¿Qué es la seguridad en la nube?

Obtén más información sobre las tecnologías, los procedimientos, las directivas y los controles que permiten proteger los datos y los sistemas basados en la nube.

Definición de la seguridad en la nube

La seguridad en la nube es una disciplina de la ciberseguridad centrada en la protección de datos y sistemas en la nube de amenazas internas y externas, e incluye procedimientos recomendados, directivas y tecnologías que ayudan a las empresas a prevenir el acceso no autorizado y las filtraciones de datos. Cuando desarrollan una estrategia de seguridad en la nube, las empresas deben tener en cuenta cuatro tipos de entornos de informática en la nube:

 

Entornos de nube pública

Están ejecutados por proveedores de servicios en la nube. En este entorno, los servidores están compartidos por varios espacios empresariales.

 

Entornos de nube privada

Pueden estar en un centro de datos propiedad del cliente o pueden estar ejecutados por un proveedor de servicios en la nube. En ambos casos, los servidores son un espacio empresarial individual y las organizaciones no tienen que compartir espacio con otras compañías.

 

Entornos de nube híbrida

Son una combinación de centros de datos locales y nubes de terceros.

 

Entorno multinube

Incluye dos o más servicios en la nube operados por distintos proveedores de servicios en la nube.

 

Independientemente del tipo de entorno o la combinación de entornos que utiliza una organización, el objetivo de la seguridad en la nube es proteger las redes físicas, incluidos los enrutadores y los sistemas eléctricos, los datos, el almacenamiento de datos, los servidores de datos, las aplicaciones, el software, los sistemas operativos y el hardware.

¿Por qué es tan importante la seguridad en la nube?

La nube se ha convertido en una parte integral de la vida en línea. Facilita el trabajo y la comunicación digital, y ha impulsado una innovación rápida en las organizaciones. Sin embargo, cuando los amigos comparten fotografías, los compañeros de trabajo colaboran en un nuevo producto o los gobiernos ofrecen servicios en línea, no siempre está claro dónde se están almacenando los datos. Las personas pueden mover accidentalmente los datos a una ubicación menos segura y, como todo es accesible desde Internet, los activos tiene un mayor riesgo de acceso no autorizado.

 

Asimismo, la privacidad de los datos es cada vez más importante para las personas y los gobiernos. Las regulaciones como el Reglamento general de protección de datos (GDPR) y la Ley de transferencia y responsabilidad de seguros de salud (HIPAA) requieren que las organizaciones que recopilan información lo hagan de manera transparente y que apliquen directivas que impidan el robo o el uso indebido de los datos. Su incumplimiento puede implicar el pago de caras multas o daños en la reputación.

 

Para ser competitivas, las organizaciones deben continuar utilizando la nube para iterar rápidamente y permitir que los empleados y los clientes tengan acceso fácilmente a los servicios, a la vez que protegen los datos y los sistemas de las siguientes amenazas:

  • Cuentas en peligro: Los atacantes a menudo utilizan campañas de phishing para robar contraseñas de empleados y obtener acceso a sistemas y valiosos activos corporativos.
  • Vulnerabilidades de hardware y software: Tanto si la organización utiliza una nube pública como si utiliza una privada, es fundamental que el hardware y el software estén actualizados y que se apliquen las revisiones oportunas.
  • Amenazas internas: El error humano es una de las principales causas de las vulneraciones de seguridad. Un error de configuración puede abrir una puerta a usuarios malintencionados. Asimismo, los empleados a menudo hacen clic en vínculos malintencionados o mueven accidentalmente datos a ubicaciones con menos seguridad.

¿Cómo funciona la seguridad en la nube?

La seguridad en la nube es una responsabilidad compartida entre los proveedores de servicios en la nube y sus clientes. La responsabilidad varía dependiendo del tipo de servicios ofrecidos:

 

Infraestructura como servicio

En este modelo, los proveedores de servicios en la nube ofrecen recursos informáticos, de red y de almacenamiento a petición. El proveedor es responsable de proteger los servicios informáticos básicos. Los clientes deben proteger todo lo que se añade al sistema operativo, por ejemplo, las aplicaciones, los datos, los entornos de ejecución, el middleware y el propio sistema operativo.

 

Plataforma como servicio

Muchos proveedores también ofrecen un entorno de desarrollo e implementación completo en la nube. Son responsables de proteger el entorno de ejecución, el middleware y el sistema operativo, además de los servicios informáticos básicos. Los clientes deben proteger sus aplicaciones, los datos, el acceso de los usuarios, los dispositivos de usuario final y las redes de usuario final.

 

Software como servicio

Las organizaciones también pueden tener acceso al software con un modelo de pago por uso como, por ejemplo, Microsoft Office 365 o Google Drive. En este modelo, los clientes también tienen que proporcionar seguridad para sus datos, usuarios y dispositivos.

 

Independientemente de quién sea responsable, la seguridad en la nube se basa en cuatro aspectos principales:

  • Limitación del acceso: Como la nube permite que todo sea accesible desde Internet, es sumamente importante garantizar que solo las personas adecuadas tengan acceso a las herramientas correctas el tiempo que sea necesario.
  • Protección de los datos: Las organizaciones deben saber dónde se encuentran sus datos y aplicar los controles correspondientes para proteger los propios datos y la infraestructura donde se hospedan.
  • Recuperación de datos: Una buena solución de copia de seguridad y un buen plan de recuperación de datos son fundamentales en el caso de se produzca una vulneración.
  • Plan de respuesta: Cuando una organización es atacada, necesita un plan para reducir el impacto y evitar que otros sistemas se vean en peligro.

Tipos de herramientas de seguridad en la nube

Las herramientas de seguridad en la nube hacen frente a vulnerabilidades de empleados y amenazas externas. También permiten mitigar los errores que se producen durante el desarrollo y reducir el riesgo de que personas no autorizadas obtengan acceso a datos confidenciales.

  • Administración de la posición de seguridad en la nube

    Los errores de configuración ocurren a menudo y crean oportunidades de intromisiones. Muchos de estos errores se producen porque las personas no entienden que el cliente es responsable de configurar la nube y proteger las aplicaciones. También es más fácil cometer errores en grandes corporaciones con entornos complejos.

     

    Una solución de administración de la posición de seguridad en la nube permite reducir el riesgo mediante la búsqueda continua de errores de configuración que pueden provocar una vulneración. Al automatizar el proceso, estas soluciones reducen el riesgo de errores en los procesos manuales y aumentan la visibilidad de los entornos con miles de servicios y cuentas. Una vez detectadas las vulnerabilidades, los desarrolladores pueden corregir el problema con recomendaciones guiadas. La administración de la posición de seguridad en la nube también supervisa de manera continua el entorno en busca de actividad malintencionada o acceso no autorizado.

  • Plataforma de protección de cargas de trabajo en la nube

    Como las organizaciones definieron procesos que ayudan a los desarrolladores a crear e implementar características más rápidamente, hay un mayor riesgo de que se omitan comprobaciones de seguridad durante el desarrollo. Una plataforma de protección de cargas de trabajo en la nube permite proteger los recursos informáticos, de red y de almacenamiento que necesitan las aplicaciones en la nube. Funciona mediante la identificación de cargas de trabajo en entornos de nube pública, privada e híbrida, y su examen en busca de vulnerabilidades. Si se descubren vulnerabilidades, la solución recomendará controles para corregirlas.

  • Agente de seguridad de acceso a la nube

    Como es tan fácil encontrar servicios en la nube y tener acceso a ellos, será difícil para el equipo de TI controlar todo el software que se utiliza en la organización.

     

    Los agentes de seguridad de acceso a la nube (CASB) ofrecen al equipo de TI visibilidad sobre el uso de las aplicaciones en la nube y proporcionan una evaluación de riesgos de cada aplicación. Estas soluciones también permiten proteger los datos y satisfacer los objetivos de cumplimiento con herramientas que muestran cómo se mueven los datos en la nube. Las organizaciones también utilizan estas herramientas para detectar comportamientos inusuales de los usuarios y corregir amenazas.

  • Identidad y acceso

    Controlar quién tiene acceso a los recursos es fundamental para poder proteger los datos en la nube. Las organizaciones deben poder garantizar que los empleados, los contratistas y los socios comerciales tengan el acceso adecuado, tanto si trabajan de forma local como remota.

     

    Las organizaciones utilizan soluciones de identidad y acceso para verificar identidades, limitar el acceso a recursos confidenciales, y aplicar directivas de privilegios mínimos y autenticación multifactor.

  • Administración de derechos de infraestructura en la nube

    La administración de identidad y acceso se complica aún más cuando las personas tienen acceso a datos a través de varias nubes. Una solución de administración de derechos de infraestructura en la nube ayuda a las empresas a ganar visibilidad sobre los recursos a los que tiene acceso cada identidad en sus plataformas en la nube. Los equipos de TI también utilizan estos productos para aplicar un acceso con privilegios mínimos y otras directivas de seguridad.

¿Cuáles son los desafíos de la seguridad en la nube?

La capacidad de interconexión de la nube facilita el trabajo y la interacción en línea, pero también crea riesgos de seguridad. Los equipos de seguridad necesitan soluciones que les ayuden a solucionar los siguientes desafíos clave en la nube:

  • Falta de visibilidad de los datos

    Para que las organizaciones sean productivas, los equipos de TI deben proporcionar a los empleados, los socios comerciales y los contratistas acceso a información y activos de la empresa. Muchas de estas personas trabajan de manera remota o fuera de la red corporativa, y en las grandes empresas la lista de usuarios autorizados está en constante cambio. Con tantas personas utilizando diferentes dispositivos para tener acceso a los recursos de la empresa en distintas nubes públicas y privadas, puede ser difícil supervisar qué servicios se están utilizando y cómo se mueven los datos en la nube. Los equipos de tecnología deben garantizar que datos no se muevan a soluciones de almacenamiento menos seguras, y deben evitar que las personas equivocadas tengan acceso a información confidencial.

  • Entornos complejos

    La nube permite que la implementación de infraestructuras y aplicaciones sea mucho más fácil. Con tantos proveedores y servicios diferentes, el equipo de TI puede elegir el entorno más adecuado para los requisitos de cada producto y servicio. Esto ha dado lugar a un entorno complejo formado por el entorno local y nubes públicas y privadas. Un entorno multinube híbrido requiere soluciones de seguridad que funcionen en el ecosistema completo y protejan a las personas que tienen acceso a distintos activos desde ubicaciones diferentes. Es más probable que se produzcan errores de configuración y puede ser difícil supervisar las amenazas que se mueven lateralmente en estos entornos complejos.

  • Innovación rápida

    Es una combinación de factores la que ha permitido a las organizaciones innovar rápidamente e implementar nuevos productos. Gracias a la IA, el aprendizaje automático y la tecnología de Internet de las cosas, las empresas han podido recopilar y utilizar datos de manera más eficaz. Los proveedores de servicios en la nube ofrecen servicios de bajo código y ningún código para facilitar a las empresas el uso de tecnologías avanzadas. Los procesos de DevOps han acortado el ciclo de desarrollo. Como una parte cada vez mayor de su infraestructura se hospeda en la nube, muchas organizaciones han reasignado recursos a los equipos de investigación y desarrollo. El inconveniente de la innovación rápida es que la tecnología está cambiando tan rápidamente que los estándares de seguridad a menudo se ignoran o se pasan por alto.

  • Cumplimiento y gobierno

    Aunque la mayoría de proveedores de servicios en la nube satisfacen varios programas conocidos de acreditación del cumplimiento, sigue siendo responsabilidad de los clientes de la nube garantizar que sus cargas de trabajo cumplan los estándares internos y del gobierno.

  • Amenazas internas

    Los empleados son uno de los mayores riesgos de seguridad de una empresa. Muchas vulneraciones empiezan cuando un trabajador hace clic en un vínculo que descarga malware. Lamentablemente, las organizaciones también tienen que vigilar que no hayan participantes malintencionados que filtren datos intencionadamente.

Implementación de la seguridad en la nube

Es posible reducir el riesgo de un ciberataque en su entorno de nube con la combinación adecuada de procesos, controles y tecnología.

 

Una plataforma de aplicaciones nativas de nube que incluye una plataforma de protección de cargas de trabajo en la nube, la administración de derechos de la infraestructura en la nube y la administración de la posición de seguridad en la nube te ayudará a reducir errores, reforzar la seguridad y administrar el acceso de manera eficaz. 

 

Para apoyar tu inversión en tecnología, realiza entrenamientos periódicos para ayudar a los empleados a reconocer campañas de phishing y otras técnicas de ingeniería social. Asegúrate de que sea fácil para los empleados avisar al equipo de TI si sospechan que han recibido un correo electrónico malintencionado. Realiza simulaciones de phishing para supervisar la eficacia de tu programa.

 

Desarrolla procesos que ayuden a impedir y detectar ataques y responder a ellos. Ejecuta revisiones periódicas de software y hardware para reducir las vulnerabilidades. Cifra los datos confidenciales y desarrolla directivas de contraseñas seguras para reducir el riesgo de una cuenta en peligro. La autenticación multifactor hace que sea mucho más difícil obtener acceso para los usuarios no autorizados, y las tecnologías sin contraseña son más fáciles de utilizar y más seguras que una contraseña tradicional.

 

Con los modelos de trabajo híbrido que dan a los empleados la flexibilidad para trabajar en la oficina y remotamente, las organizaciones necesitan un nuevo modelo de seguridad que proteja a las personas, los dispositivos, las aplicaciones y los datos, independientemente de donde se encuentren. Un marco de Confianza cero empieza con el principio de que ya no puedes confiar en una solicitud de acceso, aunque venga de dentro de la red. Para mitigar el riesgo, asume que tuviste una vulneración y comprueba explícitamente todas las solicitudes de acceso. Usa el acceso con privilegios mínimos para darles a las personas acceso solo a los recursos que necesitan y a nada más.

Soluciones de seguridad en la nube

Aunque la nube introduce nuevos riesgo de seguridad, tener las soluciones de seguridad en la nube, las directivas y los procesos adecuados permite reducir significativamente los riesgos. Empieza por los siguientes pasos:

  • Identifica todos los proveedores de servicios en la nube que se utilizan en la organización y familiarízate con sus responsabilidades de seguridad y privacidad.
  • Invierte en herramientas como un agente de seguridad de aplicaciones en la nube para aumentar la visibilidad de las aplicaciones y los datos que utiliza tu organización.
  • Implementa una administración de la posición de seguridad en la nube para poder identificar y corregir errores de configuración.
  • Implementa una plataforma de protección de cargas de trabajo en la nube para aumentar la seguridad del proceso de desarrollo.
  • Aplica revisiones periódicas de software y directivas para mantener actualizados los dispositivos de los empleados.
  • Inicia un programa de entrenamiento para garantizar que los empleados conozcan las últimas amenazas y tácticas de phishing.
  • Implementa una estrategia de seguridad de Confianza cero y utiliza la administración de identidad y acceso para administrar y proteger el acceso.

Más información sobre Seguridad de Microsoft

Preguntas más frecuentes

|

La seguridad en la nube es una responsabilidad compartida entre los proveedores de servicios en la nube y sus clientes. La responsabilidad varía dependiendo del tipo de servicios ofrecidos:

 

Infraestructura como servicio. En este modelo, los proveedores de servicios en la nube ofrecen recursos informáticos, de red y de almacenamiento a petición. El proveedor es responsable de la seguridad de los servicios informáticos básicos. Los clientes deben proteger todo lo que se añade al sistema operativo, por ejemplo, las aplicaciones, los datos, los entornos de ejecución, el middleware y los propios sistemas operativos.

 

Plataforma como servicio. Muchos proveedores también ofrecen un entorno de desarrollo e implementación completo en la nube. Son responsables de proteger el entorno de ejecución, el middleware y el sistema operativo, además de los servicios informáticos básicos. Los clientes deben proteger sus aplicaciones, los datos, el acceso de los usuarios, los dispositivos de usuario final y las redes de usuario final.

 

Software como servicio. Las organizaciones también pueden tener acceso al software con un modelo de pago por uso como, por ejemplo, Microsoft Office 365 o Google Drive. En este modelo, los clientes también tienen que proporcionar seguridad para sus datos, usuarios y dispositivos.

Cuatro herramientas ayudan a las empresas a proteger sus recursos en la nube:

  • Una plataforma de protección de cargas de trabajo en la nube permite proteger los recursos informáticos, de red y de almacenamiento que necesitan las aplicaciones en la nube. Funciona mediante la identificación de cargas de trabajo en entornos de nube pública, privada e híbrida, y su examen en busca de vulnerabilidades. Si se descubren vulnerabilidades, la solución recomendará controles para corregir los problemas.
  • Los agentes de seguridad de aplicaciones en la nube ofrecen al equipo de TI visibilidad sobre el uso de las aplicaciones en la nube y proporcionan una evaluación de riesgos de cada aplicación. Estas soluciones también permiten proteger los datos y satisfacer los objetivos de cumplimiento con herramientas que muestran cómo se mueven los datos en la nube. Las organizaciones también utilizan los agentes de seguridad de aplicaciones en la nube para detectar comportamientos inusuales de los usuarios y corregir amenazas.
  • Una solución de administración de la posición de seguridad en la nube permite reducir el riesgo mediante la búsqueda continua de errores de configuración que pueden provocar una vulneración. Al automatizar el proceso, estas soluciones reducen el riesgo de errores en los procesos manuales y aumentan la visibilidad de los entornos con miles de servicios y cuentas. Una vez detectadas las vulnerabilidades, estas soluciones proporcionan recomendaciones guidas para ayudar a los desarrolladores a corregir el problema.
  • Las soluciones de administración de identidad y acceso proporcionan herramientas para administrar identidades y aplicar directivas de acceso. Las organizaciones utilizan estas soluciones para limitar el acceso a recursos confidenciales y aplicar un acceso con privilegios mínimos y la autenticación multifactor.

Hay cuatro áreas que las organizaciones deben tener en cuenta cuando implementan procedimientos y directivas para proteger sus nubes:

  • Limitación del acceso: Como la nube permite que todo sea accesible desde Internet, es sumamente importante asegurarse de que solo las personas adecuadas tengan acceso a las herramientas correctas el tiempo que sea necesario.
  • Protección de los datos: Las organizaciones deben saber dónde se encuentran sus datos y aplicar los controles correspondientes para proteger la infraestructura donde se hospedan y almacenan los datos y los propios datos.
  • Recuperación de datos: Una buena solución de copia de seguridad y un buen plan de recuperación de datos son fundamentales en el caso de se produzca una vulneración.
  • Plan de respuesta: Cuando se vulnera la seguridad de una organización, necesita un plan para reducir el impacto y evitar que otros sistemas se vean en peligro.

Las organizaciones deben vigilar los siguientes riesgos de seguridad:

  • Cuentas en peligro: Los atacantes a menudo utilizan campañas de phishing para robar contraseñas de empleados y obtener acceso a sistemas y valiosos activos corporativos.
  • Vulnerabilidades de hardware y software: Tanto si la organización utiliza una nube pública como si utiliza una privada, es fundamental que el hardware y el software estén actualizados y que se apliquen las revisiones oportunas.
  • Amenazas internas: El error humano es una de las principales causas de las vulneraciones de seguridad. Los errores de configuración pueden abrir la puerta a usuarios malintencionados. Los empleados a menudo hacen clic en vínculos malintencionados o mueven accidentalmente datos a ubicaciones con menos seguridad.