La ciberseguridad en la nube está en etapa temprana de madurez

Share
Oscar Suárez, gerente general de Ondú Cloud.

Los beneficios de la nube permiten a las empresas cada vez más ir hacia nubes públicas o privadas, sin embargo, hay una brecha relacionada con la protección de la información. Oscar Suárez, gerente general de Ondú Cloud destaca que la nube resuelve algunos problemas pero no aquellos  relacionados con el gobierno de datos y la seguridad de la información. Una concepción errada, que hay que descartar, por ejemplo es pensar que al ir a una nube pública se puede prescindir de la seguridad, y sucede todo lo contario, al pasar a una nube pública, la propiedad de los datos y las configuraciones son del usuario y así se estipula en los contratos de este tipo de servicios. De allí, la importancia de analizar servicios de protección de SaaS para disponibilidad y respaldo, análisis de postura y protección de malas configuraciones, servicios de recuperación y data recovery de nube pública.

Además, el ejecutivo,  hace referencia a los últimos resultados del estudio de Sophos donde destaca que 7 de cada 10 negocios en la nube han tenido al menos un incidente de ciberseguridad. “Las cifras indican  que a nivel global, la ciberseguridad de la nube se encuentra en un estado temprano de madurez y hay mucho todavía por hacer”.

Bruno Sánchez, gerente Comercial de Ondú Cloud

Para Bruno Sánchez, gerente Comercial de Ondú Cloud, la ciberseguridad en la nube es integral y en esa medida se debe definir una estrategia que potencie algunos patrones de trabajo, por ejemplo: Identificar la información que está en  la nube, implementar herramientas de control y protección igual que un ambiente privado; detectar las amenazas utilizando herramientas necesarias para tomar acciones y asumir distintos posibles escenarios

Señala que en las nubes privadas existe un valor agregado hacia la seguridad de la información, en la que se implementan buenas prácticas y una correcta comunicación con ambientes externos tendientes a precautelar la información y en la que se utilizan herramientas para asegurar el perímetro, acceso, respaldo y disponibilidad de la información.

Los ejecutivos están de acuerdo en que los riesgos en  ambientes tradicionales y de nube son los mismos, aunque afirman que se debe evaluar el nivel de exposición en la nube. Para Oscar Suárez, la nube agrega otros posibles vectores de ataque y aumenta la exposición de los activos del negocio si no  se toma las acciones adecuadas. “Los riesgos son similares al estar on  premise, pero la probabilidad de riesgo es exponencialmente mayor”, dice.

Confiabilidad de  servicios de ciberseguridad

La confiabilidad de los servicios de ciberseguridad en la nube es el resultado de combinar muchos factores agrupados en tres aspectos clave. La tecnología, los procesos y las personas “conforme alcancemos un equilibrio de estos vectores, los niveles de seguridad mejorarán”, indicó Bruno Sanchéz.

Además, Oscar Suárez, precisa que uno de los principales problemas de incidentes de ciberseguridad son las malas configuraciones o phishing. Los cambios habituales de configuración provocan errores de configuración en el almacenamiento en la nube  y una exposición involuntaria y filtraciones de datos. Argumenta que la seguridad en la nube puede ser muy confiable pero si falla el recurso humano podría no serlo, con esta premisa dice “tratamos de concientizar sobre la importancia de contar con funcionarios capacitados frente a las nuevas amenazas, conocer las buenas prácticas de configuración, y conocer de cerca los riesgos a los que se exponen”

Esquemas de seguridad de proyectos en la nube:

Para Ondú Cloud el esquema de seguridad de proyectos en la nube debe considerar lo siguiente:

  • Identificar los activos  de la información en la nube con  con el apoyo de especialistas que tienen experiencia previa.
  • Identificar posibles riesgos a los que están expuestos
  • Trabajar en estrategia de protección a través de herramientas

En la fase de pre-implementación se deben realizar pruebas, aseguramiento de calidad, producción, soporte, pos-producción

Y antes de la salir a producción se realizar el escaneo de vulnerabilidades o ethical hacking para asegurar que la carga de trabajo en la nube estén bien configurados

Además, es importante tener claro un proceso de respuesta a incidentes frente a potenciales situaciones de riesgo que permita responder, controlar, mitigar y restaurar incidentes de manera ágil.