La tecnología de la nube se está convirtiendo en una pieza clave para muchas empresas, debido a los múltiples beneficios que aporta. Sin embargo, también son muchos los riesgos asociados a estos nuevos entornos de trabajo, ya que cada vez se producen más brechas de seguridad en este tipo de herramientas corporativas. Por este motivo Check Point señala los seis puntos clave para poner en marcha un programa de Cloud Compliance de garantías que permita hacer frente a los ciberriesgos asociados a la nube.
“En la actualidad, los ciberataques son cada vez más rápidos y sofisticados, por lo que se requieren herramientas automáticas para mejorar la identificación de amenazas y mejorar el tiempo de respuesta y reparación. Esto es especialmente necesario en nuevos entornos de trabajo como la nube, que destacan por su naturaleza cambiante”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal. “En este sentido, contar con un programa de compliance de garantías es clave para potenciar la seguridad, el cumplimiento y el control en la nube, ya que permite evaluar riesgos y tomar las medidas de seguridad oportunas”, añade Nieva.
Si bien el cumplimiento no es una garantía de seguridad en entornos cloud, puede ayudar a tomar un enfoque en la estrategia de ciberseguridad. Los expertos de Check Point señalan que los pasos clave para implementar con éxito cualquier programa de cumplimiento en la nube son:
1. Ganar visibilidad de los activos: Sólo se puede proteger lo que se conoce y se tiene. Con la nube, los recursos digitalizados son sus activos, por lo que es fundamental que todos los sistemas estén correctamente organizados y adaptados para su futura evolución. Para muchas empresas, la vigilancia y el control de sus productos es también una manera de obtener más rentabilidad. En este sentido, la automatización de las operaciones en la nube permite hacer inventario y configurar los distintos elementos de los productos.
2. Elección del sistema de cumplimiento adecuado: Los programas de cumplimiento deben ser elegidos en base a las diferentes necesidades del mercado y de la industria. En el caso de las empresas para las que no existen normas de regulación específicas, las necesidades de su base de clientes pueden servir de guía para la elección, ya que puede buscar proveedores que cumplan las normas adecuadas a su propia industria. La elección de normas empresariales comunes, como el SOC2 de la AICPA, puede ser un buen punto de partida.
3. Evaluación inicial, excepciones y personalización: A la hora de analizar cualquier programa de cumplimiento, vale la pena examinar cómo otros han aplicado ciertas soluciones para cumplir con sus requisitos. Por ejemplo, los marcos de trabajo PCI muestran la necesidad de que los componentes específicos del sistema de datos del titular de la tarjeta (en lugar de toda la red o el sistema interconectado) reciban el mayor grado de protección. Esto da lugar a la segmentación y el aislamiento de partes del sistema para aislar los controles de cumplimiento sólo a los sistemas y datos en un determinado ámbito. La adaptación de un sistema para cumplir los requisitos de cumplimiento puede dar lugar a ahorro económico y mayor eficiencia.
4. Monitoreo, frecuencia de las evaluaciones continuas, integración con el flujo de trabajo: La mayoría de los programas de cumplimiento cuentan con controles que deben estar operativos en todo momento, por lo que es necesario supervisarlos continuamente. Para que sea más fácil cumplir con estos requisitos, muchas empresas utilizan herramientas que automatizan el flujo de trabajo y aseguran la eficiencia de sus sistemas. Esto puede ser tan sencillo como automatizar las funciones de seguridad, por ejemplo, añadir o eliminar usuarios, o acciones más complejas como combinar el tratamiento de los pedidos con confirmaciones multisistema para garantizar la precisión, la privacidad y la confidencialidad.
5. Reparación automatizada: Los sistemas que actúan en la nube son más complejos que los modelos tradicionales. Los controles de alta complejidad, como los sistemas de gran volumen y la detección de vulnerabilidades, se realizan automáticamente para aumentar la eficiencia. Sin embargo, es importante ser cuidadoso con la automatización de las actividades de seguimiento, especialmente en el caso de que se produzcan falsos positivos, ya que esto puede derivar en fallos de seguridad a gran escala.
6. Informes y auditorías: La implantación de la tecnología cloud debe venir acompaña de un sistema o herramienta que permita llevar un control sobre todo lo que sucede y, por tanto, generar informes periódicos que permitan evaluar de regular el rendimiento de todos los elementos que forman parte de la estrategia de ciberseguridad en la nube. De esta forma, se pueden analizar los puntos débiles y trabajar en medidas correctivas.
A medida que la industria de la nube crece, la efectividad de los programas de cumplimiento se ha visto afectada. Por tanto, es imprescindible contar con soluciones tecnológicas que faciliten algunos de los retos de la seguridad en la nube. En este sentido, Check Point cuenta con CloudGuard, un paquete integral de productos que ofrece medidas proactivas de protección para datos, cargas de trabajo, redes y aplicaciones en la nube. Gracias a la arquitectura Infinity de Check Point, CloudGuard ofrece inteligencia compartida y seguridad para la prevención de amenazas avanzadas, a fin de proteger todos los servicios en la nube del cliente contra los ciberataques más sofisticados de última generación.