Asumir la responsabilidad de la seguridad en la nube


Con la proliferación de servicios en la nube y la creciente amenaza de violaciones de datos, las empresas son cada vez más conscientes de los riesgos asociados con una infraestructura de seguridad deficiente. Sin embargo, estas amenazas pueden mitigarse mediante el establecimiento de los protocolos de seguridad adecuados mediante la negociación con el proveedor de la nube y el uso de un agente de seguridad de acceso a la nube (CASB). Los servicios en la nube son ideales para las empresas que necesitan escalabilidad, flexibilidad y fácil integración sin tener que invertir recursos masivos en hardware. Sin embargo, los servicios en la nube también plantean desafíos de seguridad.

Si confía únicamente en los servicios en la nube, las claves se transfieren efectivamente a otra empresa. También puede haber conflicto sobre quién es responsable de hacer una copia de seguridad y restaurar los datos perdidos.

De acuerdo con el Reglamento General de Protección de Datos (DSG) y, por lo tanto, la Ley de Protección de Datos 2018 El controlador de datos (la organización a la que pertenecen los datos) es el responsable final de la seguridad de los datos. No son los proveedores de servicios en la nube los que se consideran procesadores de datos. Por lo tanto, depende del controlador garantizar en última instancia que sus datos se mantengan seguros.

Si se produce una violación de datos, incluso si el controlador no tiene la culpa, debe probarlo. Se necesitaría evidencia para demostrar que la organización ha investigado a fondo las prácticas de seguridad de terceros potenciales y ha acordado por escrito las medidas de seguridad esperadas.

También es importante determinar en qué país o países se almacenan físicamente los datos. Esto también se aplica a las copias de seguridad de datos.

"El propietario de los datos es el responsable final, por lo que no hay lugar para esconderse si no ejerció su cuidado o riesgo", dice Colin Tankard. Director Gerente de Digital Pathways . "Si ha hecho todo esto y todavía hay una violación, entonces tiene su diligencia y tiene evidencia de lo que ha hecho".

Según la Ley de Protección de Datos de 2018, las empresas del Reino Unido no pueden transferir sus datos fuera del Espacio Económico Europeo sin protección adecuada, p. Ej. B. Acuerdos para el intercambio de datos. También puede haber casos en los que las leyes de un país exijan que ciertos tipos de datos se alojen dentro de sus límites.

"La gente debe tener mucho cuidado con sus datos".
Colin Tankard, Digital Pathways

En otras circunstancias, el alojamiento de datos en un país puede no ser apropiado si los usuarios de otro país acceden a esa información. En este contexto, debe tenerse en cuenta la legislación de control de exportaciones. Si la información a almacenar puede estar sujeta a controles de exportación, se debe buscar el asesoramiento de expertos.

"Primero, debe determinar dónde se almacenan sus datos", dice Tankard. "Por otro lado, la gente parece olvidar dónde se respaldan esos datos". Aunque los datos se almacenan en el Reino Unido, la copia de seguridad de este proveedor de la nube puede estar en India o América. La gente tiene que tener mucho cuidado donde están sus datos. Debe hacer preguntas claras y confirmar exactamente dónde se encuentran sus datos. "

Todos los proveedores de servicios en la nube ofrecen servicios en gran medida similares, pero sus responsabilidades reales dependen en gran medida de lo acordado en el contrato y de los servicios adicionales que proporcionan.

"La seguridad es un área clave en la que TI debe preocuparse con cada plataforma", dijo Alex Dalglish, Director de Servicio de Comparex UK (19459005). "Esto dará como resultado qué protocolos existen y cómo aseguran su red. En general, es responsabilidad del departamento de TI del cliente proporcionar las medidas de seguridad adecuadas para la suspensión. "

La responsabilidad de restaurar los datos es otra área gris que debe investigarse. En los casos en que el proveedor de servicios en la nube encuentra un problema técnico que causa la pérdida de datos, obviamente es tarea del proveedor de servicios en la nube recuperar los datos. Sin embargo, si es culpa del controlador de datos, un proveedor de servicios en la nube a veces no puede recuperar los datos perdidos a menos que el controlador de datos solicite específicamente ese servicio adicional en su contrato.

Tankard dice: "Nos encontramos con que la gente puede haber desordenado la base de datos y el proveedor de servicios no tiene una forma real de ayudarlos porque no marcaron. "

Solicitar tal servicio a menudo implica una inversión adicional. Vale la pena comparar el costo anual de estos servicios adicionales con el uso de sistemas internos para recuperar datos perdidos.

Para aquellos que ya han firmado un contrato con un proveedor de servicios en la nube, la determinación del período de renegociación debe tener prioridad. Esto puede ser complicado en un contrato continuo, pero el problema no es insuperable. Al leer cuidadosamente el contrato, se debe determinar cuándo se encuentran los períodos de renegociación.

"Su seguridad debe estar desacoplada del entorno de la nube".
Colin Tankard, Digital Pathways

Los proveedores de servicios en la nube más grandes como Google Cloud Platform y Amazon Web Services suelen tener las políticas de seguridad más sólidas. Sin embargo, no pueden proporcionar el mismo nivel de flexibilidad contractual que algunos de los proveedores de servicios en la nube más pequeños.

Los proveedores de servicios en la nube más pequeños también pueden ofrecer servicios más avanzados y adaptativos, pero su seguridad de datos puede verse comprometida debido a su debilidad. Menos recursos disponibles.

Siempre se prefieren múltiples niveles de seguridad porque toda la infraestructura de seguridad no requiere un solo sistema o proveedor.

"Creo firmemente que su seguridad necesita ser desconectada del entorno de la nube", dice Tankard. "Si usa Amazon o Microsoft, o quien sea que esté en la nube, no debe confiar en su seguridad; realmente necesita controlar algo en esta ecuación donde residen sus datos".

Por esta razón, el Uso de un CASB recomendado CASB es un servicio gatekeeper entre la infraestructura local de una empresa y un proveedor de servicios en la nube, lo que permite a las organizaciones extender sus políticas de seguridad más allá del alcance de su propia infraestructura.

típicamente lo siguiente:

  • Cortafuegos para identificar malware y bloquear el malware de la red.
  • Autentique para verificar a los usuarios y asegurarse de que solo accedan a los recursos apropiados. [1965] 19659028] Cortafuegos de aplicaciones web (WAF) para bloquear el malware que viola la seguridad a nivel de aplicación 1.
  • La prevención de pérdida de datos (DLP) para proteger a los usuarios está bloqueada por la transmisión de información confidencial.

Los CASB suelen garantizar que el tráfico de red entre dispositivos locales y el proveedor de la nube cumpla con las políticas de seguridad corporativas. El valor de los CASB se basa en su capacidad de proporcionar información sobre el uso de aplicaciones en la nube a través de plataformas en la nube e identificar cualquier uso no autorizado. Este último elemento es particularmente importante en industrias reguladas como la banca.

Los CASB utilizan el descubrimiento automático para identificar aplicaciones de nube usadas y para localizar usuarios de alto riesgo y otros factores de riesgo importantes. Los CASB pueden aplicar una variedad de controles de acceso de seguridad, incluidos el cifrado y la creación de perfiles de dispositivos. También puede proporcionar otros servicios, como: Por ejemplo, la asignación de credenciales (que permite el acceso a un sistema remoto en nombre de un usuario que ya ha sido autenticado) no está disponible si el inicio de sesión único (con las mismas credenciales de servicio múltiple) no está disponible. [19659003] Los CASB pueden incluir otros servicios de seguridad, como: Por ejemplo, encriptar todo el tráfico hacia y desde el proveedor de servicios en la nube. Los CASB son particularmente útiles para organizaciones con operaciones de TI en la sombra que permiten a las unidades operativas adquirir y administrar sus propios recursos en la nube.

Los datos recopilados por los CASB también pueden usarse por razones distintas a la seguridad, z Para monitorear el uso de los servicios en la nube con fines presupuestarios.

Los proveedores de seguridad de acceso a la nube incluyen McAfee SkyHigh Networks y Netskope . Microsoft también ha incluido la funcionalidad CASB en sus Servicios de seguridad básicos Azure sin costo adicional.

A medida que CASB evolucionó, los proveedores han agregado características de seguridad adicionales como: B .:

  • Single Sign-On (SSO): permite que cada empleado ingrese sus credenciales una vez y acceda a varias aplicaciones.
  • Cifrado: cifra la información desde la creación hasta el almacenamiento en la nube.
  • Herramientas de informes de cumplimiento: asegúrese de que los sistemas de seguridad de la empresa cumplan con las políticas corporativas y los requisitos reglamentarios.
  • Análisis de comportamiento del usuario – Identifica el comportamiento desviado que indica un ataque o violación de datos.

"Es una capa adicional, pero una capa que puedes controlar", dice Tankard. "Incluso si no lo controla, no ponga todos sus huevos en una canasta, ese es el valor real, pero no todo para un negocio".

Las empresas no tienen que enfrentar los crecientes beneficios de los servicios en la nube y los riesgos de seguridad asociados. reevaluar solo sus políticas de seguridad, pero también las de sus proveedores de servicios, para asegurarse de que ha revisado cuidadosamente y tomado todas las medidas razonables para proteger sus datos y los de sus clientes.



Software almacen de Cea Ordenadores