Los beneficios de la nube permiten a las empresas cada vez más ir hacia nubes públicas o privadas, sin embargo, hay una brecha relacionada con la protección de la información. Oscar Suárez, gerente general de Ondú Cloud destaca que la nube resuelve algunos problemas pero no aquellos relacionados con el gobierno de datos y la seguridad de la información. Una concepción errada, que hay que descartar, por ejemplo es pensar que al ir a una nube pública se puede prescindir de la seguridad, y sucede todo lo contario, al pasar a una nube pública, la propiedad de los datos y las configuraciones son del usuario y así se estipula en los contratos de este tipo de servicios. De allí, la importancia de analizar servicios de protección de SaaS para disponibilidad y respaldo, análisis de postura y protección de malas configuraciones, servicios de recuperación y data recovery de nube pública.
Además, el ejecutivo, hace referencia a los últimos resultados del estudio de Sophos donde destaca que 7 de cada 10 negocios en la nube han tenido al menos un incidente de ciberseguridad. “Las cifras indican que a nivel global, la ciberseguridad de la nube se encuentra en un estado temprano de madurez y hay mucho todavía por hacer”.
Para Bruno Sánchez, gerente Comercial de Ondú Cloud, la ciberseguridad en la nube es integral y en esa medida se debe definir una estrategia que potencie algunos patrones de trabajo, por ejemplo: Identificar la información que está en la nube, implementar herramientas de control y protección igual que un ambiente privado; detectar las amenazas utilizando herramientas necesarias para tomar acciones y asumir distintos posibles escenarios
Señala que en las nubes privadas existe un valor agregado hacia la seguridad de la información, en la que se implementan buenas prácticas y una correcta comunicación con ambientes externos tendientes a precautelar la información y en la que se utilizan herramientas para asegurar el perímetro, acceso, respaldo y disponibilidad de la información.
Los ejecutivos están de acuerdo en que los riesgos en ambientes tradicionales y de nube son los mismos, aunque afirman que se debe evaluar el nivel de exposición en la nube. Para Oscar Suárez, la nube agrega otros posibles vectores de ataque y aumenta la exposición de los activos del negocio si no se toma las acciones adecuadas. “Los riesgos son similares al estar on premise, pero la probabilidad de riesgo es exponencialmente mayor”, dice.
Confiabilidad de servicios de ciberseguridad
La confiabilidad de los servicios de ciberseguridad en la nube es el resultado de combinar muchos factores agrupados en tres aspectos clave. La tecnología, los procesos y las personas “conforme alcancemos un equilibrio de estos vectores, los niveles de seguridad mejorarán”, indicó Bruno Sanchéz.
Además, Oscar Suárez, precisa que uno de los principales problemas de incidentes de ciberseguridad son las malas configuraciones o phishing. Los cambios habituales de configuración provocan errores de configuración en el almacenamiento en la nube y una exposición involuntaria y filtraciones de datos. Argumenta que la seguridad en la nube puede ser muy confiable pero si falla el recurso humano podría no serlo, con esta premisa dice “tratamos de concientizar sobre la importancia de contar con funcionarios capacitados frente a las nuevas amenazas, conocer las buenas prácticas de configuración, y conocer de cerca los riesgos a los que se exponen”
Esquemas de seguridad de proyectos en la nube:
Para Ondú Cloud el esquema de seguridad de proyectos en la nube debe considerar lo siguiente:
- Identificar los activos de la información en la nube con con el apoyo de especialistas que tienen experiencia previa.
- Identificar posibles riesgos a los que están expuestos
- Trabajar en estrategia de protección a través de herramientas
En la fase de pre-implementación se deben realizar pruebas, aseguramiento de calidad, producción, soporte, pos-producción
Y antes de la salir a producción se realizar el escaneo de vulnerabilidades o ethical hacking para asegurar que la carga de trabajo en la nube estén bien configurados
Además, es importante tener claro un proceso de respuesta a incidentes frente a potenciales situaciones de riesgo que permita responder, controlar, mitigar y restaurar incidentes de manera ágil.