Para la mitigación se necesita crear un consejo con el proveedor, a fin de que los usuarios que tienen privilegios sean solo los que deban tenerlos. Es responsabilidad del empresario decidir qué privilegios de acceso tendrán sus colaboradores en función de la información a acceder.
Para amortiguar el cumplimiento no normativo es importante realizar auditorías externas y certificaciones de seguridad. La responsabilidad del empresario consiste en velar por el cumplimiento normativo dentro de la empresa y que las auditorías se realicen adecuadamente.
Para reducir este riesgo, es necesario exigir a los proveedores la capacidad de recuperación de los datos y el tiempo estimado.
Para aminorar los riesgos de la localización de los datos, se necesita conocer el marco regulatorio aplicable al almacenamiento y procesado de datos. Es recomendable que el proveedor de servicios se adapte al marco legal del país de suscriptor del servicio. El empresario es responsable de conocer la localización de sus datos para informarse sobre la legislación pertinente.
Para mitigar este riesgo, es necesario que los datos en reposo estén aislados y los procedimientos de cifrado se ejecuten por personal experimentado. El responsable debe saber dónde está localizada la información más sensible para su organización y adoptar las medidas de protección necesarias.
El proveedor debe garantizar que los logs y los datos se gestionen de forma centralizada.
El cliente debe tener la seguridad de que va a poder recuperar todos los datos en caso de que el proveedor cambie la estructura o la dirección.
Al adquirir los servicios de un proveedor de servicios cloud, es sumamente importante establecer las responsabilidades de las partes involucrada bajo contrato, donde se fijen los niveles de control, accesos, servicios y seguridad de la misma.
Ambas partes tienen que integrar, alinearse y detallar el contrato de arquitectura en seguridad utilizada en el entorno a contratar. Es fundamental asegurarse de que el proveedor suministre las condiciones mínimas como un firewall, antivirus, protección anti DDos, entre otros.
La seguridad perimetral tiene que ser considerada para el resguardo de la información, por lo que se recomienda requerir estos servicios de seguridad avanzados.
● Antivirus
● AntiSpam
● Control de fugas de información
● Posibilidad de crear reglas específicas para el bloqueo, incluyendo los archivos adjuntos
● Monitoreo de correo electrónico
● Herramientas de detección de intrusos
● Firewall de aplicaciones (WAF)
● Firewall de nueva generación (NGFW)
● Herramientas de mitigación de ataques para DDoS
● Correlación de registro
● Red de entrega de contenido (CDN)
Se debe permitir el análisis de vulnerabilidades y corrección ética planificada adecuadamente para la nube. Este tipo de análisis debe ser hecho por una empresa subcontratada por el proveedor que la empresa considere confiable.
La Nube demuestra tener grandes ventajas para la escalabilidad y economía de las empresas por lo que no sorprende que sea una solución cada vez más popular.
La migración hacia esta solución debe tomar en cuenta elementos que garanticen una infraestructura más robusta y optimizada para los requerimientos de cada organización siempre considerando como pilar fundamental la seguridad de la información.
Fuente: InfoSecurity México