Las empresas dependen cada vez más de un número cada vez mayor de servicios basados en la nube, a medida que las herramientas comerciales se transforman en plataformas en línea, como infraestructura como servicio (IaaS) y software como servicio (SaaS). En consecuencia, los datos comerciales a menudo abandonan los límites de la red y se transfieren a una plataforma externa de terceros, más allá del ámbito de los sistemas de gestión de acceso interno.
datos en la nube
El procesamiento y la gestión de datos son una parte esencial de la empresa moderna, independientemente del sector. Como tal, corresponde a todas las organizaciones garantizar que los datos estén protegidos y no se compartan ni se pierdan. Esto también se ha convertido en un requisito reglamentario en muchos países. El procesamiento de datos se ha convertido en un desafío porque ahora se lleva a cabo con frecuencia en la nube.
No hay dos plataformas en la nube iguales, ya que cada plataforma ofrece sus propios beneficios e idoneidad únicos para diferentes aplicaciones y procesamiento de datos. Las organizaciones que desean maximizar su flexibilidad para cumplir con las tendencias cambiantes del mercado confían cada vez más en las plataformas en la nube para respaldar esto.
“Una empresa promedio usa alrededor de 25 a 49 herramientas de 10 proveedores diferentes”, dice Nataraj Nagaratnam, CTO de seguridad en la nube de IBM. “Es importante contar con una plataforma de seguridad y cumplimiento que pueda integrar los datos de estas herramientas y proporcionar un único panel de control sobre la postura general”.
Sin embargo, garantizar que los datos estén protegidos en una serie diversa de plataformas y que el acceso se gestione adecuadamente se ha convertido en un proceso lento. Así como cada plataforma en la nube es diferente, también lo son sus controles de acceso. Por lo tanto, es responsabilidad de las organizaciones garantizar que se implementen los controles correctos y que se implementen en todas las plataformas que utilizan.
Todos los conjuntos de datos no son iguales, algunos son mucho más sensibles que otros. Por ejemplo, los patrones de gasto de los clientes pueden ser comercialmente útiles, pero no son tan sensibles como las transacciones financieras. “Los datos públicos e internos no son lo mismo que los datos confidenciales y sensibles”, dice Nataraj. “Cuando [putting] datos confidenciales y cargas de trabajo críticas en la nube, aumentan los controles de seguridad que necesita aplicar”.
Adoptar un enfoque basado en el riesgo centrado en los datos es clave, ya que esto permite a una organización garantizar que se implementen los controles de seguridad adecuados.
Gestionar el riesgo en la nube
Si bien el cifrado es fundamental para proteger los datos en la nube, lo que podría decirse que es aún más importante son los sistemas de gestión de claves de cifrado. “Las llaves se han convertido en infraestructura crítica”, dice Nataraj. “Bromeamos al respecto: el cifrado es para aficionados y la gestión de claves es para profesionales”.
Como tal, las claves se han convertido en componentes esenciales de la seguridad de los datos. Aunque los datos pueden protegerse mediante el cifrado, si las claves asociadas no están adecuadamente protegidas, los datos seguirán siendo vulnerables a los ataques. Se debe adoptar un enfoque de confianza cero para garantizar que el riesgo para las claves y, por lo tanto, los datos que protegen, sea mínimo.
“Las llaves se han convertido en infraestructura crítica. Bromeamos al respecto: el cifrado es para aficionados y la gestión de claves es para profesionales”
Nataraj Nagaratnam, IBM
Una falla común en una postura de seguridad involucra problemas con los controles de acceso a la plataforma en la nube. Los problemas pueden incluir cuentas obsoletas, como cuando el personal se fue pero sus perfiles de usuario permanecen activos; permisos de acceso redundantes debido a que los usuarios cambian de departamento y necesitan acceso a información diferente; y el acceso se otorga inadvertidamente a partes externas.
“Los principales errores son las malas configuraciones”, dice Nataraj. “No son solo los ataques sofisticados los que están ocurriendo ahí afuera. Es una mala configuración mundana y simple, donde las prácticas básicas de seguridad, por ejemplo, evitar el acceso público a los almacenes de datos confidenciales, no se siguen por completo. Tales situaciones conducen a más infracciones y ataques”.
La gestión de los controles de acceso en una red multinube se ha convertido en un proceso complicado. Las organizaciones ahora son responsables de garantizar que sus controles de seguridad reflejen el riesgo y el cumplimiento normativo. Esta complejidad no se debe a que las organizaciones no aprecien la importancia de los datos que controlan, sino que a menudo se debe a que el equipo de seguridad no tiene el conocimiento o el tiempo para garantizar que se implementen los controles correctos.
Por lo tanto, es importante que las organizaciones simplifiquen el sistema de gestión de acceso para los desarrolladores y comprendan la importancia de los controles de seguridad uniformes.
Riesgo versus sensibilidad, no red versus nube
Las organizaciones deben considerar cómo pueden mitigar el riesgo de sus datos, especialmente cuando trasladan cargas de trabajo críticas a la nube. Dado que los datos ahora están en la nube, también se debe considerar el riesgo de terceros para la protección de datos.
“¿Cuáles son las garantías técnicas de que [the] proveedor de la nube o un tercero no puede acceder a los datos del cliente o las claves? pregunta Nataraj. “Ese cambio de proporcionar la garantía técnica es el núcleo de la seguridad y privacidad de los datos”.
Con los datos en la nube, las organizaciones deben adoptar un enfoque basado en el riesgo y centrado en los datos para la estrategia de seguridad. Ya no pueden considerar su red como un límite de confianza y, en su lugar, deben centrarse en la confidencialidad de sus datos. Es vital equilibrar la sensibilidad de la información con la utilidad de su accesibilidad en la nube y contar con las políticas adecuadas para mitigar el riesgo de los datos.
Es importante aceptar que nada es 100% seguro y que se trata de cuándo, en lugar de si ocurrirá un ataque. Esto puede parecer un enfoque fatalista, pero suponiendo que nunca se pirateará y, por lo tanto, no tener contingencias para el peor de los casos, pone a una organización y sus datos en un riesgo significativo. Por lo tanto, es prudente contar con planes prácticos y probados para tales casos.
Gestión de controles de acceso con IAM
Tener un sistema de administración de identidades y accesos (IAM) implementado permite a las organizaciones tener una única interfaz de administración para controlar el acceso a sus diversos servicios en la nube. Al no tener que administrar los perfiles de usuario en cada una de las plataformas en la nube por separado, los equipos de TI podrán controlar de manera eficiente la administración de identidades, lo que les permitirá centrar su atención donde más se necesita.
Asumir que nunca ocurrirá una piratería y, por lo tanto, no contar con contingencias para el peor de los casos, pone a una organización y sus datos en un riesgo significativo. Por lo tanto, es prudente contar con planes prácticos y probados para tales casos.
Una superposición del sistema IAM también permitirá la auditoría del control de la información en múltiples plataformas en la nube. Esto permitirá monitorear cuándo y dónde se accede a la información, así como identificar cualquier actividad anormal en la nube.
Tener un conjunto codificado de estándares que identifiquen los controles de seguridad y los permisos de acceso a través de las plataformas en la nube es fundamental para un sistema unificado de gestión de identidades y seguridad. “No es solo un conjunto de documentos de políticas que dicen: ‘Deberás proteger los datos’”, dice Nataraj. “Necesita llegar a los controles prescriptivos específicos que dicen: ‘Así es como protege sus datos'”.
La automatización de este proceso permite que se cree una nueva infraestructura en la nube con los permisos de usuario de referencia establecidos. Esto garantiza que haya un enfoque coherente y repetible para la gestión de la información, que integra las políticas de seguridad y protección de datos de una organización en toda la red. También existe la ventaja de mejorar la agilidad de una organización para responder a nuevas oportunidades y reducir el retraso del proyecto, especialmente al principio.
Si bien la automatización puede mitigar el riesgo de una mala configuración debido a una mala comunicación y factores humanos, siempre debe haber un ser humano en el circuito para garantizar la supervisión de la red. Esto asegurará que haya coherencia en la forma en que una organización aprovecha la automatización a escala, al mismo tiempo que garantiza que no se desvíe de los controles de acceso establecidos.
La automatización del sistema IAM se puede coordinar con el sistema de detección de intrusos (IDS) de una red para auditar aún más los controles de acceso en toda la red y las plataformas en la nube de una organización. Estos pueden señalar la actividad sospechosa de la red a los administradores de la red, cuyas respuestas pueden retroalimentarse al IDS automatizado para refinar el algoritmo de detección de amenazas del aprendizaje automático.
Regulación de la protección de datos
Con un número creciente de plataformas comerciales que operan desde la nube, administrar el acceso a través de estas diversas plataformas se ha convertido en un desafío cada vez mayor. Esto ha pasado a primer plano con las últimas regulaciones de protección de datos, incluido el Reglamento General de Protección de Datos (RGPD) y la Ley de Protección de Datos de 2018.
Las leyes de protección de datos ahora no solo requieren que las organizaciones tengan las políticas adecuadas para proteger los datos de los usuarios, sino que estas políticas también requieren que el acceso a la información se pueda controlar y auditar. Un sistema IAM que supervisa una arquitectura multinube permite que los controles de acceso sean totalmente auditables, independientemente de cuántas plataformas y servicios en la nube utilice una organización.
Parece que la supervisión regulatoria seguirá creciendo, con la expansión de la legislación existente y el desarrollo de nuevas leyes de soberanía de datos. Esto seguirá haciendo que el intercambio de información y el procesamiento de datos sean un campo complejo. Identificar cómo evolucionan estas tendencias regulatorias cambiantes permitirá la preparación de mecanismos apropiados, asegurando así que los datos continúen siendo compartidos y procesados de una manera que cumpla con las regulaciones de protección de datos relevantes.
Gestión de riesgos y cumplimiento de IAM
Las organizaciones dependen cada vez más de los servicios basados en la nube para satisfacer sus necesidades comerciales. Por lo tanto, es fundamental contar con un sistema IAM integrado para garantizar que se cuente con los sistemas de gestión de acceso adecuados, ya que esto permitirá a las organizaciones aprovechar los beneficios de los servicios en la nube al mismo tiempo que garantiza que cumplen con la legislación sobre protección y soberanía de datos.
