoría de las tecnologías avanzadas, introducen un riesgo adicional. Adoptar estas aplicaciones para que brinden beneficios sin ampliar la superficie de ataque para actores maliciosos requiere experiencia y compromiso, fácilmente al alcance de la mayoría de las organizaciones que ya practican una buena higiene de ciberseguridad. Kashil JagmohanSingh es consultor de aplicaciones y ciberseguridad en Turnkey Consulting. Su experiencia en gestión de riesgos incluye trabajar en toda la suite SAP Governance, Risk and Compliance (GRC) y trabajar en estrecha colaboración con los clientes para gestionar el riesgo cibernético de las organizaciones globales. También tiene experiencia en evaluación de vulnerabilidades y lleva a cabo actividades como escaneo del entorno SAP y trabajo en equipo. Esta es su primera contribución a un grupo de expertos.