Muchas organizaciones están moviendo sus aplicaciones y datos a la nube en lugar de incurrir en los costos de comprar hardware y ejecutar/mantener aplicaciones locales. Asimismo, otras organizaciones administran sus datos en sistemas locales, pero almacenan sus copias de seguridad en la nube. Independientemente del enfoque que elija su organización, es posible que aún tenga muchas preguntas sobre la seguridad basada en la nube. ¿Es la nube lo suficientemente segura? ¿Mis datos están seguros? ¿Cómo se protegen mis datos?
¿Qué es la seguridad en la nube?
La seguridad en la nube es un conjunto de políticas, métodos y tecnologías que protege la infraestructura, los datos y las aplicaciones basadas en la nube, ya sea que la nube sea privada, pública o híbrida. Está diseñada para mantener los datos:
- Seguros contra robo, eliminación no autorizada y fuga de datos
- Protegidos de ciberataques y accesos no autorizados
- Privados y seguros para respaldar los requisitos de cumplimiento normativo
La seguridad en la nube también autentica el acceso basado en roles y se puede configurar para satisfacer las necesidades de cualquier empresa. Para garantizar la mejor protección en la nube, su organización debe trabajar en estrecha colaboración con el proveedor de la nube para personalizar la seguridad y cumplir con los requisitos comerciales.
Seguridad de los datos en la nube vs. seguridad de los datos en las instalaciones
Las organizaciones pueden optar por realizar una copia de seguridad y proteger sus datos en las instalaciones, en la nube o mediante una combinación de ambos. Por ejemplo, su organización puede:
- Escenario 1: Ejecutar sus operaciones de TI en un sistema local y hacer una copia de seguridad de sus datos en su centro de datos en las instalaciones. Esto requerirá seguridad de datos en las instalaciones.
- Escenario 2: Ejecutar sus operaciones en un sistema local y hacer una copia de seguridad de sus datos en una nube pública o privada. Si la nube es privada, requerirá seguridad de datos en la nube y un personal de expertos en TI interno para administrar la infraestructura de la nube privada.
- Escenario 3: Utilizar aplicaciones SaaS basadas en la nube y hacer una copia de seguridad de sus datos en una nube pública o en un sistema en las instalaciones diferente.
Cualquiera que sea la estrategia de copia de seguridad que elija, es importante que siga la regla de copia de seguridad 3-2-1: tenga tres copias de sus datos (producción y dos copias de seguridad), en dos medios, con una copia de seguridad almacenada fuera del sitio, como en la nube. He aquí por qué:
- En el escenario 1, los desastres naturales, como huracanes y tornados, pueden acabar con sus sistemas y copias de seguridad locales. Los ciberdelincuentes también pueden atacar sus puntos finales y cualquier dispositivo conectado a la red de la empresa, incluidas las copias de seguridad en las instalaciones. Las copias de seguridad locales pueden ser una opción de recuperación conveniente, pero son vulnerables a los eventos de pérdida de datos locales. Por lo tanto, debe asegurarse de tener una segunda copia de seguridad almacenada fuera del sitio, como en la nube.
- En el escenario 2, mantener una segunda copia de seguridad almacenada fuera del sitio y aislada de su red garantiza que sus datos sobrevivirán a cualquier amenaza a sus puntos finales, redes o copias de seguridad locales. Realizar copias de seguridad en la nube es más conveniente, coherente y seguro que transportar unidades de archivos de copia de seguridad fuera de las instalaciones. También es necesaria una copia de seguridad local para la redundancia y una recuperación más rápida en caso de que sea necesario recuperar los archivos/datos seleccionados.
- En el escenario 3, es importante recordar que la única responsabilidad del proveedor de SaaS es asegurarse de que su infraestructura esté disponible. Por lo tanto, aunque respaldarán su infraestructura para cumplir con los Acuerdos de Nivel de Servicio (SLA, por sus siglas en inglés), no respaldarán sus datos. Depende de usted resolver la copia de seguridad y la recuperación de los datos de su organización.
La importancia de la protección en la nube
La seguridad de los datos en la computación en la nube es tan importante como la seguridad de los datos para sus sistemas en las instalaciones. En los primeros días de la computación en la nube, muchas organizaciones se abstuvieron de trasladar sus aplicaciones a la nube por temor a la pérdida de datos y la fuga de datos. Por ejemplo, las organizaciones de atención médica inicialmente se negaron a pasar a la nube debido a la preocupación por la seguridad de los registros médicos, cuya privacidad exigía la Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA, por sus siglas en inglés) de los Estados Unidos.
Afortunadamente, los proveedores de la nube han demostrado una y otra vez que sus procedimientos de monitoreo de seguridad en la nube mantienen los datos privados y seguros. De hecho, son incluso más seguros que la seguridad de muchos sistemas en las instalaciones, especialmente si su organización es una pequeña o mediana empresa. Los proveedores de la nube pueden contratar a los mejores expertos en seguridad que pueden mantenerse al día con las técnicas modernas que comprometen los datos.
Sin embargo, su organización aún tiene la responsabilidad de garantizar que las medidas de seguridad proporcionadas por los proveedores de la nube estén configuradas correctamente. Un artículo reciente de Gartner habla de este tema e indica que “El desafío no existe en la seguridad de la nube en sí, sino en las políticas y tecnologías para la seguridad y el control de la tecnología. En casi todos los casos, es el usuario, no el proveedor de la nube, quien no gestiona los controles utilizados para proteger los datos de una organización".
¿Cómo funciona la seguridad en la nube?
Existe una variedad de tecnologías, políticas y procesos que el proveedor de la nube debe utilizar para garantizar la seguridad de los datos en la nube. Al considerar qué proveedores de nube usar, solo considere aquellos que basan su política y procedimientos de seguridad en estándares de seguridad internacionales universalmente aceptados, como ISO 27001 y el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), y considere los requisitos de los marcos normativos locales relacionados, tales como el Reglamento General de Protección de Datos de Europa (GDPR, por sus siglas en inglés) y la HIPAA.
Aquí hay una lista de otras tecnologías y procedimientos que su organización debe seguir y/o buscar en un proveedor en la nube:
- Cifrado de archivos. Debe cifrar sus datos, incluso antes de enviarlos a la nube, con un cifrado sólido AES-256 aprobado por el gobierno. Su empresa configura el cifrado y solo los usuarios autorizados de su organización pueden acceder a él. El proveedor de la nube no debería poder ver sus datos porque los datos están almacenados en un almacenamiento cifrado en la nube.
- Comunicaciones seguras. Los metadatos deben estar encriptados y todas las comunicaciones de administración entre sus sistemas y la nube del proveedor deben ejecutarse a través de canales seguros con encriptación SSL. Esto significa que, en cualquier momento, todos los aspectos de sus datos están seguros.
- Firewall de aplicaciones web. El proveedor debe usar un Firewall de Aplicaciones Web (WAF, por sus siglas en inglés), que incluye protección instantánea contra inyección SQL, secuencias de comandos entre sitios, acceso no autorizado a recursos, inclusión de archivos remotos y otras amenazas de Seguridad de Aplicaciones Web Abiertas (OWASP, por sus siglas en inglés).
- Seguridad del centro de datos. El centro de datos físico debe ser altamente seguro con vallas altas, personal de seguridad 24x7 y videovigilancia con archivo de 90 días. También se deben requerir escaneos biométricos de geometría manual y tarjetas de proximidad para el acceso.
- Disponibilidad del centro de datos. La infraestructura del proveedor de la nube debe cumplir con los SLA de alta disponibilidad, manteniendo una infraestructura redundante para minimizar el tiempo de inactividad y eliminar los puntos únicos de falla. Además, los sistemas de energía eléctrica ubicados en los centros de datos deben proporcionar un suministro de energía ininterrumpido a toda la infraestructura 24/7. Las fuentes de alimentación ininterrumpidas automáticas protegen contra sobretensiones en caso de conmutación de líneas eléctricas y brindan soporte de energía durante el cambio a generadores diésel. Los centros de datos también deben estar alimentados por, al menos, dos fuentes de energía independientes.
- Copias de seguridad periódicas. El proveedor de la nube debe ejecutar copias de seguridad en un horario acordado regularmente para asegurarse de que sus datos estén protegidos debido a una interrupción importante.
- Mejores prácticas profesionales. El proveedor también debe haber implementado políticas estrictas de confidencialidad, ética comercial y código de conducta para todos los empleados, incluidas verificaciones de antecedentes cuando corresponda, acuerdos de no divulgación y principios de segregación de deberes, necesidad de saber y acceso con privilegios mínimos, para proteger contra actos maliciosos o inadvertidamente peligrosos por parte de personas con información privilegiada. Los estrictos controles de acceso, la autenticación de múltiples factores y el registro de actividad ubicuo garantizan solo el acceso adecuado a los sistemas sensibles.
Acronis Cyber Protect garantiza la seguridad y la protección de los datos basados en la nube
Acronis Cyber Protect Cloud ofrece un enfoque revolucionario llamado protección cibernética, que integra la protección de datos con la seguridad cibernética en una única solución. Este método integrado elimina los desafíos de complejidad, brinda una mejor protección contra las amenazas actuales y maximiza la eficiencia al ahorrar tiempo y dinero.
Con su protección full-stack antimalware y su gestión integral de puntos finales, Acronis Cyber Protect combate los ciberataques avanzados con una integración única de tecnologías de protección al tiempo que simplifica las operaciones de TI diarias, las implementaciones/la administración de puntos finales y la generación de informes. Ya sea que su organización necesite proteger sus sistemas en las instalaciones o datos basados en la nube, Acronis Cyber Protect ofrece las mejores tecnologías de protección antimalware, copia de seguridad e Inteligencia Artificial (AI, por sus siglas en inglés)/ Aprendizaje Automático (ML, por sus siglas en inglés) de la industria.