Manufactura industrial
Internet industrial de las cosas | Materiales industriales | Mantenimiento y reparación de equipos | Programación industrial |
home  MfgRobots >> Manufactura industrial >  >> Industrial Internet of Things >> Computación en la nube

Sugerencias de seguridad en la nube para reducir los riesgos, amenazas y vulnerabilidades de seguridad

¿Supone que sus datos en la nube están respaldados y a salvo de amenazas? No tan rápido.

Con un número récord de ataques de ciberseguridad en 2018, está claro que todos los datos están bajo amenaza.

Todo el mundo siempre piensa “No me puede pasar a mí”. La realidad es que ninguna red está 100 % a salvo de los piratas informáticos.

Según Kaspersky Lab, el ransomware aumentó más de un 250 % en 2018 y sigue teniendo una tendencia aterradora. Seguir los consejos presentados aquí es la póliza de seguro definitiva contra los efectos devastadores de una pérdida significativa de datos en la nube.

¿Cómo empiezas a proteger tus datos en la nube? ¿Cuáles son las mejores prácticas para mantener sus datos protegidos en la nube? ¿Qué tan segura es la computación en la nube?

Para ayudarlo a impulsar su estrategia de seguridad, invitamos a expertos a compartir sus consejos sobre  Riesgos y amenazas de seguridad en la nube.

Conclusiones clave de nuestros expertos en protección de la nube y amenazas de seguridad

1. Mantenga la disponibilidad en la nube

Dustin Albertson, arquitecto sénior de soluciones en la nube de Veeam

Cuando la mayoría de la gente piensa en el tema de la seguridad basada en la nube, tiende a pensar en redes, cortafuegos, seguridad de puntos finales, etc. Amazon define la seguridad en la nube como:

La seguridad en la nube es muy similar a la seguridad en sus centros de datos locales, solo que sin los costos de mantenimiento de las instalaciones y el hardware. En la nube, no tiene que administrar servidores físicos ni dispositivos de almacenamiento. En su lugar, utiliza herramientas de seguridad basadas en software para monitorear y proteger el flujo de información que entra y sale de sus recursos en la nube.

Pero un riesgo que a menudo se pasa por alto es mantener la disponibilidad. Lo que quiero decir con eso es más que redundancia geográfica o redundancia de hardware, me refiero a asegurarme de que sus datos y aplicaciones estén cubiertos. La nube no es un lugar mágico donde desaparecen todas tus preocupaciones; una nube es un lugar donde todos tus miedos suelen ser más fáciles y baratos de multiplicar. Tener una estrategia sólida de protección de datos es clave. Veeam a menudo ha estado predicando sobre la "Regla 3-2-1" que fue acuñada por Peter Krogh.

La regla establece que debe tener tres copias de sus datos, almacenarlos en dos medios diferentes y mantener uno fuera del sitio. El que está fuera del sitio suele estar en la "nube", pero ¿qué pasa cuando ya estás en la nube?

Aquí es donde veo que surgen la mayoría de los problemas de la nube, cuando las personas ya están en la nube, tienden a almacenar los datos en la misma nube. Por eso es importante recordar tener una estrategia detallada al pasar a la nube. Al aprovechar cosas como los agentes de Veeam para proteger las cargas de trabajo en la nube y Cloud Connect para enviar las copias de seguridad fuera del sitio para mantener esa disponibilidad fuera del mismo centro de datos o la nube. No asuma que es el trabajo de los proveedores proteger sus datos porque no lo es.

2. La migración a la nube está superando la evolución de los controles de seguridad

Salvatore Stolfo, CTO de Allure Security

Según una nueva encuesta realizada por ESG, el 75 % de las organizaciones dijeron que al menos el 20 % de sus datos confidenciales almacenados en nubes públicas no están suficientemente protegidos. Además, el 81 % de los encuestados cree que la seguridad de los datos en las instalaciones es más madura que los datos de la nube pública.

Sin embargo, las empresas están migrando a la nube más rápido que nunca para maximizar los beneficios organizacionales:se estima que el 83 % de las cargas de trabajo comerciales estarán en la nube para 2020, según el informe Cloud Vision 2020 de LogicMonitor. Lo que tenemos es una situación cada vez más urgente en la que las organizaciones están migrando sus datos confidenciales a la nube con fines de productividad a un ritmo más rápido que los controles de seguridad que están evolucionando para proteger esos datos.

Las empresas deben buscar soluciones que controlen el acceso a los datos dentro de los recursos compartidos en la nube en función del nivel de permiso que tenga el usuario, pero también deben contar con los medios para recibir alertas cuando se acceda a esos datos de formas inusuales o sospechosas, incluso por lo que parece ser un usuario de confianza.

Recuerde que muchos piratas informáticos y filtraciones internas provienen de malos actores con credenciales legítimas robadas que les permiten moverse libremente en un recurso compartido en la nube, en busca de datos valiosos para robar. Los documentos engañosos, llamados señuelos, también pueden ser una excelente herramienta para detectar esto. Los señuelos pueden alertar a los equipos de seguridad en la etapa inicial de una brecha de seguridad en la nube sobre comportamientos inusuales e incluso pueden engañar a un posible ladrón cibernético haciéndole creer que ha robado algo de valor cuando en realidad es un documento falso muy convincente. Luego, está la cuestión de tener control sobre los documentos incluso cuando se hayan sacado del recurso compartido en la nube.

Aquí es donde muchas soluciones de seguridad comienzan a fallar. Una vez que se ha descargado un archivo de un repositorio en la nube, ¿cómo se puede rastrear adónde viaja y quién lo mira? Debe haber más inversión en tecnologías como geofencing y telemetría para resolver esto.

3. Minimice las amenazas y vulnerabilidades de la informática en la nube con un plan de seguridad

Nic O'Donovan, arquitecto de soluciones y especialista en la nube con VMware 

La nube híbrida continúa creciendo en popularidad entre las empresas, principalmente a medida que la velocidad de implementación, la escalabilidad y el ahorro de costos se vuelven más atractivos para las empresas. Seguimos viendo que la infraestructura evoluciona rápidamente hacia la nube, lo que significa que la seguridad debe desarrollarse a un ritmo similar. Es fundamental que la empresa trabaje con un proveedor de servicios en la nube que tenga un enfoque confiable de la seguridad en la nube.

Esto significa que la asociación con su proveedor de la nube se está volviendo cada vez más importante a medida que trabajan juntos para comprender e implementar un plan de seguridad para mantener sus datos seguros.

Los controles de seguridad, como la autenticación multifactor, el cifrado de datos junto con el nivel de cumplimiento que necesita, son áreas en las que debe concentrarse al crear su plan de seguridad.

4. Nunca dejes de aprender sobre tus mayores vulnerabilidades

Isacc Kohen, director ejecutivo de Teramind

Cada vez más empresas son víctimas de la nube, y tiene que ver con la mala configuración de la nube y la negligencia de los empleados.

1. Las mayores amenazas para la seguridad de los datos son sus empleados. Los empleados negligentes o maliciosos son una de las principales razones de las infecciones de malware y la pérdida de datos. Las razones por las que los ataques de malware y los correos electrónicos de phishing son palabras comunes en las noticias es porque son formas "fáciles" para que los piratas informáticos accedan a los datos. A través de la ingeniería social, los delincuentes maliciosos pueden "engañar" a los empleados para que entreguen contraseñas y credenciales a los sistemas de datos empresariales y comerciales críticos. Maneras de prevenir esto:un programa efectivo de capacitación de empleados y monitoreo de empleados que sondee activamente el sistema

2. Nunca dejes de aprender. En una industria que cambia y se adapta continuamente, es importante estar actualizado sobre las últimas tendencias y vulnerabilidades. Por ejemplo, con el Internet de las cosas (IoT), solo estamos comenzando a ver la "punta del iceberg" en lo que respecta a la protección de datos a través del aumento de las conexiones wifi y los servicios de almacenamiento de datos en línea. Hay más para desarrollar con esta historia y tendrá un impacto directo en las pequeñas empresas en el futuro.

3. Investigue y comprenda cómo funciona el almacenamiento, luego eduque. Hemos escuchado las historias:cuando los datos se exponen a través de la nube, muchas veces se debe a una mala configuración de la configuración de la nube. Los empleados deben comprender la naturaleza de la seguridad de la aplicación y que la configuración se puede modificar fácilmente y "activar" para exponer los datos externamente. Educar la conciencia de seguridad a través de programas de capacitación.

4. Limite sus puntos de acceso. Una manera fácil de mitigar esto, limita tus puntos de acceso. Un error común con la exposición a la nube se debe a que los empleados con acceso por error habilitan permisos globales que permiten que los datos estén expuestos a una conexión abierta. Para mitigar, comprenda quién y qué tiene acceso a la nube de datos (todos los puntos de acceso) y supervise minuciosamente esas conexiones.

5. Monitoreo de los sistemas. Progresivo y completo. Para la protección a largo plazo de los datos en la nube, use una plataforma de monitoreo y análisis de usuarios para detectar infracciones más rápido. El monitoreo y el análisis de usuarios simplifican los datos y crean un "perfil" estándar del usuario:empleado y computadora. Estos análisis están integrados y siguen sus depósitos de datos más importantes, que usted, como administrador, indicó en el software de detección. Cuando se manipulan, mueven o violan datos específicos de la nube, el sistema "hará ping" a un administrador indicando inmediatamente un cambio de carácter.

5. Considere soluciones híbridas

Michael V.N. Hall, director de operaciones de Turbot

Hay varias cosas vitales que debe comprender acerca de la seguridad en la nube:

1. Las contraseñas son poderosas:el 80 % de todas las infracciones de contraseñas podrían haberse evitado mediante la identificación multifactorial:al verificar su identidad personal a través de un mensaje de texto a su teléfono o un correo electrónico a su cuenta, ahora puede recibir una alerta cuando alguien está tratando de acceder a su cuenta. detalles.

Uno de los mayores culpables en este momento son las credenciales debilitadas. Eso significa que se roban contraseñas, claves de acceso y frases de acceso a través de estafas de phishing, registro de teclas y ataques de fuerza bruta.

Las frases de contraseña son las nuevas contraseñas. Las frases de contraseña aleatorias y fáciles de recordar son mucho mejores que las contraseñas, ya que tienden a ser más largas y complicadas.

MyDonkeysEatCheese47 es una frase de contraseña complicada y, a menos que sea dueño de un burro o fabricante de queso, no tiene relación con usted. Recuerde utilizar letras mayúsculas y minúsculas, así como toda la gama de puntuación.

2. Manténgase en contacto con su proveedor de alojamiento. Elija el proveedor de alojamiento adecuado:una empresa de confianza con altos estándares de seguridad. Comuníquese con ellos regularmente, ya que la interacción frecuente le permite mantenerse al tanto de cualquier cambio o problema en desarrollo.

3. Considere una solución híbrida. Las soluciones híbridas permiten que los sistemas estáticos y seguros almacenen datos críticos internamente y, al mismo tiempo, abran los datos de menor prioridad a la mayor versatilidad de la nube.

6. Aprenda cómo funcionan los sistemas de seguridad en la nube

Tom DeSot, CIO de Digital Defense, Inc.

Las empresas deben asegurarse de evaluar los riesgos y beneficios de la seguridad informática en la nube. Es para asegurarse de que se informen sobre lo que significa migrar a la nube antes de dar el gran salto de ejecutar sistemas en su propio centro de datos.

Con demasiada frecuencia, he visto a una empresa migrar a la nube sin un plan o ningún conocimiento sobre lo que significa para ellos y la seguridad de sus sistemas. Necesitan reconocer que su software "vivirá" en sistemas compartidos con otros clientes, por lo que si hay una violación de la plataforma de otro cliente, es posible que el atacante también comprometa su sistema.

Del mismo modo, los clientes de la nube deben comprender dónde se almacenarán sus datos, ya sea solo en los EE. UU. o si el proveedor los replica en otros sistemas que se encuentran en diferentes continentes. Esto puede causar un problema real si la información es algo sensible como PII o información protegida bajo HIPAA o algún otro estatuto regulatorio. Por último, el cliente de la nube debe prestar mucha atención a los acuerdos de nivel de servicio (SLA) a los que se adhiere el proveedor de la nube y asegurarse de que refleje su propio SLA.

Pasarse a la nube es una excelente manera de liberar recursos informáticos y garantizar el tiempo de actividad, pero siempre aconsejo a mis clientes que hagan el cambio en pequeños pasos para que tengan tiempo de apreciar lo que significa estar "en la nube". ”

7. Haga su diligencia debida para proteger la nube

Ken Stasiak, director ejecutivo de SecureState

Comprenda el tipo de datos que está poniendo en la nube y los requisitos de seguridad obligatorios en torno a esos datos.

Una vez que una empresa tiene una idea del tipo de datos que busca almacenar en la nube, debe tener una comprensión firme del nivel de diligencia debida que se requiere al evaluar diferentes proveedores de nube. Por ejemplo, si elige un proveedor de servicios en la nube para alojar su información de salud protegida (PHI), debe solicitar una evaluación de los estándares de seguridad y el cumplimiento de HIPAA antes de mover cualquier dato a la nube.

Algunas buenas preguntas para hacer al evaluar si un proveedor de servicios en la nube es adecuado para una organización preocupada por proteger esos datos incluyen:¿Realiza auditorías y evaluaciones periódicas de SOC? ¿Cómo se protege contra la actividad maliciosa? ¿Realiza verificaciones de antecedentes de todos los empleados? ¿Qué tipos de sistemas tiene implementados para el monitoreo de los empleados, la determinación del acceso y los registros de auditoría?

8. Configurar controles de acceso y permisos de seguridad

Michael R. Durante, presidente de Tie National, LLC.

Si bien la nube es una fuerza creciente en la informática por su flexibilidad para escalar para satisfacer las necesidades de una empresa y aumentar la colaboración entre ubicaciones, también plantea preocupaciones de seguridad con su potencial para exponer vulnerabilidades relativamente fuera de su control.

Por ejemplo, BYOD puede ser un desafío para proteger si los usuarios no aplican regularmente parches y actualizaciones de seguridad. El consejo número uno que daría es hacer el mejor uso de los controles de acceso disponibles.

Las empresas deben utilizar controles de acceso para limitar los permisos de seguridad para permitir solo las acciones relacionadas con las funciones laborales de los empleados. Al limitar el acceso, las empresas aseguran que los archivos críticos estén disponibles solo para el personal que los necesita, por lo tanto, reducen las posibilidades de que estén expuestos a las partes equivocadas. Este control también facilita la revocación de los derechos de acceso inmediatamente después de la terminación del empleo para salvaguardar cualquier contenido confidencial sin importar desde dónde el empleado intente acceder de forma remota.

9. Comprender el pedigrí y los procesos del proveedor o vendedor

Paul Evans, director ejecutivo de Redstor

El uso de tecnologías en la nube ha permitido a las empresas de todos los tamaños impulsar mejoras en el rendimiento y ganar eficiencia con más trabajo remoto, mayor disponibilidad y más flexibilidad.

Sin embargo, con un número cada vez mayor de sistemas dispares implementados y tantos proveedores de nube y software para elegir, mantener el control sobre la seguridad de los datos puede convertirse en un desafío. Al buscar implementar un servicio en la nube, es esencial comprender a fondo el pedigrí y los procesos del proveedor/proveedor que brindará el servicio. Las certificaciones de seguridad estándar de la industria son un excelente lugar para comenzar. Los proveedores que cuentan con una certificación ISO 27001 han demostrado que han cumplido con los estándares internacionales de gestión de seguridad de la información y deben ser considerados más que aquellos que no la tienen.

Obtener una comprensión completa de dónde se ubicarán geográficamente sus datos, quién tendrá acceso a ellos y si estarán encriptados es clave para poder protegerlos. También es importante saber cuáles son los procesos del proveedor en caso de una violación o pérdida de datos o si hay tiempo de inactividad. El tiempo de inactividad aceptable debe establecerse en los Acuerdos de nivel de servicio (SLA) contratados, que deben estar respaldados financieramente para brindar tranquilidad.

Para las organizaciones que buscan utilizar plataformas en la nube, existen amenazas de seguridad en la nube a tener en cuenta, ¿quién tendrá acceso a los datos? ¿Dónde se almacenan los datos? ¿Mis datos están encriptados? Pero, en su mayor parte, las plataformas en la nube pueden responder a estas preguntas y tienen altos niveles de seguridad. Las organizaciones que utilizan las nubes deben asegurarse de conocer las leyes y regulaciones de protección de datos que afectan los datos y también obtener una comprensión precisa de los acuerdos contractuales con los proveedores de la nube. ¿Cómo se protegen los datos? Muchas regulaciones y estándares de la industria brindarán orientación sobre la mejor manera de almacenar datos confidenciales.

Mantener copias de datos no seguras o no cifradas puede ponerlos en mayor riesgo. Adquirir conocimientos sobre los niveles de seguridad de los servicios en la nube es fundamental.

¿Cuáles son las políticas de retención? ¿Tengo una copia de seguridad? Las plataformas en la nube pueden tener usos muy variados y esto puede causar (o prevenir) problemas. Si los datos se almacenan en una plataforma en la nube, podrían ser vulnerables a los riesgos de seguridad de la nube, como el ransomware o la corrupción, por lo que asegurarse de que se conserven varias copias de los datos o se realicen copias de seguridad puede evitarlo. Garantizar que se han llevado a cabo estos procesos mejora los niveles de seguridad de las plataformas en la nube de una organización y brinda una comprensión de dónde podría provenir cualquier riesgo

10. Utilice contraseñas seguras y autenticación multifactor

Fred Reck, consultoría informática de InnoTek

Asegúrese de exigir contraseñas seguras para todos los usuarios de la nube y, preferiblemente, utilice la autenticación multifactor.

Según el Informe de investigaciones de violación de datos de Verizon de 2017, el 81 % de todas las violaciones relacionadas con la piratería aprovecharon contraseñas robadas o débiles. Uno de los beneficios más significativos de la nube es la capacidad de acceder a los datos de la empresa desde cualquier parte del mundo en cualquier dispositivo. Por otro lado, desde el punto de vista de la seguridad, cualquier persona (también conocida como "chicos malos") con un nombre de usuario y contraseña puede acceder potencialmente a los datos comerciales. Obligar a los usuarios a crear contraseñas seguras hace que sea mucho más difícil para los piratas informáticos utilizar un ataque de fuerza bruta (adivinar la contraseña a partir de varios caracteres aleatorios).

Además de las contraseñas seguras, muchos servicios en la nube hoy en día pueden utilizar el teléfono celular de un empleado como la pieza de autenticación de seguridad física secundaria en una estrategia de múltiples factores, lo que hace que sea accesible y asequible para que una organización lo implemente. Los usuarios no solo necesitarían saber la contraseña, sino que también necesitarían acceso físico a su teléfono celular para acceder a su cuenta.

Por último, considere implementar una función que bloquee la cuenta de un usuario después de una cantidad predeterminada de inicios de sesión fallidos.

11. Habilitar bloqueo de ubicación de IP

Chris Byrne es cofundador y director ejecutivo de Sensorpro

Las empresas deben habilitar la autenticación de dos factores y el bloqueo de ubicación de IP para acceder a las aplicaciones en la nube que utilizan.

Con 2FA, agrega otro desafío a la combinación habitual de correo electrónico y contraseña por mensaje de texto. Con el bloqueo de IP, puede delimitar el acceso desde la IP de su oficina o la IP de los trabajadores remotos. Si la plataforma no admite esto, considere pedirle a su proveedor que lo habilite.

Con respecto a la provisión real de la plataforma en la nube, proporcione una opción de cifrado de datos en reposo. En algún momento, esto se volverá tan omnipresente como https (SSL/TLS). Si sucede lo impensable y los datos terminan en las manos equivocadas, es decir, un dispositivo es robado u olvidado en un tren, entonces el cifrado de datos en reposo es la última línea de defensa para evitar que alguien acceda a sus datos sin las claves de cifrado correctas. Incluso si logran robarlo, no pueden usarlo. Esto, por ejemplo, habría mejorado la reciente violación de Equifax.

12. Soluciones de seguridad de almacenamiento en la nube con VPN

Eric Schlissel, presidente y director ejecutivo de GeekTek

Utilice VPN (redes privadas virtuales) cada vez que se conecte a la nube. Las VPN se utilizan a menudo para semi-anonimizar el tráfico web, generalmente por parte de los espectadores que están bloqueados geográficamente al acceder a servicios de transmisión como Netflix USA o BBC Player. También brindan una capa crucial de seguridad para cualquier dispositivo que se conecte a su nube. Sin una VPN, cualquier intruso potencial con un rastreador de paquetes podría determinar qué miembros estaban accediendo a su cuenta en la nube y potencialmente obtener acceso a sus credenciales de inicio de sesión.

Cifrar datos en reposo. Si por alguna razón una cuenta de usuario se ve comprometida en su nube pública, privada o híbrida, la diferencia entre los datos en formato de texto sin formato y en formato cifrado se puede medir en cientos de miles de dólares, específicamente $229,000, el costo promedio de un ataque cibernético informado por los encuestados de una encuesta realizada por la compañía de seguros Hiscox. Como han demostrado los acontecimientos recientes, el proceso de cifrar y descifrar estos datos resultará mucho más sencillo que soportar su alternativa.

Utilice la autenticación de dos factores y el inicio de sesión único para todas las cuentas basadas en la nube. Google, Facebook y PayPal utilizan autenticación de dos factores, lo que requiere que el usuario ingrese un código único generado por software en un formulario antes de iniciar sesión en su cuenta. Ya sea que su empresa aspire o no a su estatura, puede y debe emular este componente central de su estrategia de seguridad. El inicio de sesión único simplifica la gestión de acceso, por lo que un par de credenciales de usuario inicia la sesión del empleado en todas las cuentas. De esta manera, los administradores del sistema solo tienen una cuenta para eliminar en lugar de varias que el antiguo empleado puede olvidar y luego volver a acceder.

13. Cuidado con el riesgo del elemento humano

Steven J.J. Weisman, abogado y profesor de Bentley University

Parafraseando a Shakespeare, la culpa no está en la nube; la responsabilidad está en nosotros.

El almacenamiento de datos confidenciales en la nube es una buena opción para la seguridad de los datos en muchos niveles. Sin embargo, independientemente de cuán segura pueda ser una tecnología, el elemento humano siempre presentará un peligro potencial de seguridad para ser explotado por los ciberdelincuentes. Se ha demostrado que muchas violaciones de la seguridad en la nube en el pasado no se deben a fallas de seguridad de la tecnología de la nube, sino a acciones de usuarios individuales de la nube.

Sin saberlo, han proporcionado sus nombres de usuario y contraseñas a los ciberdelincuentes que, a través de correos electrónicos de phishing, llamadas telefónicas o mensajes de texto, persuaden a las personas para que brinden la información crítica necesaria para acceder a la cuenta en la nube.

La mejor manera de evitar este problema, junto con una mejor educación de los empleados para reconocer y prevenir el phishing selectivo, es usar la autenticación de doble factor, como enviar un código único al teléfono celular del empleado cada vez que se intenta acceder a la cuenta en la nube.

14. Garantice la recuperación de datos de un proveedor de la nube

Bob Herman, cofundador y presidente de IT Tropolis.

1. La autenticación de dos factores protege contra el fraude de cuentas. Muchos usuarios son víctimas de intentos de phishing por correo electrónico en los que los malos actores engañan a la víctima para que ingrese su información de inicio de sesión en un sitio web falso. El mal actor puede iniciar sesión en el sitio real como víctima y causar todo tipo de daños según la aplicación del sitio y el acceso del usuario. 2FA garantiza que se debe ingresar un segundo código al iniciar sesión en la aplicación. Por lo general, un código enviado al teléfono del usuario.

2. Es imperativo asegurarse de que usted posee sus datos y que puede recuperarlos en caso de que ya no quiera hacer negocios con el proveedor de la nube. La mayoría de los proveedores legítimos de la nube deben especificar en sus términos que el cliente es el propietario de sus datos. A continuación, debe confirmar que puede extraer o exportar los datos en algún formato utilizable, o que el proveedor de la nube se los proporcionará a pedido.

15. Monitoreo Continuo y en Tiempo Real

Sam Bisbee, director de seguridad de Threat Stack

1. Cree observabilidad de seguridad en tiempo real y monitoreo continuo de sistemas

Si bien el monitoreo es esencial en cualquier entorno de datos, es fundamental enfatizar que los cambios en los entornos de nube modernos, especialmente los de los entornos SaaS, tienden a ocurrir con mayor frecuencia; sus impactos se sienten inmediatamente.

Los resultados pueden ser espectaculares debido a la naturaleza de la infraestructura elástica. En cualquier momento, las acciones accidentales o maliciosas de alguien podrían afectar gravemente la seguridad de sus sistemas de desarrollo, producción o prueba.

Ejecutar una infraestructura moderna sin observabilidad de seguridad en tiempo real y monitoreo continuo es como volar a ciegas. No tiene idea de lo que está sucediendo en su entorno y no hay forma de iniciar una mitigación inmediata cuando surge un problema. Debe monitorear la aplicación y el acceso basado en host para comprender el estado de su aplicación a lo largo del tiempo.

2. Establecer y monitorear continuamente los ajustes de configuración

Las configuraciones de seguridad en entornos de nube como Amazon Direct Connect pueden ser complicadas, y es fácil dejar sin darse cuenta el acceso a sus sistemas y datos abiertos al mundo, como lo han demostrado todas las historias recientes sobre filtraciones de S3.

Dada la naturaleza cambiante (y, a veces, volátil) de los entornos SaaS, donde los servicios se pueden crear y eliminar en tiempo real de forma continua, la falta de configuración adecuada de los servicios y la falta de supervisión de la configuración pueden poner en peligro la seguridad. En última instancia, esto erosionará la confianza que los clientes depositan en usted para proteger sus datos.

Al establecer las configuraciones en una línea de base establecida y monitorearlas continuamente, puede evitar problemas al configurar los servicios y puede detectar y responder a los problemas de configuración más rápidamente cuando ocurren.

3. Alinear las prioridades de seguridad y operaciones para soluciones e infraestructura de seguridad en la nube

La buena seguridad es indistinguible de las operaciones adecuadas. Con demasiada frecuencia, estos equipos están en desacuerdo dentro de una organización. A veces se considera que la seguridad ralentiza un negocio, ya que se centra demasiado en vigilar las actividades de los equipos de desarrollo y operaciones. Pero la seguridad puede ser un habilitador de negocios.

La seguridad debe aprovechar las herramientas de prueba de automatización, los controles de seguridad y el monitoreo dentro de una organización, a través de la administración de la red, el acceso de los usuarios, la configuración de la infraestructura y la administración de vulnerabilidades en la capa de la aplicación, lo que impulsará el negocio, reducirá el riesgo en toda la superficie de ataque y mantendrá la disponibilidad operativa. .

16. Utilice herramientas de auditoría para proteger los datos en la nube

Jeremey Vance, nube de EE. UU.

1. Use una herramienta de auditoría para que sepa todo lo que tiene en la nube y lo que todos sus usuarios están usando en la nube. No puede proteger datos que no conoce.

2. Además de averiguar qué servicios se ejecutan en su red, descubra cómo y por qué se utilizan esos servicios, quién lo hace y cuándo.

3. Haga que el proceso de auditoría sea una parte rutinaria del monitoreo de su red, no solo un evento de una sola vez. Además, si no tiene el ancho de banda para eso, subcontrate esa rutina de auditoría a un tercero calificado como US Cloud.

17. La mayoría de las infracciones comienzan en puntos simples no seguros

Marcus Turner, arquitecto jefe y director de tecnología de Enola Labs

La nube es muy segura, pero para asegurarse de mantener seguros los datos de la empresa, es importante configurar la nube correctamente.

Específicamente para AWS, AWS Config es la herramienta que mejor se utiliza para hacer esto. AWS, cuando se configura de la manera correcta, es uno de los entornos informáticos en la nube más seguros del mundo. Sin embargo, la mayoría de las violaciones de datos no son piratas informáticos que aprovechan programas complejos para obtener acceso a datos críticos, sino que son los puntos simples no seguros, la fruta al alcance de la mano, lo que hace que los datos de la empresa sean vulnerables.

Incluso con la mejor seguridad en la nube, el error humano suele ser el culpable de la brecha o brecha más crítica en la protección. Tener rutinas para validar la precisión de la configuración continua es la métrica menos utilizada y menos apreciada para mantener seguros los datos de la empresa en la nube.

18. Formule preguntas clave de seguridad a su proveedor de servicios en la nube

Brandan Keaveny, Ed.D., Fundador de Data Ethics LLC

Al explorar las posibilidades de pasar a una solución basada en la nube, debe asegurarse de contar con los soportes adecuados en caso de que ocurra una infracción. Asegúrese de hacer las siguientes preguntas antes de firmar un acuerdo con un proveedor basado en la nube:

Pregunta:¿Cuántos terceros utiliza el proveedor para facilitar su servicio?

Motivo de la pregunta (Motivo):Será necesario actualizar los procesos y la documentación para incluir salvaguardas de procedimiento y coordinación con la solución basada en la nube. Además, el nivel de seguridad proporcionado por el proveedor basado en la nube debe entenderse claramente. Es necesario agregar mayores niveles de seguridad para cumplir con los requisitos de privacidad y seguridad de los datos que se almacenan.

Question:How will you be notified if a breach of their systems occurs and will they assist your company in the notification of your clients/customers?

Reason:By adding a cloud-based solution to the storage of your data also adds a new dimension of time to factor into the notification requirements that may apply to your data should a breach occur. These timing factors should be incorporated into breach notification procedures and privacy policies.

When switching to the cloud from a locally hosted solution your security risk assessment process needs to be updated. Before making the switch, a risk assessment should take place to understand the current state of the integrity of the data that will be migrated.

Additionally, research should be done to review how data will be transferred to the cloud environment. Questions to consider include:

Question:Is your data ready for transport?

Reason:The time to conduct a data quality assessment is before migrating data to a cloud-based solution rather than after the fact.

Question:Will this transfer be facilitated by the cloud provider?

Reason:It is important to understand the security parameters that are in place for the transfer of data to the cloud provider, especially when considering large data sets.

19. Secure Your Cloud Account Beyond the Password

Contributed by the team at Dexter Edward

Secure the cloud account itself. All the protection on a server/os/application won’t help if anyone can take over the controls.

Secure access to the compute instances in the cloud.

Use as much of the private cloud network as you can.

Take advantage of monitoring, file auditing, and intrusion detection when offered by cloud providers.

20. Consider Implementing Managed Virtual Desktops

Michael Abboud, CEO, and Founder of TetherView

Natural disasters mixed with cyber threats, data breaches, hardware problems, and the human factor, increase the risk that a business will experience some type of costly outage or disruption.

Moving towards managed virtual desktops delivered via a private cloud, provides a unique opportunity for organizations to reduce costs and provide secure remote access to staff while supporting business continuity initiatives and mitigating the risk of downtime.

Taking advantage of standby virtual desktops, a proper business continuity solution provides businesses with the foundation for security and compliance.

The deployment of virtual desktops provides users with the flexibility to work remotely via a fully-functional browser-based environment while simultaneously allowing IT departments to centrally manage endpoints and lock down business critical data. Performance, security, and compliance are unaffected.

Standby virtual desktops come pre-configured and are ready to be deployed instantaneously, allowing your team to remain “business as usual” during a sudden disaster.

In addition to this, you should ensure regular data audits and backups

If you don’t know what is in your cloud, now is the time to find out. It’s essential to frequently audit your data and ensure everything is backed up. You’ll also want to consider who has access to this data. Old employees or those who no longer need access should have permissions provoked.

It’s important to also use the latest security measures, such as multi-factor authentication and default encryption. Always keep your employees up to speed with these measures and train them to spot potential threats that way they know how to deal with them right away.

21. Be Aware of a Provider’s Security Policies

Jeff Bittner, Founder and President of Exit technologies

Many, if not most, businesses will continue to expand in the cloud, while relying on on-premise infrastructure for a variety of reasons, ranging from a simple cost/benefit advantages to reluctance to entrust key mission-critical data or systems into the hands of third-party cloud services providers. Keeping track of what assets are where in this hybrid environment can be tricky and result in security gaps.

Responsibility for security in the cloud is shared between the service provider and the subscriber. So, the subscriber needs to be aware not only of the service provider’s security policies, but also such mundane matters as hardware refresh cycles.

Cyber attackers have become adept at finding and exploiting gaps in older operating systems and applications that may be obsolete, or which are no longer updated. Now, with the disclosure of the Spectre and Meltdown vulnerabilities, we also have to worry about threats that could exploit errors or oversights hard-coded at the chip level.

Hardware such as servers and PCs has a limited life cycle, but often businesses will continue to operate these systems after vendors begin to withdraw support and discontinue firmware and software updates needed to counter new security threats.

In addition to being aware of what their cloud provider is doing, the business must keep track of its own assets and refresh them or decommission them as needed. When computer systems are repurposed for non-critical purposes, it is too easy for them to fall outside of risk management and security oversight.

22. Encrypt Backups Before Sending to the Cloud

Mikkel Wilson, CTO at Oblivious.io

1. File metadata should be secured just as vigilantly as the data itself. Even if an attacker can’t get at the data you’ve stored in the cloud, if they can get, say, all the filenames and file sizes, you’ve leaked important information. For example, if you’re a lawyer and you reveal that you have a file called “michael_cohen_hush_money_payouts.xls” and it’s 15mb in size, this may raise questions you’d rather not answer.

2. Encrypt your backups *before* you upload them to the cloud. Backups are a high-value target for attackers. Many companies, even ones with their own data centers, will store backups in cloud environments like Amazon S3. They’ll even turn on the encryption features of S3. Unfortunately, Amazon stores the encryption keys right along with the data. It’s like locking your car and leaving the keys on the hood.

23. Know Where Your Data Resides To Reduce Cloud Threats

Vikas Aditya, Founder of QuikFynd Inc,

Be aware of where their data is stored these days so that they can proactively identify if any of the data may be at risk of a breach.

These days, data is being stored in multiple cloud locations and applications in addition to storage devices in business. Companies are adopting cloud storage services such as Google Drive, Dropbox, OneDrive, etc. and online software services for all kind of business processes. This has led to vast fragmentation of company data, and often managers have no idea where all the data may be.

For example, a confidential financial report for the company may get stored in cloud storage because devices are automatically synching with cloud or a sensitive business conversation may happen in cloud-based messaging services such as Slack. While cloud companies have all the right intentions to keep their customer data safe, they are also the prime target because hackers have better ROI in targeting such services where they can potentially get access to data for millions of subscribers.

So, what should a company do?

While they will continue to adopt cloud services and their data will end up in many, many locations, they can use some search and data organization tools that can show them what data exists in these services. Using full-text search capabilities, they can then very quickly find out if any of this information is a potential risk to the company if breached. You cannot protect something if you do not even know where it is. And more importantly, you will not even know if it is stolen. So, companies looking to protect their business data need to take steps at least to be aware of where all their information is.

24. Patch Your Systems Regularly To Avoid Cloud Vulnerabilities

Adam Stern, CEO of Infinitely Virtual

Business users are not defenseless,  even in the wake of recent attacks on cloud computing like WannaCry or Petya/NotPetya.

The best antidote is patch management. It is always sound practice to keep systems and servers up to date with patches – it is the shortest path to peace of mind. Indeed, “patch management consciousness” needs to be part of an overarching mantra that security is a process, not an event — a mindset, not a matter of checking boxes and moving on. Vigilance should be everyone’s default mode.

Spam is no one’s friend; be wary of emails from unknown sources – and that means not opening them. Every small and midsize business wins by placing strategic emphasis on security protections, with technologies like clustered firewalls and intrusion detection and prevention systems (IDPS).

25. Security Processes Need Enforcement as Staff Often Fail to Realize the Risk

Murad Mordukhay, CEO of Qencode

1. Security as a Priority

Enforcing security measures can become difficult when working with deadlines or complex new features. In an attempt to drive their products forward, teams often bend the rules outlined in their own security process without realizing the risk they are putting their company into. A well thought out security process needs to be well enforced in order achieve its goal in keeping your data protected. Companies that include cloud security as a priority in their product development process drastically reduce their exposure to lost data and security threats.

2. Passwords &Encryption

Two important parts of securing your data in the cloud are passwords and encryption.

Poor password management is the most significant opportunity for bad actors to access and gain control of company data. This usually accomplished through social engineering techniques (like phishing emails) mostly due to poor employee education. Proper employee training and email monitoring processes go a long way in helping expose password information. Additionally, passwords need to be long, include numbers, letters, and symbols. Passwords should never be written down, shared in email, or posted in chat and ticket comments. An additional layer of data protection is achieved through encryption. If your data is being stored for in the cloud for long periods, it should be encrypted locally before you send it up. This makes the data practically inaccessible in the small chance it is compromised.

26. Enable Two-factor Authentication

Tim Platt, VP of IT Business Services at Virtual Operations, LLC

For the best cloud server security, we prefer to see Two Factor Authentication (also known as 2FA, multi-factor authentication, or two-step authentication) used wherever possible.

¿Qué es esto? 2 Factor combines “something you know” with “something you have.” If you need to supply both a password and a unique code sent to your smartphone via text, then you have both those things. Even if someone knows your password, they still can’t get into your account. They would have to know your password and have access to your cell phone. Not impossible, but you have just dramatically made it more difficult for them to hack your account. They will look elsewhere for an easier target. As an example, iCloud and Gmail support 2FA – two services very popular with business users. I recommend everyone use it.

Why is this important for cloud security?

Because cloud services are often not protected by a firewall or other mechanism to control where the service can be accessed from. 2FA is an excellent additional layer to add to security.  I should mention as well that some services, such as Salesforce, have a very efficient, easy to use implementation of 2FA that isn’t a significant burden on the user.

27. Do Not Assume Your Data in the Cloud is Backed-Up

Mike Potter, CEO &Co-Founder at Rewind

Backing up data that’s in the cloud:There’s a big misconception around how cloud-based platforms (ex. Shopify, QuickBooks Online, Mailchimp, WordPress) are backed up. Typically, cloud-based apps maintain a disaster recovery cloud backup of the entire platform. If something were to happen to their servers, they would try to recover everyone’s data to the last backup. However, as a user, you don’t have access to their backup to restore your data.

This means that you risk having to manually undo unwanted changes or permanently losing data if:

Having access to a secondary backup of your cloud accounts gives you greater control and freedom over your own data. If something were to happen to the vendor’s servers, or within your individual account, being able to quickly recover your data could save you thousands of dollars in lost revenue, repair costs, and time.

28. Minimize and Verify File Permissions

Randolph Morris, Founder & CTO at Releventure

1. If you are using a cloud-based server, ensure monitoring and patching the Spectre vulnerability and its variations. Cloud servers are especially vulnerable. This vulnerability can bypass any cloud security measures put in place including encryption for data that is being processed at the time the vulnerability is being utilized as an exploit.

2. Review and tighten up file access for each service. Too often accounts with full access are used to ensure software ‘works’ because they had permission issues in the past. If possible, each service should use its own account and only have restricted permission to access what is vital and just give the minimum required permissions.

29. When Securing Files in the Cloud,  Encrypt Data Locally First

Brandon Ackroyd, Founder and Mobile Security Expert at Tiger Mobiles 

Most cloud storage users assume such services use their own encryption. They do, Dropbox, for example, uses an excellent encryption system for files.

The problem, however, is because you’re not the one encrypting, you don’t have the decryption key either. Dropbox holds the decryption key so anyone with that same key can decrypt your data. The decryption happens automatically when logged into the Dropbox system so anyone who accesses your account, e.g., via hacking can also get your now non-encrypted data.

The solution to this is that you encrypt your files and data, using an encryption application or software, before sending them to your chosen cloud storage service.

30. Exposed Buckets in AWS S3 are Vulnerable

Todd Bernhard, Product Marketing Manager at CloudCheckr

1. The most common and publicized data breaches in the past year or so have been due to giving the public read access to AWS S3 storage buckets. The default configuration is indeed private, but people tend to make changes and forget about it, and then put confidential data on those exposed buckets.

2. Encrypt data, both in traffic and at rest. In the data center, where end users, servers, and application servers might all be in the same building. By contrast, with the Cloud, all traffic goes over the Internet, so you need to encrypt data as it moves around in public. It’s like the difference between mailing a letter in an envelope or sending a postcard which anyone who comes into contact with it can read the contents.

31. Use the Gold-standard of Encryption

Jeff Capone, CEO of SecureCircle

There’s a false sense of privacy being felt by businesses using cloud-based services like Gmail and Dropbox to communicate and share information. Because these services are cloud-based and accessible by password, it’s automatically assumed that the communications and files being shared are secure and private. The reality is – they aren’t.

One way in which organizations can be sure to secure their data is in using new encryption methods such as end-to-end encryption for emailing and file sharing. It’s considered the “gold standard” method with no central points of attack – meaning it protects user data even when the server is breached.

These advanced encryption methods will be most useful for businesses when used in conjunction with well-aligned internal policies. For example, decentralizing access to data when possible, minimizing or eliminating accounts with privileged access, and carefully considering the risks when deciding to share data or use SaaS services.

32. Have Comprehensive Access Controls in Place

Randy Battat, Founder and CEO, PreVeil

All cloud providers have the capability of establishing access controls to your data. This is essentially a listing of those who have access to the data. Ensure that “anonymous” access is disabled and that you have provided access only to those authenticated accounts that need access.

Besides that, you should utilize encryption to ensure your data stays protected and stays away from prying eyes. There is a multitude of options available depending on your cloud provider. Balance the utility of accessing data with the need to protect it – some methods are more secure than others, like utilizing a client-side key and encryption process. Then, even if someone has access to the data (see point #1), they only have access to the encrypted version and must still have a key to decrypt it

Ensure continuous compliance to your governance policies. Once you have implemented the items above and have laid out your myriad of other security and protection standards, ensure that you remain in compliance with your policies. As many organizations have experienced with cloud data breaches, the risk is not with the cloud provider platform. It’s what their staff does with the platform. Ensure compliance by monitoring for changes, or better yet, implement tools to monitor the cloud with automated corrective actions should your environment experience configuration drift.

33. 5 Fundamentals to Keep Data Secure in the Cloud

David Gugick, VP of Product Management at CloudBerry

34. Ensure a Secure Multi-Tenant Environment

Anthony Dezilva, CISO at PhoenixNAP

When we think of the cloud, we think of two things.  Cost savings due to efficiencies gained by using a shared infrastructure, and cloud storage security risk.

Although many published breaches are attributed to cloud-based environment misconfiguration, I would be surprised if this number was more than, the reported breaches of non-cloud based environments.

The best cloud service providers have a vested interest in creating a secure multi-tenant environment.  Their aggregate spending on creating these environments are far more significant than most company’s IT budgets, let alone their security budgets.  Therefore I would argue that a cloud environment configured correctly, provides a far higher level of security than anything a small to medium-sized business can create an on-prem.

Furthermore, in an environment where security talent is at a grave shortage, there is no way an organization can find, let alone afford the security talent they need.  Resulting in the next best thing, create a business associate relationship with a provider that not only has a strong secure infrastructure but also provides cloud monitoring security solutions.

Cloud Computing Threats and Vulnerabilities:Need to know


Computación en la nube

  1. Recargar, restablecer, reconfigurar
  2. Tres áreas críticas a considerar antes de migrar datos a la nube
  3. 5 consejos de computación en la nube para poner tiempo (y dinero) de su lado
  4. Bebé, está nublado afuera
  5. ¿Qué es la seguridad en la nube y por qué es necesaria?
  6. Consejos y trucos de Cloud Computing
  7. Riesgo de seguridad en la nube que enfrenta toda empresa
  8. Cloud Security es el futuro de la ciberseguridad
  9. Cómo convertirse en ingeniero de seguridad en la nube
  10. Por qué el futuro de la seguridad de los datos en la nube es programable
  11. Las cinco principales prácticas de seguridad para AWS Backup