Definición de seguridad en la nube

• Utilice la inteligencia artificial (IA) y el aprendizaje automático para adaptarse automáticamente y abordar las amenazas de seguridad.
• Utilice las capacidades autónomas para escalar las respuestas de seguridad, evitar riesgos y eliminar errores.
• Proteja los datos de forma proactiva con controles de acceso, gestione el riesgo y la visibilidad de los usuarios y proporcione herramientas para el descubrimiento y la clasificación de los datos.
• Siga el modelo de responsabilidad de seguridad compartida en la nube para cubrir conscientemente las actividades de seguridad entre el cliente y el proveedor de servicios en la nube.
• Incorpore la seguridad en el diseño de la arquitectura para lograr un enfoque que “priorice la seguridad”.

La seguridad en la nube brinda a las organizaciones un enfoque para abordar los requisitos de seguridad y garantizar el cumplimiento de los requisitos normativos. Una seguridad efectiva en la nube requiere varias capas de defensa en toda la pila tecnológica en la nube, que deben incluir:

• Controles preventivos diseñados para bloquear el acceso autorizado a sistemas y datos críticos.
• Controles de detección diseñados para revelar sistemas no autorizados y acceso a datos y cambios a través de auditorías, supervisión e informes.
• Controles automatizados diseñados para prevenir, detectar y responder a las actualizaciones de seguridad, tanto periódicas como críticas.
• Controles administrativos diseñados para abordar políticas, estándares, prácticas y procedimientos de seguridad.

El aprendizaje automático y la inteligencia artificial amplían las tecnologías de detección de contexto en la cartera de seguridad en la nube. Con la seguridad en la nube, las empresas obtienen protección en IaaS, PaaS, y SaaS y, a su vez, extienden la seguridad a las capas de red, hardware, chip, sistema operativo, almacenamiento y aplicación.

La seguridad en la nube es una responsabilidad compartida entre el proveedor de la nube y el cliente. El modelo de responsabilidad de seguridad compartida es un elemento de gestión de riesgos y de seguridad en la nube fundamental para la división del trabajo entre el proveedor del servicio de nube y el suscriptor. En los programas de seguridad en la nube, es fundamental comprender claramente el modelo de responsabilidad de seguridad compartida de todos los tipos de servicios en la nube. Por desgracia, también se puede decir que este modelo es uno de los conceptos de seguridad que menos se conocen en la nube. De hecho, solo el 8 % de los directores de seguridad de la información conoce plenamente su papel en la protección de SaaS frente a los proveedores de servicios en la nube (CSP). Dicho de forma sencilla, el modelo de responsabilidad de seguridad compartida describe las responsabilidades del proveedor de servicios en la nube para mantener la seguridad y la disponibilidad del servicio, las responsabilidades del cliente para garantizar el uso seguro del servicio, así como los puntos donde ambos comparten una tarea específica.

Es necesario que las empresas conozcan sus responsabilidades. Si no se protegen adecuadamente los datos, las consecuencias pueden ser graves y costosas. Es posible que muchas organizaciones que sufran el resultado de una infracción no puedan asumir los costos. Incluso las grandes empresas pueden ver afectadas sus finanzas. El objetivo del modelo de responsabilidad de seguridad compartida es ofrecer flexibilidad y seguridad para poder realizar una implementación rápida. Por tanto, las organizaciones deben conocer sus responsabilidades de seguridad en la nube, lo que generalmente se conoce como seguridad “de” la nube, frente al concepto de seguridad “en” la nube.

En la actualidad, a las empresas se les ofrece una amplia gama de herramientas de seguridad en la nube para proteger sus entornos cuando cuelgan en la nube las cargas de trabajo y los datos. Sin embargo, algunas de estas herramientas vienen acompañadas de instrucciones personalizadas y se ofrecen como servicios individuales. Se espera que los usuarios y administradores de la nube conozcan el funcionamiento de los servicios de seguridad en la nube, que sepan configurarlos correctamente y que puedan mantener sus implementaciones en la nube. Como las opciones de seguridad son abundantes, su configuración puede resultar complicada y puede ser fácil cometer un error en un área. Además, el ciclo incesante de phishing, malware, el aumento de los delitos cibernéticos y una gama de servicios en la nube mal configurados ponen bajo las cuerdas a unos programas de ciberseguridad ya cuestionados. Esto ha dado lugar a vulneraciones de datos en las organizaciones, lo que generó daños en su imagen, así como costos de subsanación y multas. A continuación, se muestran varios requisitos importantes para mantener la seguridad de los datos en la nube:

• Confianza y responsabilidad de seguridad compartida: La confianza es primordial a la hora de elegir un partner en la nube que defienda su parte del modelo de seguridad compartida. Las organizaciones deben conocer claramente las funciones y responsabilidades, además de tener acceso a auditorías y certificaciones de seguridad de terceros independientes.
• Automatización y aprendizaje automático: Las amenazas en la nube avanzan a la velocidad de las máquinas, mientras que la seguridad empresarial tradicional analiza y reacciona a una velocidad humana. La seguridad moderna en entornos de nube debe automatizar la detección y respuesta ante amenazas. Las amenazas avanzadas requieren soluciones de seguridad que aporten un nuevo nivel de sofisticación a la predicción, prevención, detección y respuesta ante amenazas con aprendizaje automático.
• Defensa en profundidad: Las múltiples capas de seguridad de toda la pila tecnológica deben incluir controles preventivos, de detección y administrativos para las personas, los procesos y la tecnología adecuados con objeto de ayudar a proteger los centros de datos físicos de los proveedores de la nube.
• Administración de identidades: A medida que los dispositivos móviles, las aplicaciones y las personas se vuelven omnipresentes, la identidad se ha convertido en el nuevo perímetro. Resulta fundamental controlar el acceso y los privilegios en la nube y a nivel local mediante credenciales seguras.
• Visibilidad: El agente de seguridad de acceso a la nube y una solución de administración de seguridad en la nube amplían la visibilidad y el control en todo el entorno de nube de una organización.
• Cumplimiento continuo: El cumplimiento normativo no es opcional. Además el cumplimiento y la seguridad no son lo mismo. Las organizaciones pueden incurrir en infracciones de cumplimiento sin que se produzca una infracción de seguridad; por ejemplo, por errores y desviaciones de la configuración. Es fundamental que las empresas cuenten con una solución de administración en la nube que proporcione en sus entornos de nube datos completos, oportunos y procesables relacionados con el cumplimiento.
• Seguridad por defecto: Los controles de seguridad los debe habilitar de forma predeterminada el proveedor de la nube, sin que sea necesario que la empresa se acuerde de activar la seguridad. No todos conocen bien los diferentes controles de seguridad y la forma en que trabajan juntos para mitigar el riesgo e implementar una estrategia de seguridad completa. Por ejemplo, el cifrado de datos debe estar activado de forma predeterminada. Es necesario aplicar controles y políticas de protección de datos coherentes en todas las nubes.
• Supervisión y migración: Se deben configurar e implantar políticas de seguridad para compartimentos y tenencias de la nube de manera que los administradores ayuden a proteger las cargas de trabajo. También resulta esencial contar con una vista unificada de la estrategia de seguridad de la nube entre los usuarios para detectar recursos mal configurados y actividades inseguras entre los usuarios, lo que además ofrece a los administradores de seguridad visibilidad para clasificar y resolver los problemas de seguridad en la nube.
• Separación de funciones y acceso con privilegios mínimos: Los principios de separación de tareas y de acceso con privilegios mínimos son las prácticas de seguridad recomendadas que deben implementarse en los entornos de nube, ya que ayudan a garantizar que las personas no tengan derechos administrativos excesivos y no puedan acceder a datos críticos sin una autorización adicional.

A medida que la adopción de la nube continúa acelerándose como resultado de las prioridades de transformación digital, las empresas deben anticiparse y hacer frente a las dificultades de proteger sus entornos de nube. Es esencial elegir un proveedor de nube que haya diseñado la seguridad de manera que pueda integrarse automáticamente en toda la pila de nube (IaaS, PaaS, SaaS). Otras consideraciones que deben tenerse en cuenta en el futuro de la seguridad en la nube son:

• Seguridad de la infraestructura de nube: Proteja las cargas de trabajo con un enfoque que priorice la seguridad en la computación, la red y el almacenamiento de la infraestructura de la nube, comenzando por la arquitectura. Aproveche los servicios de seguridad esenciales para proporcionar los niveles de seguridad necesarios en las cargas de trabajo más críticas del negocio.
• Seguridad de las bases de datos en la nube: Reduzca el riesgo de vulneración de datos y acelere el cumplimiento en la nube. Adopte soluciones de seguridad de bases de datos que incluyan cifrado, gestión de claves, enmascaramiento de datos, controles de acceso de usuarios con privilegios, supervisión de actividad y auditoría.
• Seguridad de las aplicaciones en la nube: Asegurar las aplicaciones críticas contra fraudes y un uso indebido es esencial para proteger los datos críticos para el negocio de su organización. Los controles de acceso detallados, la visibilidad y el monitoreo son componentes fundamentales de las defensas por capas actuales.
• Seguridad corporativa y privacidad: Proteja la confidencialidad, integridad y disponibilidad de los datos y sus sistemas alojados en la nube, independientemente del producto de nube elegido.
• Servicio al cliente avanzado: Durante la transición a entornos de nube o multinube, los equipos de seguridad se enfrentan al desafío de una superficie de ataques en expansión, saturaciones de alertas y escasez de habilidades en términos de ciberseguridad. Adopte los servicios avanzados de su proveedor de servicio en la nube para ayudar a abordar estos desafíos.
• Administración de identidades y accesos (IAM): Controle mediante credenciales seguras quién tiene acceso a sus datos, qué tipo de acceso tiene y a qué recursos específicos, independientemente de si se alojan en la nube o a nivel local.

1. Informe sobre amenazas en la nube de Oracle y KPMG (PDF)
2. Manual técnico básico: Seguridad de Oracle Database (PDF)