Nube y Ciberseguridad

El uso de la nube conlleva grandes beneficios tanto aplicativos como económicos a mediano y largo plazo. Sin embargo, de no ser administrada correctamente, también puede ser blanco de ciberataques.

En este blog conoceremos a profundidad las características de un servicio en la nube, así como las consideraciones que debemos tener en cuenta al migrar nuestra información a un servicio cloud para minimizar riesgos.

 

Índice

●  ¿Qué es la nube?
●  Características de la nube
●  Tipos de nube
●  Amenazas de ciberseguridad en la nube
●  Riesgos de la nube
●  Cómo reducir los riesgos en la nube

Nube Ciberseguridad

La nube, tecnologías implementadas para almacenar y gestionar datos.

¿Qué es la nube?

La nube, también conocida como computación en la nube, servicios en la nube o informática en la nube; son las tecnologías o una red global de servidores con funciones específicas, conectados para funcionar como un ecosistema único. Estas tecnologías son implementadas para almacenar y gestionar datos, ejecutar programas o aplicaciones y proporcionar servicios. Los servicios en la nube facilitan el acceso a la información desde cualquier dispositivo conectado.

Características de la nube

●  Escalabilidad y elasticidad. Los recursos de la nube no son limitados; gracias a su capacidad, sus tecnologías se adaptarán a la carga a la que están siendo sometidos, por lo que no se agotará el almacenamiento o la capacidad de computación de tu aplicación.

●  Independencia. Una de las principales características de la computación en la nube es poder acceder desde cualquier dispositivo o consolas de administración.

●  Seguridad. Los usuarios de la nube son los responsables de asegurarse de la seguridad a nivel de aplicación. Los proveedores de los servicios en la nube son responsables de la seguridad física.

●  Los costos se reducen. La infraestructura es otorgada por una tercera parte y no tiene que ser adquirida por una sola vez o tareas informáticas.

●  Rendimiento. Todos los recursos están disponibles para optimizar el resultado final. Se generan integraciones a fin de que el usuario tenga una mayor eficiencia y rendimiento para dar seguimiento y realizar correcciones que le permitan incrementar aún más la capacidad de los recursos.

●  Mantenimiento. El mantenimiento disminuye, no es necesario tener un departamento completo para el sustento de la nube. Se puede asignar a un responsable para dar seguimiento. La nube realiza el mantenimiento de los sistemas automáticamente, lo que contribuye con la optimización de los tiempos.

Tipos de nube

●  Nube privada. Constituida de una sola organización con su propia nube de servidores y software para la utilización sin un punto de acceso público.

●  Nube pública. Diversas empresas pueden usarla de manera simultánea, compartiendo recursos y ofreciendo servicios. El proveedor de la nube es responsable por el mantenimiento de seguridad.

●  Nube híbrida. Compuesta por dos o más infraestructuras, entre nubes públicas y privadas, que permanecen como entidades únicas, unidas por una tecnología.

●  Nube comunitaria. Comparte recursos entre empresas u organizaciones que reúnen en pool sus recursos en la nube para resolver un problema común.

 

Amenazas de ciberseguridad en la nube

Las amenazas en la nube dependen del tipo de servicio contratado y de su forma de contratación y de despliegue. Éstas son algunas amenazas a tomar en cuenta:

Robo de datos
Puede ser a consecuencia de un ataque dirigido, a través de un error humano, vulnerabilidades de una aplicación o malas prácticas de seguridad. Los datos robados generalmente son información de salud, financiera, información de identificación personal, secretos comerciales y propiedad intelectual.

Gestión de la identidad y los accesos deficientes
Una mala administración de la identidad, claves de acceso o credenciales, puede ocasionar que los cibercriminales tengan acceso, modifiquen y eliminen datos; roben la información o espíen, así como inyectar aplicaciones o código malicioso que parece provenir de un usuario legítimo.

APIs inseguras
Uno de los aspectos fundamentales de la seguridad de servicios en la nube son las interfaces de programación para crear aplicaciones, pues tienen que diseñarse con políticas de seguridad que garanticen la protección de la información.

Vulnerabilidades de los sistemas
Las vulnerabilidades del sistema pueden ser aprovechadas por los ciberatacantes para infiltrarse, robar datos, adquirir el control o interrumpir el servicio.

Ataques desde el interior
Un administrador malintencionado, puede tener acceso a información confidencial y puede tener niveles crecientes de acceso a sistemas más críticos y a datos.

Amenazas persistentes avanzadas (APT)
Las Amenazas Avanzadas Persistentes son un tipo de ataque que se infiltra en los sistemas para comprometer un sistema que albergue información valiosa. Las APT persiguen a sus objetivos de forma sigilosa durante largos periodos de tiempo, a menudo adaptándose a las medidas de seguridad destinadas a defenderse contra ellos. El problema en los servicios en la nube se encuentra en que, una vez instalados, los ataques pueden moverse lateralmente a través de las redes del centro de datos y mezclarse con el tráfico de red normal para lograr sus objetivos.

Ataques de denegación de servicio (DoS)
Un ataque DDoS (Distributed Denial of Service) es un intento de agotar los recursos disponibles para una red, aplicación o servicio para que sus usuarios legítimos no puedan accederla. Al forzar a un servicio cloud a consumir cantidades excesivas de recursos, los cibercriminales pueden ralentizar los sistemas de los usuarios legítimos o incluso dejarlos sin acceso.

Riesgos de la nube
Es necesario realizar una evaluación de riesgos de la nube que puedan afectar el servicio que se va a contratar, para que, de esta manera, se establezcan las medidas de seguridad que se deben implementar. Estos son algunos de los riesgos que tiene la nube:

Acceso de usuarios con privilegios
Un empleado con privilegios de administrador accede cuando no debería o actúa con malas intenciones, modificando datos o configuraciones. El factor humano también implica riesgos, ya que es posible que por error se den privilegios a colaboradores que no deban tenerlos y estos, por desconocimiento, provoquen daños.

Incumplimiento normativo
Se incurre en incumplimiento normativo cuando el proveedor no cumple, o no nos permite cumplir, con nuestras obligaciones legales. Por este tipo de infracciones nos podemos enfrentar a sanciones legales.

Desconocimiento de la localización de los datos
El adquirir servicios con un proveedor de alojamiento de datos en un centro de datos del que se desconoce su ubicación, implica un riesgo al no conocer la legislación de otros países.

Falta de aislamiento de los datos
Al contratar los servicios en la nube, las empresas comparten la infraestructura en la nube con otras, es necesario que el proveedor gestione que los datos de las distintas compañías no se mezclen y que cada una solo tenga acceso a los suyos.

Indisponibilidad del servicio en caso de desastre o incidente
Es importante hacer conciencia que en caso de que el proveedor sufra un incidente grave o un desastre y no cuente con un plan de continuidad, no podrán seguir dando servicio.

Carencia de soporte investigativo
En caso de algún un incidente, se necesita revisar los accesos a los datos para conocer qué ha ocurrido. Se requiere que el proveedor garantice los accesos a los registros de actividad.

Viabilidad a largo plazo
Existe el riesgo de que las condiciones del contrato sufran alguna modificación debido al cambio de estructura del proveedor, de la alta dirección, a la entrada en situación de quiebra del mismo o a que decida externalizar parte de sus servicios. Por ello, es recomendable asegurar el acceso a los datos y su recuperación.

 

Cómo reducir los riesgos en la nube

Acceso de usuarios con privilegios
Para la mitigación se necesita crear un consejo con el proveedor, a fin de que los usuarios que tienen privilegios sean solo los que deban tenerlos. Es responsabilidad del empresario decidir qué privilegios de acceso tendrán sus colaboradores en función de la información a acceder.

Cumplimiento no normativo
Para amortiguar el cumplimiento no normativo es importante realizar auditorías externas y certificaciones de seguridad. La responsabilidad del empresario consiste en velar por el cumplimiento normativo dentro de la empresa y que las auditorías se realicen adecuadamente.

Recuperación
Para reducir este riesgo, es necesario exigir a los proveedores la capacidad de recuperación de los datos y el tiempo estimado.

Localización de los datos
Para aminorar los riesgos de la localización de los datos, se necesita conocer el marco regulatorio aplicable al almacenamiento y procesado de datos. Es recomendable que el proveedor de servicios se adapte al marco legal del país de suscriptor del servicio. El empresario es responsable de conocer la localización de sus datos para informarse sobre la legislación pertinente.

Aislamiento de los datos
Para mitigar este riesgo, es necesario que los datos en reposo estén aislados y los procedimientos de cifrado se ejecuten por personal experimentado. El responsable debe saber dónde está localizada la información más sensible para su organización y adoptar las medidas de protección necesarias.

Soporte de investigación
El proveedor debe garantizar que los logs y los datos se gestionen de forma centralizada.

Viabilidad a largo plazo
El cliente debe tener la seguridad de que va a poder recuperar todos los datos en caso de que el proveedor cambie la estructura o la dirección.

 

4 mejores prácticas para la seguridad en la nube

1. Definir un acuerdo sólido de nivel de servicios (SLA)
Al adquirir los servicios de un proveedor de servicios cloud, es sumamente importante establecer las responsabilidades de las partes involucrada bajo contrato, donde se fijen los niveles de control, accesos, servicios y seguridad de la misma.

2. Establecer el diseño de la arquitectura de seguridad
Ambas partes tienen que integrar, alinearse y detallar el contrato de arquitectura en seguridad utilizada en el entorno a contratar. Es fundamental asegurarse de que el proveedor suministre las condiciones mínimas como un firewall, antivirus, protección anti DDos, entre otros.

3. Solicitar protecciones avanzadas del perímetro
La seguridad perimetral tiene que ser considerada para el resguardo de la información, por lo que se recomienda requerir estos servicios de seguridad avanzados.

Para resolver la seguridad del correo electrónico se debe considerar:

●  Antivirus
●  AntiSpam
●  Control de fugas de información
●  Posibilidad de crear reglas específicas para el bloqueo, incluyendo los archivos adjuntos
●  Monitoreo de correo electrónico


Una solución de aplicación en la nube debe tener lo siguiente:

●  Herramientas de detección de intrusos
●  Firewall de aplicaciones (WAF)
●  Firewall de nueva generación (NGFW)
●  Herramientas de mitigación de ataques para DDoS
●  Correlación de registro
●  Red de entrega de contenido (CDN)

4. Permitir el Ethical Hacking
Se debe permitir el análisis de vulnerabilidades y corrección ética planificada adecuadamente para la nube. Este tipo de análisis debe ser hecho por una empresa subcontratada por el proveedor que la empresa considere confiable.

La Nube demuestra tener grandes ventajas para la escalabilidad y economía de las empresas por lo que no sorprende que sea una solución cada vez más popular.

La migración hacia esta solución debe tomar en cuenta elementos que garanticen una infraestructura más robusta y optimizada para los requerimientos de cada organización siempre considerando como pilar fundamental la seguridad de la información.

En Infosecurity Mexico 2020 encontrarás speakers y expositores expertos en ciberseguridad en la nube.

¡Asiste y aclara todas tus dudas!