Close

Conceptos sobre la seguridad en la nube

¿Qué es la seguridad en la nube?

La seguridad en la nube es la tecnología y los procesos establecidos para proteger tus aplicaciones, datos e infraestructura en la nube. De igual manera que las medidas de seguridad físicas (como las cerraduras, los guardias de seguridad y los procesos de registro de visitantes) garantizan la seguridad del edificio de tu oficina, las medidas de seguridad en la nube (como la seguridad de confianza cero o el inicio de sesión único) te mantienen a salvo de las infracciones digitales.

Tanto si elijes una nube pública (alojada en un servidor compartido), una nube privada (alojada en un servidor privado) o una nube híbrida (una combinación de ambas), la seguridad es una prioridad máxima para la mayoría de las empresas… y con razón. Solo en la primera mitad de 2019, más de 3800 filtraciones expusieron 4100 millones de registros. Y el coste medio de una filtración de datos es de 3,92 millones de dólares.

La seguridad en la nube y en las implementaciones locales

Para muchas empresas, la gran pregunta es la siguiente: ¿Es la nube tan segura como una implementación local? En los primeros años de la nube, la respuesta era “no”. Sin embargo, hemos recorrido un largo camino desde entonces y la respuesta de hoy podría sorprenderte:

Según los datos, ahora la nube es probablemente más segura que una implementación local. De hecho, el 94 % de las empresas que ya se han pasado a la nube asegura que la seguridad mejoró tras el traslado. Además, en Atlassian, el 92 % de los clientes afirma que la seguridad es mejor o igual que la seguridad local, según una encuesta realizada por TechValidate entre 300 clientes de Atlassian que migraron a la nube.

Jarrett Prosser, Ingeniero Jefe de Rollercoaster Digital, afirma lo siguiente sobre el paso de su empresa a Atlassian Cloud: La estabilidad y la seguridad son sustancialmente mejores de lo que nos ofrecían las implementaciones locales. La capacidad de escalar con licencias de usuario individuales resulta muy rentable”.

Diferencias clave entre la seguridad local y en la nube

¿Por qué la seguridad en la nube es mucho mejor? La respuesta reside en las rigurosas pruebas de seguridad, los planes de recuperación ante desastres y el cifrado en tránsito y reposo, además de otras prácticas recomendadas. Además, la nube utiliza seguridad de confianza cero, lo que significa que se realizan varios controles de seguridad, mientras que en las implementaciones locales se suele optar por uno solo.

Seguridad local: los fosos

Cuando decimos que las implementaciones locales tienden a utilizar un único control de seguridad, lo que queremos decir es que la mayoría de los sistemas locales operan como el foso de un castillo. El sistema es el castillo y el foso es tu control de seguridad (habitualmente, un cortafuegos y una VPN para toda la empresa). Este sistema funciona bien, siempre y cuando nadie atraviese ese foso. Sin embargo, en cuanto hay una filtración... "Houston, tenemos un problema”. No solo es que alguien haya entrado en el sistema, sino que puede acceder a todo lo que quiera. El castillo es suyo.

Seguridad en la nube: confianza cero

La seguridad de confianza cero da preferencia a la verificación continua en lugar de las comprobaciones de seguridad puntuales. Estos son algunos de sus principios:

  • Autenticación frecuente basada en credenciales, dispositivo, etc.
  • Restricción de acceso a lo estrictamente necesario
  • Cifrado de sesiones de extremo a extremo

Esto significa que, en lugar de suponer que todo lo que está detrás del cortafuegos está protegido automáticamente, la confianza cero autentica, autoriza y cifra cada una de las solicitudes de acceso.

En otras palabras, con la seguridad de confianza cero, la nube funciona como una serie de islas. A diferencia de la estrategia de un único foso de seguridad de las implementaciones locales, cada isla está rodeada por su propio foso, y atravesar uno no da acceso a los demás. De este modo, una vulnerabilidad en un sistema o una incidencia con un inicio de sesión no ponen en peligro todo el ecosistema de islas.

Gestión de identidad en la nube

La gestión de identidad en la nube consiste en definir y gestionar las funciones y el acceso de los diferentes usuarios en tus sistemas en la nube y entre ellos. Un buen programa de gestión de identidad debe asignar una identidad única a cada usuario y concederle acceso a herramientas y sistemas en función de los permisos que se le hayan asignado específicamente.

La funcionalidad de gestión de identidad de la nube debería incluir lo siguiente:

  • Inicio de sesión único de SAML, que permite a los usuarios navegar por varios productos y sistemas con un único inicio de sesión seguro
  • Verificación en dos pasos para autenticar a los usuarios
  • Políticas de contraseña basadas en prácticas recomendadas para contraseñas
  • Soporte prioritario para resolver las incidencias de seguridad lo antes posible

Las claves de la seguridad en la nube

Si tienes la intención de pasarte a la nube, queremos darte tres consejos para que tu seguridad sea la mejor posible:

1. Elige los proveedores adecuados

En Atlassian, el 92 % de los clientes afirma que la seguridad es mejor o igual en la nube, según una encuesta realizada por TechValidate entre 300 clientes de Atlassian que migraron a la nube. Sin embargo, puede que no sea así con todos los proveedores de servicios en la nube. Por eso, en cuestión de seguridad, la elección del proveedor importa.

La buena noticia es que hay una gran oferta de proveedores de servicios en la nube que cumplen con la normativa. Esto proveedores suelen dedicar más recursos a la seguridad, la privacidad y el cumplimiento de los que puede asumir una organización de TI estándar. Además, muchos tienen equipos especializados que los mantienen a la vanguardia en las prácticas de seguridad. Al fin y al cabo, su reputación y la de toda su plataforma se basa en la confianza del cliente.

Pero ¿cómo puedes saber si un proveedor de servicios en la nube cumplirá con tus requisitos de seguridad y privacidad? Cuando evalúes a proveedores de servicios en la nube:

  • Pregunta qué certificaciones de cumplimiento han recibido.
  • Ten en cuenta el tipo de datos que introducirán tus equipos en la aplicación y el riesgo real de su exposición para la empresa (ya que no todos los datos requieren el mismo nivel de gestión de riesgos).
  • Determina cómo tu proveedor gestionará los permisos y el acceso de cada usuario a los datos del sistema.

2. Comparte la responsabilidad

Tu proveedor de servicios en la nube liberará a tu equipo de muchas tareas de seguridad, pero eso no significa que tú te puedas olvidar de todo. Las empresas más seguras colaboran para garantizar la seguridad de sus sistemas y datos.

Un buen proveedor de servicios en la nube se responsabilizará de la seguridad de las aplicaciones, los sistemas en los que se ejecutan y los entornos en los que se alojan. Por lo general, proporcionará actualizaciones automáticas y correcciones de errores sin que tu equipo tenga que hacer nada.

Por tu parte, tu equipo debe encargarse de gestionar la información de tus cuentas, los usuarios y permisos necesarios y las aplicaciones de Marketplace que instaléis y en las que confiáis.

3. Planifica un control permanente

La seguridad requiere un control continuo, tanto del proveedor de servicios en la nube como de tu equipo. Tu equipo no solo debe mantenerse al día de las actualizaciones de seguridad y de las políticas de tu proveedor de servicios en la nube y las aplicaciones. Además, debe realizar auditorías periódicas para identificar elementos que deberá incorporar a su concepto de seguridad, como la shadow IT o el almacenamiento inadecuado de datos fuera de los sistemas.

Riesgos de seguridad en la nube (y cómo reducirlos)

Shadow IT

El concepto de shadow IT se refiere al uso de un sistema o de una herramienta sin aprobación ni supervisión del departamento de TI. Con el rápido crecimiento de las herramientas disponibles, a muy bajo precio e incluso en ocasiones gratuitas, la shadow IT está creciendo a toda velocidad. De hecho, cuando las empresas analizan su shadow IT, suelen descubrir que es 10 veces mayor de lo que pensaban en un principio (según McAfee).

¿Qué significa esto para la seguridad en la nube? En palabras de Gartner: “En lugar de preguntarse si la nube es segura, los directores de sistemas informáticos deben preguntarse si lo es su forma de uso”.

Los datos nos dicen que todas las empresas utilizan herramientas en la nube, incluso las que creen que tienen implementaciones estrictamente locales. Lo que sucede es que el equipo de TI no siempre lo sabe.

Para reducir los riesgos que plantea la shadow IT, el primer paso es realizar una auditoría para identificar las herramientas que se están utilizando realmente en la empresa. ¿Cómo es realmente tu ecosistema de shadow IT? A partir de aquí, estos son los pasos que hay que seguir:

  • Evaluar la seguridad de esas herramientas
  • Añadir seguridad e incorporar esas herramientas al ecosistema gestionado por el departamento de TI
  • Descartar las herramientas que no son seguras y proporcionar a los empleados alternativas viables

También es útil contar con políticas de shadow IT documentadas y asegurarse de que los empleados saben lo que se requiere de ellos y por qué.

Política Bring Your Own Device (BYOD)

Una de las grandes ventajas de la nube es que permite a los empleados trabajar desde cualquier lugar y con varios dispositivos. Pero esto también implica asegurarse de que todos los dispositivos cumplen con tus estándares de seguridad. Para reducir el riesgo de que los empleados trabajen desde dispositivos poco seguros, muchas empresas tienen políticas BYOD que detallan lo siguiente:

  • Lo que los empleados pueden y no pueden hacer en dispositivos que no pertenecen a la empresa (¿hay ciertos datos a los que no deberían acceder o que no deberían descargar? ¿Hay aplicaciones que solo están disponibles en dispositivos seguros de la empresa?)
  • Usos, aplicaciones o páginas web restringidos (o no seguros)
  • Procedimiento en caso de que roben el dispositivo de un empleado con datos de la empresa y haya que borrar los datos
  • Requisitos de seguridad para los dispositivos que acceden a los datos de la empresa (requisitos de contraseña, por ejemplo)
  • Políticas de pago (si un empleado utiliza un dispositivo para trabajar, ¿la empresa pagará parte o la totalidad de la factura?)

Visibilidad y seguridad de los datos

Con el RGPD, la Ley de Privacidad de California y las nuevas regulaciones que surgen cada año, la privacidad de los datos es más importante que nunca. Además, tus empleados y clientes tienen unas altas expectativas para el tratamiento de su información confidencial.

Para reducir el riesgo de filtración de datos o de incumplimiento del RGPD, deberás buscar proveedores que cifren datos en tránsito y en reposo, exijan altos estándares de privacidad de datos a las aplicaciones de terceros y tengan productos de Cloud que garanticen el cumplimiento legal de forma predeterminada.

Seguridad de la aplicación

Un buen proveedor también tendrá requisitos de seguridad para las aplicaciones de terceros. Busca proveedores con requisitos de seguridad sólidos, que cumplan con el RGPD y que tengan programas de recompensas por errores. Además, si decides utilizar integraciones o aplicaciones externas que no haya examinado tu proveedor, te recomendamos recurrir a un experto para evaluar posibles riesgos de seguridad.

Seguridad en Atlassian

Hay un buen motivo por el que el 92 % de los clientes de Atlassian afirma que la seguridad en la nube es igual o mejor. Y es que está incorporada en el ADN de nuestros procesos, nuestra infraestructura y nuestros productos de Cloud, y estamos comprometidos a mejorarla cada día.

La transparencia es clave en nuestra filosofía de seguridad. Por este motivo, colaboramos con Cloud Security Alliance (CSA) para que todas nuestras prácticas, políticas y demás estén disponibles públicamente.

Para saber cómo protege Atlassian tus sistemas y datos, visita nuestro Trust Center o explora estos recursos adicionales sobre seguridad:

* A partir de una encuesta de TechValidate entre más de 320 clientes de Atlassian.


Visita nuestro Security Center


Próximamente...

Plataforma en la nube

Visita el Trust Center de Atlassian

Consigue la información más reciente sobre la seguridad, la fiabilidad, la privacidad y la conformidad de los productos y servicios de Atlassian.

Migración a Cloud

Más información sobre la migración a Cloud

Encuentra todos los recursos, las herramientas y el soporte que necesites para evaluar si Cloud es la opción ideal para tu organización.