¿Qué es la seguridad basada en la nube y cómo funciona?

Muchas organizaciones trasladan sus aplicaciones y datos a la nube en lugar de incurrir en los costos de compra de hardware y ejecutar/mantener una aplicación a nivel local. Del mismo modo, otras organizaciones gestionan sus datos en sistemas locales, pero almacenan sus copias de seguridad en la nube. Independiente de qué enfoque prefiera su organización, puede que usted aún tenga muchas interrogantes respecto a la seguridad basada en la nube. ¿La nube tiene la seguridad suficiente? ¿Están a salvo mis datos? ¿Están protegidos mis datos? 

La seguridad en la nube es un conjunto de políticas, métodos y tecnologías que protegen la infraestructura, datos y aplicaciones que se basan en la nube, sin importar que la nube sea privada, pública o híbrida. Se diseñó para mantener los datos:

• A salvo de robo, eliminación no autorizada y filtración
• Protegidos de ciberataques y acceso no autorizado
• En privado y seguros para brindar apoyo a los requerimientos de cumplimiento normativo

La seguridad en la nube también autentica el acceso basado en una función particular y puede configurarse para cumplir las necesidades de cualquier negocio. Para garantizar la mejor protección, su organización debe trabajar de cerca con el proveedor de nube para personalizar la seguridad y cumplir con los requerimientos empresariales.  

Las organizaciones pueden optar por respaldar y resguardar sus datos dentro de sus instalaciones, en la nube o por medio de una combinación de ambas opciones. Por ejemplo, su organización puede:

• Situación 1: Ejecutar sus operaciones de TI en un sistema dentro de las instalaciones y respaldar sus datos en su centro de datos local. Esta medida exigirá seguridad de datos a nivel local.
• Situación 2: Ejecutar sus operaciones en un sistema dentro de las instalaciones y respaldar sus datos en una nube pública o privada. Si la nube es privada, se requerirá de seguridad de datos de nube y un personal dotado de expertos informáticos en casa para gestionar la infraestructura de nube privada.
• Situación 3: Usar aplicaciones SaaS basadas en la nube y respaldar sus datos en una nube pública o sistema local diferente.   

Independiente de la estrategia de respaldo que usted determine como adecuada, es importante que usted siga la regla de respaldo 3-2-1: tener tres copias de sus datos (producción y dos copias de seguridad), en dos medios, con un respaldo almacenado fuera de las premisas, es decir, en la nube. Esta es la razón:

• En la Situación 1, desastres naturales, como huracanes o tornados, pueden hacer desaparecer sus sistemas y respaldos locales. Los piratas informáticos también pueden atacar sus puntos finales y cualquier dispositivo conectado a la red de la compañía, incluidas las copias de seguridad a nivel local. Las copias de seguridad locales pueden ser una alternativa de recuperación conveniente, aunque son vulnerables a eventos de pérdida de datos locales. Por lo tanto, debe asegurarse de tener un segundo respaldo almacenado fuera de las instalaciones; en la nube, por ejemplo.
• En la Situación 2, mantener un segundo respaldo que se almacene fuera de las premisas y esté aislado de su red garantiza que sus datos sobrevivirán a cualquier amenaza contra sus puntos finales, redes o copias de seguridad. Respaldar en la nube es más conveniente, consistente y seguro que transportar unidades de respaldo de archivos a un lugar externo. Una copia de seguridad local también es necesaria para redundancia y recuperación más rápida en el caso de que los archivos/datos seleccionados deban recuperarse. 
• En la Situación 3, es importante recordar que la única responsabilidad del proveedor de SaaS es garantizar la disponibilidad de la infraestructura. Por lo tanto, si bien respaldan su propia infraestructura para cumplir con los acuerdos de nivel de servicio (SLA), no realizan respaldos de los datos que le pertenecen. Depende de usted resolver el ámbito de recuperación y respaldo de los datos de su organización.  

La seguridad de los datos en la computación en la nube es tan importante como la seguridad de los datos para sus sistemas locales. Durante los primeros días de la computación en la nube, muchas organizaciones se abstuvieron de trasladar sus aplicaciones a la nube a causa de su miedo a que hubiera una pérdida o filtración de datos. Por ejemplo, las organizaciones de atención de salud se rehusaron en un principio a moverse a la nube debido a su preocupación sobre la seguridad de los registros médicos, cuya privacidad está encomendada por la Ley de Transferibilidad y Responsabilidad del Seguro de Salud de los Estados Unidos (HIPAA).

Afortunadamente, los proveedores de nube han demostrado una y otra vez que sus procedimientos para supervisión de seguridad en la nube mantienen los datos a salvo y en privado. De hecho, están incluso más seguros que en la mayoría de sistemas locales, en especial si su organización es una empresa de pequeña o mediana envergadura. Los proveedores de nube pueden contratar a los mejores expertos en seguridad, quienes pueden mantenerse actualizados con las técnicas modernas que ponen en riesgo los datos.   

No obstante, su organización aún tiene la responsabilidad de garantizar que las medidas de seguridad entregadas por los proveedores de nube tengan la configuración adecuada. Un artículo reciente de Gartner habla sobre este aspecto indicando que “El desafío no solo yace en la seguridad de la nube misma, sino en las políticas y tecnologías para la seguridad y control de la tecnología. En casi todos los casos, es el usuario, no el proveedor de nube, quien comete un error en la gestión de los controles utilizados para resguardar los datos de una organización”.  

Existe una diversidad de tecnologías, políticas y procesos que el proveedor de nube debe utilizar para garantizar la seguridad de los datos en la nube. Al tener en consideración qué utilizan los proveedores de nube, solo tenga en cuenta aquellos que basan su política de seguridad y procedimientos en los estándares de seguridad internacional universalmente aceptados como ISO 27001 y el Instituto Nacional de Estándares y Tecnología (NIST) y consideran los requerimientos de los marcos reglamentarios locales como el Reglamento General de Protección de Datos (GDPR) de Europa e HIPAA.

A continuación, se describe una lista de otras tecnologías y procedimientos que su organización debería seguir y/o buscar en un proveedor de nube:  

1. Encriptación de archivos. Usted debe encriptar sus datos incluso antes de enviarlos a la nube con un cifrado sólido AES-256 aprobado por el gobierno. Su empresa prepara la encriptación y solo los usuarios autorizados en su organización pueden acceder a esta. ¡El proveedor de nube no debe ser capaz de ver sus datos debido a que los datos se guardan en un almacenamiento de nube encriptado!
2. Comunicaciones seguras. Los metadatos deben encriptarse y todos los comunicados de gestión entre sus sistemas y la nube del proveedor deben pasar a través de canales de seguridad con encriptación SSL. Esto significa que, en cualquier momento, todos los aspectos de sus datos están protegidos.
3. Firewall de aplicación web. El proveedor debe usar un firewall de aplicación web (WAF), que incluye protección instantánea contra inyección SQL, scripts de sitios, acceso no autorizado a recursos, inclusión de archivo remoto y otras amenazas OWASP (Proyecto Abierto de Seguridad de Aplicaciones Web).
4. Seguridad de centro de datos. El centro de datos físico debe gozar de alta seguridad mediante el uso de barreras altas, personal de seguridad 24x7 y vigilancia por video con archivado de 90 días. También se debe requerir escaneos biométricos de la geometría de mano y tarjeta de proximidad para acceso.
5. Disponibilidad de centro de datos. La infraestructura del proveedor de nube debe cumplir con SLA de alta disponibilidad manteniendo una infraestructura redundante para minimizar el tiempo de inactividad y eliminar puntos únicos de falla. Además, los sistemas de alimentación eléctrica ubicados en los centros de datos deben ofrecer suministro eléctrico sin interrupción a la infraestructura completa 24x7. Las fuentes de alimentación sin interrupción automáticas lo protegen contra aumentos de corriente en caso de cambio de líneas eléctricas y proporcionan soporte durante la conmutación de generadores diésel. Los centros de datos también deben alimentarse de al menos dos fuentes de energía independientes.
6. Copias de seguridad regulares. El proveedor de nube debe ejecutar copias de seguridad en base a un cronograma acordado regularmente para asegurarse de que sus datos tengan protección debido a una interrupción importante.
7. Mejores prácticas profesionales. El proveedor también debe contar con la implementación de políticas estrictas en materia de confidencialidad, ética comercial y código de conducta para todos los empleados, contemplando verificación de antecedentes cuando resulte apropiado, acuerdos de no divulgación y principios de segregación de deberes, necesidad de conocimiento y acceso con privilegio mínimo, para proteger contra actos maliciosos y peligrosos inadvertidamente cometidos por informantes. Controles estrictos de acceso, autenticación de multifactor y registro de actividad extendida que garantice solo el acceso adecuado a los sistemas sensibles.

Acronis Cyber Protect Cloud ofrece un enfoque revolucionario denominado ciberprotección, que integra la protección de datos con la ciberseguridad en una única solución. Este método integrado elimina los desafíos de complejidad, ofrece una mejor protección contra las amenazas actuales y maximiza la eficiencia ahorrando tiempo y dinero.

Armado con su equipo completo de protección antimalware y gestión exhaustiva de punto final, Acronis Cyber Protect combate los ciberataques avanzados con una integración única de tecnologías de protección mientras simplifica las operaciones de TI diarias, implementaciones/gestiones de punto final y la presentación de informes. Ya sea que su organización necesite proteger sus sistemas a nivel local o los datos basados en la nube, Acronis Cyber Protect ofrece lo mejor en tecnologías de protección antimalware de la industria, respaldo e inteligencia artificial (IA)/aprendizaje mecánico (ML).