Opinión Info Opinión

“La forma más adecuada de proteger los entornos cloud es utilizando los conocidos como CASB”

Ciberseguridad en la nube

Miguel Monedero Gómez, director de seguridad de la información de Sothis

03/12/2020
La utilización de herramientas en la nube y la migración de información a la misma han generado en las organizaciones la inquietud por la seguridad y la exigencia de garantías a los proveedores y fabricantes de soluciones en la nube, cuando es posible que los mayores riesgos haya que buscarlos en otra parte.

La seguridad garantizada al 100% no existe, pero los proveedores de servicios cloud y los fabricantes de soluciones para este entorno disponen de marcos de seguridad certificables que permiten generar confianza en las partes interesadas. Entre los muchos marcos de seguridad que avalan a los principales proveedores y fabricantes, se encuentra la norma ISO/IEC 27001 o el Esquema Nacional de Seguridad (ENS), especialmente diseñado para garantizar la protección de organismos del Estado e infraestructuras críticas. Por ello, el riesgo de vulnerabilidad de la nube hay que buscarlo más en aquellos servicios y aplicaciones que no cuentan con las suficientes certificaciones que garanticen su seguridad y en la forma en la que la utilizan los clientes, si el proveedor entrega una infraestructura certificada que, por defecto, es segura. En ese caso, las principales amenazas estarían en su configuración, la definición del uso de la misma y la actuación de los usuarios, el eslabón más débil.

Imagen

El camino para tratar y minimizar el riesgo asociado al uso del cloud pasaría entonces por implementar una serie de medidas de seguridad tanto organizativas como técnicas y jurídicas, entre las que se pueden encontrar el análisis de riesgos de terceros (lo que incluiría la propia infraestructura del proveedor del cloud), definición de políticas de uso del cloud, securización del correo electrónico o formación a usuarios. Al implantar un modelo de Gobierno de la seguridad, la organización racionaliza el sistema de seguridad, definiendo el uso de la nube —¿qué uso tendrá?, ¿quién la usará?, ¿cuándo, dónde y por qué? — e instaurando la evaluación continua de los riesgos, consiguiendo así protegerse de forma activa según su necesidad y no por impulsos, de forma proactiva. E incluyendo en el proceso tanto a la infraestructura de la nube, aplicaciones y conectividad, como a los usuarios y a la metodología de trabajo.

La forma más adecuada de proteger los entornos cloud es utilizando los conocidos como CASB (Cloud Access Security Broker), que son herramientas software específicas que completan los sistemas tradicionales de correlación de eventos SIEM y cuyo objetivo es, exclusivamente, garantizar la seguridad de las aplicaciones que una organización tiene alojada en la nube. Permite detectar amenazas, malware y comportamientos inusuales, anticipar incidentes, recopilar datos de uso y cumplir con la normativa que obliga a tener un control sobre el flujo del dato. Al combinarlo con un sistema de DLP (Data Loss Prevention) —que utiliza IA para prevenir de forma no intrusiva la fuga, accidental o no, de información— y un gestor de accesos e identidades IAM (Identity and Access Management) —que racionaliza y simplifica la gestión de usuarios, credenciales y contraseñas— se obtiene la solución de seguridad en la nube más potente del mercado.

Pero hay que tener en cuenta que todo esto no es suficiente. El punto final del proceso, el puesto de trabajo también ha de ser securizado, preferentemente con soluciones EDR (Endpoint Detection and Response) —que supervisan los eventos de punto final de la red y permiten su análisis posterior— y con la implantación de buenas prácticas, bastionado y políticas de seguridad en los equipos.

Y lo más importante: La responsabilidad de los usuarios finales de todo el sistema, que pasa por sistemas no sólo de conciliación, sino de modificación del comportamiento, verificación y refuerzo constante.

La construcción, puesta en marcha y coordinación de toda esta estructura de seguridad en la nube es una tarea muy compleja que debe implementarse prácticamente a medida de cada empresa y ejecutarse de forma continuada, para que funcione con eficacia. Normalmente las organizaciones no cuentan con las herramientas específicas y con el personal que pueda hacerlo, así que es imprescindible que cuenten con un socio especializado en herramientas de ciberseguridad, que garantice la adecuada elección de las mismas de acuerdo con las necesidades de la organización, su correcta configuración y la gestión y monitorización continuas de las soluciones de seguridad implementadas.

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos