Mejores prácticas de ciberseguridad en la nube

Mejores prácticas de ciberseguridad en la nube

¿Cómo reducir los riesgos en la nube?

Acceso de usuarios con privilegios

Para la mitigación se necesita crear un consejo con el proveedor, a fin de que los usuarios que tienen privilegios sean solo los que deban tenerlos. Es responsabilidad del empresario decidir qué privilegios de acceso tendrán sus colaboradores en función de la información a acceder.

Cumplimiento no normativo

Para amortiguar el cumplimiento no normativo es importante realizar auditorías externas y certificaciones de seguridad. La responsabilidad del empresario consiste en velar por el cumplimiento normativo dentro de la empresa y que las auditorías se realicen adecuadamente.

Recuperación

Para reducir este riesgo, es necesario exigir a los proveedores la capacidad de recuperación de los datos y el tiempo estimado.

Localización de los datos

Para aminorar los riesgos de la localización de los datos, se necesita conocer el marco regulatorio aplicable al almacenamiento y procesado de datos. Es recomendable que el proveedor de servicios se adapte al marco legal del país de suscriptor del servicio. El empresario es responsable de conocer la localización de sus datos para informarse sobre la legislación pertinente.

Aislamiento de los datos

Para mitigar este riesgo, es necesario que los datos en reposo estén aislados y los procedimientos de cifrado se ejecuten por personal experimentado. El responsable debe saber dónde está localizada la información más sensible para su organización y adoptar las medidas de protección necesarias.

Soporte de investigación

El proveedor debe garantizar que los logs y los datos se gestionen de forma centralizada.

Viabilidad a largo plazo

El cliente debe tener la seguridad de que va a poder recuperar todos los datos en caso de que el proveedor cambie la estructura o la dirección.

Mejores prácticas para la seguridad en la nube

Definir un acuerdo sólido de nivel de servicios (SLA)

Al adquirir los servicios de un proveedor de servicios cloud, es sumamente importante establecer las responsabilidades de las partes involucrada bajo contrato, donde se fijen los niveles de control, accesos, servicios y seguridad de la misma.

Establecer el diseño de arquitectura de seguridad

Ambas partes tienen que integrar, alinearse y detallar el contrato de arquitectura en seguridad utilizada en el entorno a contratar. Es fundamental asegurarse de que el proveedor suministre las condiciones mínimas como un firewall, antivirus, protección anti DDos, entre otros.

Solicitar protecciones avanzadas del perímetro

La seguridad perimetral tiene que ser considerada para el resguardo de la información, por lo que se recomienda requerir estos servicios de seguridad avanzados.

Para resolver la seguridad del correo electrónico debe considerar:

●  Antivirus
●  AntiSpam
●  Control de fugas de información
●  Posibilidad de crear reglas específicas para el bloqueo, incluyendo los archivos adjuntos
●  Monitoreo de correo electrónico

Una solución de aplicación en la nube debe tener:

●  Herramientas de detección de intrusos
●  Firewall de aplicaciones (WAF)
●  Firewall de nueva generación (NGFW)
●  Herramientas de mitigación de ataques para DDoS
●  Correlación de registro
●  Red de entrega de contenido (CDN)

Permitir el Ethical Hacking

Se debe permitir el análisis de vulnerabilidades y corrección ética planificada adecuadamente para la nube. Este tipo de análisis debe ser hecho por una empresa subcontratada por el proveedor que la empresa considere confiable.

La Nube demuestra tener grandes ventajas para la escalabilidad y economía de las empresas por lo que no sorprende que sea una solución cada vez más popular.

La migración hacia esta solución debe tomar en cuenta elementos que garanticen una infraestructura más robusta y optimizada para los requerimientos de cada organización siempre considerando como pilar fundamental la seguridad de la información.

Fuente: InfoSecurity México