Peligros, desafíos y soluciones para trabajar con seguridad en la nube

Peligros, desafíos y soluciones para trabajar con seguridad en la nube

José Antonio Lorenzo

Actualmente estamos sufriendo cambios muy importantes en cuanto a la forma de trabajar. Cada vez es más habitual que trabajemos con archivos ubicados en la nube. Por ejemplo, podríamos hablar del típico caso de una empresa que tiene sedes en varias ciudades o países. Una forma de trabajar podría ser compartir archivos y proyectos en la nube. Sin embargo, nos enfrentamos a peligros y desafíos en esta nueva manera de trabajar, por lo que necesitamos soluciones para trabajar con seguridad en la nube.

Las empresas hoy en día buscan la accesibilidad y la flexibilidad que ofrece el trabajo en la nube. No obstante, los beneficios que se obtienen pueden ser pocos si trabajamos de manera insegura. En ese sentido, un servidor mal configurado puede provocar una fuga de información en ese negocio, y dar al traste con muchos planes de futuro. Al final, si no se hacen bien las cosas, se pueden producir perjuicios económicos o pérdida de reputación que tardan años en solventarse. La seguridad hay que verla como una inversión, no como un gasto.

También hay que señalar que no hay ninguna razón por la que el trabajo en la nube no se pueda realizar de forma segura. Si somos capaces de desarrollar una estrategia para minimizar estos riesgos, y somos capaces de afrontar los desafíos de seguridad, tendremos una base sólida en la que asentarnos. Así, de este modo, nos adelantamos antes de que comiencen los problemas y establecemos una seguridad lo suficientemente robusta.

Consejos básicos para trabajar con seguridad en la nube

El almacenamiento en la nube nos permite crear copias de seguridad de nuestros dispositivos y tenerlas siempre disponibles en Internet. Además, podemos, guardar todas las imágenes y vídeos de nuestro móvil para liberar almacenamiento interno. Pero aún hay más, también nos permite subir nuestros archivos y proyectos para trabajar con nuestros compañeros.

Eso no quita que tengamos que trabajar con seguridad en la nube. El objetivo es que nuestros archivos no sean interceptados y acaben en manos de ciberdelincuentes.

Lo primero que debemos hacer es utilizar siempre contraseñas  fuertes y robustas. Esta es la primera línea de defensa para proteger nuestras cuentas y archivos de posibles intrusos. En ese sentido desde RedesZone recomendamos que esa contraseña:

  1. Tenga mínimo 12 caracteres.
  2. Usemos letras mayúsculas y minúsculas, junto con números y símbolos como @, %, $  etc.

También si está disponible utilizar la Autenticación en dos pasos, como por ejemplo la de Google. En este caso incluso aunque sepan tu contraseña, tendrían que hackear tu móvil para que tuviera acceso a tu cuenta. En RedesZone tenemos un completo tutorial para ayudarte a proteger tu cuenta Google usando esta herramienta.

Además, una buena política es cifrar los archivos que subamos. De esta forma, deberemos hacer uso de las herramientas que nos permiten cifrar esos archivos. Nuestro objetivo haciendo esto es que nadie pueda interceptar ese contenido y pueda leerlo. Para finalizar con este apartado otra cosa muy importante es mantener nuestro software actualizado.

Cómo realizar la migración a la nube y peligros a los que nos enfrentamos

A día de hoy, gran parte del trabajo de las empresas se ejecuta en entornos de nube pública, privada o híbrida. Frecuentemente entre los trabajadores de una misma empresa, comparten archivos y material sensible. Además, también se comparte información entre varias empresas ya que a veces trabajan de forma conjunta en un mismo proyecto. Pero eso no es todo, también los trabajadores en algunas circunstancias realizan trabajos desde sus casas.

Los problemas vienen cuando las empresas se apresuran descuidadamente a migrar sin hacer de la seguridad uno de sus puntos fundamentales. Entonces los activos críticos pueden quedar desprotegidos y expuestos a posibles riesgos. Un ciberdelincuente podría acceder a ellos y causar un daño irreparable a esa organización.

La mejor táctica que podemos emplear es migrar en etapas y comenzando con los datos que nos sean críticos. Al principio del proceso suele ser más probable que ocurran fallos. Por lo tanto, es conveniente empezar por migrar los datos que no tengan consecuencias dañinas para la empresa en caso de que los perdamos o se borren.

También debemos analizar las prácticas de seguridad de nuestro proveedor en la nube. No sólo debemos basarnos en su prestigio, también debemos conocer cómo se almacenan y protegen nuestros datos. Además, debemos mantener la continuidad operativa y la integridad de los datos. Hay que asegurarse periódicamente de que los controles siguen funcionando y que nuestros datos están a salvo. Otro punto importante es que durante y después de la migración debemos gestionar el riesgo. En ese sentido una forma eficaz de gestionar el riesgo durante la transición es utilizar software de simulación de ataques y violaciones.

El deber de controlar la gestión de identidades y accesos

Si queremos mantener una seguridad sólida, un objetivo prioritario es administrar y definir de manera efectiva los roles, privilegios y responsabilidades lo usuarios de nuestra red.

Fuerza bruta para romper contraseñas

Con el paso del tiempo, los trabajadores van y vienen, y los roles van cambiando. Esto supone un gran desafío, especialmente en el contexto del trabajo en la nube, donde se pueden acceder a los datos desde cualquier sitio. Afortunadamente, gracias a que la tecnología ha mejorado nuestra capacidad para realizar un seguimiento de las actividades, ajustar los roles y hacer cumplir las políticas de seguridad, de una manera se minimiza el riesgo.

No obstante, ningún producto de gobernanza o gestión puede proporcionar una protección perfecta. Esto es debido a que las empresas están sometidas ineludiblemente al factor del error humano. Si queremos respaldar la administración inteligente de identidades y accesos, lo mejor es tener un enfoque activo y en capas para administrar y mitigar las vulnerabilidades de seguridad.

En ese sentido establecer unas medidas como practicar el principio de privilegio mínimo puede ser una buena solución. Así permitiendo sólo la cantidad mínima de acceso necesaria para realizar las tareas mejorará notablemente la seguridad.

Las relaciones con los proveedores y el problema de las API inseguras

Se busca trabajar con seguridad en la nube, pero cada vez se ha puesto más de relieve, las relaciones nuevas y más profundas entre empresas y proveedores. Las organizaciones buscan maximizar la eficiencia a través de la subcontratación y los proveedores asumen roles más importantes en las operaciones comerciales. En ese sentido es importante garantizar la seguridad entre las distintas empresas para que no haya una fuga de información.

La integración de proveedores externos a menudo aumenta sustancialmente el riesgo de ciberseguridad. En un estudio realizado por el instituto Ponemon en 2018 se descubrió que casi el 60% de las empresas encuestadas habían encontrado una infracción debido a un tercero. Debido a esto, corresponde a las empresas actuales administrar de manera activa y segura las relaciones con proveedores externos en la nube implementando las medidas de seguridad necesarias.

Las API son la clave para una integración e interoperabilidad exitosas en la nube. Por otro lado, las API inseguras son una de las amenazas más importantes para la seguridad de la nube. Los hackers gracias a ellas pueden explotar una línea abierta de comunicación y robar datos privados valiosos. En ese sentido para evitar riesgos las API deben diseñarse teniendo en cuenta la autenticación y el control de acceso adecuados. También otro factor importante en este sentido es tener el software convenientemente actualizado.

Por otro lado, para trabajar con seguridad en la nube es importante distinguir entre amigos y enemigos. En ese aspecto debemos ser capaces de distinguir entre un usuario autorizado y otro no autorizado. Sin duda, conocer esto, es un requisito previo fundamental para proteger nuestro trabajo en la nube. A través de análisis de comportamiento y otras herramientas podemos lograrlo.

En definitiva, la seguridad en la nube es posible siempre que se comprenda, anticipe y aborde los desafíos que plantean la migración y el trabajo del día a día.