El advenimiento de la nube ha provocado importantes cambios en la TI empresarial. La seguridad, sin ir más lejos, demanda un nuevo enfoque acorde con esta realidad. Como compañía líder en soluciones de Seguridad Cloud, Netskope ofrece la visibilidad y el control que las empresas requieren para mantener sus datos a salvo. Por este motivo, la compañía ofrece una serie de consejos a tener en cuenta para una buena estrategia de seguridad en la nube.
En la actualidad son pocas las empresas que de un modo u otro no están en la nube. Tanto es así, que los datos corporativos se encuentran en constante movimiento entre múltiples servicios, alojados en jurisdicciones geográficas dispares, siendo utilizados y analizados por numerosas partes, tanto dentro de la organización como entre los socios, e incluso potencialmente informando a terceros sobre los sistemas de machine learning. Por tanto, ya no tiene sentido hablar de DLP o de Prevención de Pérdida de Datos, la realidad obliga a adoptar nuevas formas de proteger esta información.
“Estamos tratando de resolver los problemas de seguridad en la nube con appliances diseñados para un mundo muy diferente, cuando la realidad es que este reto debe afrontarse de un modo distinto. No podemos obtener la visibilidad y el control que necesitamos sobre nuestros datos en la nube con cajas físicas, ni siquiera con aquellas recién inventadas. Es como intentar arrancar un Tesla con una manivela. Los datos en la nube necesitan ser protegidos por herramientas de seguridad diseñadas desde y para la nube.” Afirma Neil Thacker, CISO para EMEA de Netskope.
Protección avanzada y conocimiento de las amenazas
Ciertamente, el proceso de autorizar aplicaciones individuales en la nube resulta demasiado costoso. Las empresas invierten aproximadamente cuatro días en verificar un servicio cloud, por lo que una compañía que de media utilice más de 1.200 aplicaciones en la nube, destinaría 13 años -en horas/hombre- en evaluarlas y crear manualmente una lista negra o blanca. Y este cálculo no tiene en cuenta el hecho de que un proveedor de servicios cloud puede, de la noche a la mañana, cambiar los protocolos de seguridad.
Ya no es realista esperar que los equipos internos puedan seguir el ritmo de las evaluaciones de seguridad
Ya no es realista esperar que los equipos internos puedan seguir el ritmo de las evaluaciones de seguridad. Las tecnologías actuales de protección de datos deben combinarse con el conocimiento de las amenazas. La Cloud Security Alliance (CSA) emite criterios objetivos para la evaluación de la seguridad de las aplicaciones y servicios en la nube. El Índice de Confianza en la Nube (CCI) de Netskope utiliza estos criterios para otorgar a los servicios en la nube una puntuación sobre 100. Además, dichas calificaciones se evalúan y actualizan cada vez que los proveedores de servicios cloud cambian sus políticas y acuerdos de usuario.
Proteger los datos sin bloquearlos
Efectivamente, manejar información actualizada es un comienzo crucial. Sin embargo, tener constancia de que un determinado servicio cloud es adecuado para la empresa, no tiene por qué derivar en su uso generalizado. Por ejemplo, aunque el CCI de Netskope considere que el servicio Box es apropiado para una empresa, ¿cómo puede esta empresa asegurarse de que los empleados no están utilizando sus cuentas personales de Box para gestionar los datos corporativos? Por tanto, los responsables de TI deben asumir que las personas pueden gestionar varias cuentas con proveedores de servicios cloud, tanto personales como profesionales, por lo que deben tener claro el modo en que van a realizar el seguimiento, y, una vez hecho, imponer políticas de protección de datos para las distintas cuentas.
Además de controlar quién está accediendo a qué datos, para que una estrategia de protección de datos sea eficaz es necesario conocer también desde dónde se está produciendo ese acceso y cómo se está realizando.
El acceso remoto y móvil es algo que los profesionales de TI han tenido que afrontar recientemente, pero los servicios en la nube añaden otro nivel de atención a cualquier política. El 50% del acceso a los servicios cloud proviene actualmente de dispositivos móviles, por lo que muchas organizaciones pueden decidir abordar diferentes políticas de seguridad en la nube para dispositivos corporativos frente a dispositivos personales, o conexiones de red o ubicación IP. Cada empresa tendrá diferentes niveles de comodidad y, aunque los modelos de “mejores prácticas” pueden ser útiles, una vez empiecen a ser implementados en una empresa real, los sistemas de protección de datos deberán conocer y responder a algo más que a las categorías de personas y datos.
Se dispara el uso de IaaS pública
Los riesgos y la seguridad de los servicios cloud van mucho más allá de los servicios SaaS, que se introducen en las organizaciones como si fueran Shadow TI. Realmente, el uso de soluciones IaaS como Amazon Web Services, Google Cloud Platform o Microsoft Azure se está disparando, sobre todo, según los equipos de desarrollo crean aplicaciones y recursos para apoyar objetivos estratégicos.
A la luz de este impulso, ya no tiene sentido gestionar políticas de protección de datos individualmente para cada IaaS, PaaS o incluso administrar las políticas de SaaS y Web por separado. Lo inteligente es contar con una estrategia de protección de datos que permita que una organización diseñe políticas granulares a nivel de usuario, dispositivo o actividad y que puedan aplicarse y gestionarse fácilmente en todas las plataformas, incluyendo Amazon S3 Buckets, Microsoft Azure Blob storage, Workplace by Facebook y servicios web.