Fortalecer la seguridad en la nube es un reto de las empresas

Cada vez son mayores los avances en las actualizaciones de infraestructura en nube, por lo cual deben implementarse medidas de seguridad más estrictas que protejan la información que las empresas alojan en ella.

La información de una empresa que reposa en la nube se convierte en un activo fundamental que permite la automatización de procesos y facilita el acceso a la misma. De allí la importancia de garantizar la seguridad de los entornos digitales y los datos almacenados en ellos.

La nube es una red de recursos que opera por internet y que está diseñada para almacenar y administrar datos, así como ejecutar contenidos y aplicaciones desde cualquier dispositivo con conexión a la web.

El soporte contra vulnerabilidades de seguridad es responsabilidad, en gran medida, de proveedores de servicios en nube, mientras que las organizaciones se encargan de gestionar los hábitos seguros del personal y de la configuración adecuada del servicio.

Daniel González, experto en ciberseguridad del Centro de Protección Digital de SURA, explica que es necesario comprender el tipo de nube utilizado para aplicar, según se requiera, la estrategia de seguridad pertinente. Dichos tipos son:

• Nubes públicas: son servicios de almacenamiento ofrecidos por proveedores que dan acceso mediante la web y están disponibles para todo aquel que desee usarlos. Por ejemplo: OneDrive y Google Drive. En este entorno, los servidores son compartidos con otros usuarios.
• Nubes privadas de terceros: este servicio es de uso exclusivo y generalmente es administrado por un tercero externo a la empresa.
• Nubes privadas internas: la gestión de este tipo de nube es propia de cada compañía y está compuesto por servidores que operan desde un centro de datos propio.
• Multinubes: contiene por lo menos dos servicios de proveedores que pueden ser públicos o privados.
• Nubes híbridas: en estas opera una combinación de servicios privados internos con nubes de terceros o públicas.

¿Cuáles son los riesgos de seguridad en la nube?

Daniel González afirma que los riesgos a los que están expuestas las empresas que cuentan con servicios de nube pueden exponer a usuarios y proveedores a todo tipo de amenazas de ciberseguridad. Estos se clasifican en tres categorías:

• Riesgos de infraestructura: están relacionados con interrupciones de los servicios de almacenamiento, lo cual produce indisponibilidad de la información que reposa en los servidores.
• Riesgos internos: tienen que ver con errores humanos en la configuración de los servicios en nube. Por ejemplo: falencias en los controles de acceso por parte de los usuarios, lo que es posible que derive en ingresos no autorizados a la información.
• Riesgos externos: causados por actores o prácticas maliciosas como malware o phishing, cuyo propósito es dañar o robar la información que reposa en la red.

¿Cómo proteger la infraestructura en la nube?

Hay prácticas de ciberseguridad que avalan la integridad de la información y previenen la materialización de los riesgos antes mencionados. En el siguiente video, conoce algunas recomendaciones básicas para respaldar los datos de una empresa en la nube.

• Modificar la configuración predeterminada: cualquier servicio de nube tiene una configuración por defecto que debe ser actualizada o personalizada por cada organización. Omitir dicha personalización aumenta el riesgo de ingreso a la información por parte de terceros no autorizados.
• Cerrar el sector de almacenamiento en la nube: es esencial evitar que el acceso a los datos sea abierto al público. Limitar la entrada garantiza un mayor control frente a los riesgos de pérdida de confidencialidad, integridad y disponibilidad de la información.
• Usar soluciones de seguridad: por lo general, el proveedor de servicios brinda controles básicos para mantener buenas prácticas de ciberseguridad. No obstante, hay que evaluar la pertinencia de adquirir soluciones de seguridad especializadas de acuerdo con el tipo de servicio en nube empleado y la criticidad de la información que en él se gestiona.
• Cifrar datos y comunicaciones: esta técnica asegura los datos digitales y defiende la información de ataques cibernéticos en tanto restringe el acceso con claves de cifrado, lo que permite que la información solo sea consultada por quien posee dichas claves.

Fecha de publicación: junio 22 de 2022.