Cuando se migra a la nube y selecciona un proveedor de servicios, uno de los factores más importantes que se debe considerar es la seguridad. Compartirá y/o almacenará los datos de la empresa con el proveedor de servicios elegido.
Necesita estar seguro de que sus datos están seguros. Hay innumerables factores de seguridad a considerar, desde la responsabilidad compartida hasta si los estándares de seguridad del proveedor están a la altura. Esto puede ser un proceso desalentador, especialmente si no es un experto en seguridad.
Cuando se pasa a un servicio en la nube, un elemento clave de la seguridad es la protección de los datos en tránsito entre usted (el usuario final) y el proveedor. Esta es una responsabilidad doble tanto para usted como para el proveedor. Necesitará protección de la red para evitar la interceptación de datos y encriptación para evitar que un atacante lea cualquier dato en caso de ser interceptado.
Busque un proveedor de servicios que le ofrezca un conjunto de herramientas para ayudarle a cifrar fácilmente sus datos en tránsito y en reposo. Esto garantizará el mismo nivel de protección para cualquier tránsito de datos interno dentro del proveedor de servicios en la nube, o el tránsito entre el proveedor de servicios en la nube y otros servicios en los que las API pueden estar expuestas.
Cuando selecciona un proveedor de servicios de nube, es necesario comprender la ubicación física de donde se almacenan, procesan y gestionan los datos. Esto es especialmente importante después de la implementación de regulaciones gubernamentales e industriales como la GDPR.
Para asegurar que sus activos estén protegidos, un buen proveedor tendrá una protección física avanzada en su centro de datos para defender sus datos de accesos no autorizados. También se asegurarán de que sus activos de datos se borren antes de que se reabastezcan o se eliminen los recursos para evitar que caigan en las manos equivocadas.
Un factor clave en la seguridad es la capacidad de ver y controlar sus propios datos. Un buen proveedor de servicios le ofrecerá una solución que le proporcionará una visibilidad total de sus datos y de quién está accediendo a ellos, independientemente de dónde estén y de dónde usted se encuentre.
Su proveedor debe ofrecer un monitoreo de la actividad para que pueda descubrir los cambios de configuración y seguridad en todo su ecosistema. Así como apoyar el cumplimiento de la integración de soluciones nuevas y existentes.
Para asegurar el despliegue de la nube se necesitará más de una solución o socio. Un buen proveedor de servicios en la nube le facilitará la búsqueda y la conexión con diferentes socios y soluciones a través de un mercado.
Busque un proveedor con un mercado que ofrezca una red curada de socios de confianza con un historial de seguridad probado. El mercado también debería ofrecer soluciones de seguridad que proporcionen un despliegue con un solo clic y que sean complementarias para asegurar sus datos, ya sea que opere en un despliegue de nube público, privado o híbrido.
Un buen proveedor de servicios en la nube ofrecerá herramientas que permitan la gestión segura de los usuarios. Esto ayudará a impedir el acceso no autorizado a las interfaces y procedimientos de gestión para garantizar que las aplicaciones, los datos y los recursos no se vean comprometidos.
El proveedor de la nube también debe ofrecer funcionalidad para implementar protocolos de seguridad que separen a los usuarios y eviten que cualquier usuario malicioso (o comprometido) afecte a los servicios y datos de otro.
Cuando se considera un proveedor de servicios en la nube, la seguridad y el cumplimiento van de la mano. Deben cumplir los requisitos de cumplimiento global que son validados por una organización tercera. Usted desea un proveedor de servicios en la nube que siga las mejores prácticas de la industria en materia de Cloud Security e idealmente tenga una certificación reconocida.
El programa de Registro de Seguridad, Confianza y Garantía de la Alianza de Cloud Security (STAR) es un buen indicador. Además, si usted está operando en una industria altamente regulada – donde HIPPA, PCI-DSS, y GDPR podrían aplicarse – también tendrá que identificar un proveedor con certificación específica de la industria.
Para asegurar que sus esfuerzos de cumplimiento son rentables y eficientes, el proveedor de servicios en la nube debe ofrecerle la posibilidad de heredar sus controles de seguridad en sus propios programas de cumplimiento y certificación.
El proveedor cloud debe asegurarse de que el acceso a cualquier interfaz de servicio se limite únicamente a las personas autorizadas y autenticadas. Cuando se trata de proveedores, se desea un servicio que ofrezca características de identidad y autenticación, incluyendo nombre de usuario y contraseña, autenticación de dos factores, certificados de cliente TLS y federación de identidad con su proveedor de identidad existente.
También quiere la posibilidad de restringir el acceso a una línea dedicada, empresa o red comunitaria. Un buen proveedor sólo entrega autenticación a través de canales seguros – como HTTPS – para evitar la interceptación. Asegúrese de evitar los servicios con prácticas de autenticación débiles. Esto expondrá sus sistemas a un acceso no autorizado que conducirá a un robo de datos, cambios en su servicio o una denegación de servicio. También evite la autenticación por correo electrónico, HTTP o teléfono.
Son extremadamente vulnerables a la ingeniería social y a la interceptación de credenciales de identidad y autenticación.
Al seleccionar un servicio cloud, busque un proveedor que implemente una fuerte seguridad operacional para detectar y prevenir los ataques. Esto debería cubrir cuatro elementos básicos:
👉 Habrá una ruta de contacto clara para informar de cualquier incidente, con un plazo y un formato aceptables.
Necesita un proveedor de servicios en la nube en cuyo personal pueda confiar, ya que tendrá acceso a sus sistemas y datos. El proveedor de servicios en la nube que elija tendrá un proceso de control de seguridad riguroso y transparente.
Deberían poder verificar la identidad de su personal, el derecho al trabajo y comprobar si hay condenas penales pendientes. Lo ideal es que se ajusten a las normas de selección establecidas localmente en sus países, como BS 7858:2019 para el Reino Unido o rellenar el formulario I-9 en los EE.UU.
Además de la selección, se necesita un proveedor de servicios que se asegure de que su personal comprende sus responsabilidades inherentes de seguridad y se somete a una formación regular. También deben tener una política para minimizar el número de personas que tienen acceso a sus servicios y que pueden afectarlos.
Puede elegir un proveedor de nube con una seguridad de vanguardia y aún así experimentar una brecha a través de un mal uso del servicio. Es importante entender dónde están las responsabilidades de seguridad cuando se utiliza el servicio. Su nivel de responsabilidad será influenciado por su modelo de despliegue de nubes, la forma en que utiliza cualquier servicio y las características incorporadas de cualquier servicio individual.
Por ejemplo, tiene importantes responsabilidades de seguridad con IaaS. Desplegando una instancia de computación, la responsabilidad recaería en usted para instalar un sistema operativo moderno, configurar la seguridad, y garantizar los parches y el mantenimiento en curso. Lo mismo es cierto para cualquier aplicación que se despliegue en esa instancia. Por lo tanto, asegúrese de que entiende los requisitos de seguridad del servicio elegido y las opciones de configuración de seguridad disponibles. Asegúrese también de educar a su personal en el uso seguro de sus servicios elegidos.