En la era digital actual, el uso de la infraestructura en la nube se ha posicionado como la solución ideal para que las empresas y organizaciones puedan reducir sus recursos informáticos de manera eficiente y rápida de acuerdo con sus necesidades, permitiéndoles almacenar y acceder a información de suma importancia sin necesidad de acumularla en el disco duro de un equipo.
La adopción masiva de servicios en la nube ha brindado innumerables beneficios a las organizaciones en términos de escalabilidad, flexibilidad y eficiencia operativa. De hecho, un estudio de Forrester comisionado por Tenable en 2021, 77% de las empresas Mexicanas manifestaron haber migrado los servicios críticos a la nube. Sin embargo, también ha introducido una serie de riesgos y desafíos en materia de seguridad de la información.
Tan solo hace unos días, MOVEit, el software de transferencia de archivos administrados que las organizaciones utilizan para intercambiar datos confidenciales y archivos grandes tanto interna como externamente, fue víctima de un ataque que puso en riesgo la información de grandes empresas, incluyendo datos de identificación personal, nombres, fechas de nacimiento y números de seguridad social, entre otras cosas.
De acuerdo con el informe del Panorama de amenazas 2022, una retrospectiva elaborada por Tenable, uno de los mayores desafíos a los que se enfrentan las organizaciones con la nube es que las vulnerabilidades que afectan a CSP no se informan en un boletín de seguridad ni se les asigna un identificador de CVE. Esta falta de transparencia, entre otras barreras, dificultan la pronta evaluación del riesgo.
En este sentido, Tenable enlista las siguientes estrategias para amortiguar esta problemática.
- Monitoreo y detección de amenazas: El monitoreo constante de la infraestructura de la nube y la detección temprana de posibles amenazas son elementos cruciales para una estrategia efectiva de seguridad en la nube. El uso de herramientas de monitoreo avanzadas y análisis de registros puede ayudar a identificar actividades sospechosas y responder de manera oportuna.
- Evaluación de proveedores de servicios en la nube: Es esencial realizar una evaluación exhaustiva de los proveedores de servicios en la nube antes de tomar una decisión. Esto implica revisar su historial de seguridad, políticas y procedimientos, cumplimiento normativo y, sobre todo, medidas de protección de datos.
- Capacitación: Los cibercriminales tienen una forma sencilla y rápida de vulnerar los sistemas informáticos de una empresa a través del phishing, donde los atacantes usan a los empleados para que, involuntariamente les faciliten el acceso a los sistemas de la organización. Por esta razón, es de suma importancia capacitar oportunamente a todo el personal sobre los riesgos asociados con la seguridad informática
- Constante detección de las fallas de TI en las noticias: Monitorear constantemente las noticias del sector y conocer la forma en la que los atacantes han actuado, esta actividad ayudará a mitigar los riesgos de exposición de la nube. Este servicio está en constante y compleja evolución y siempre hay algo que aprender de los incidentes de alto perfil que fracasan.
- Encriptación de datos: La encriptación es el procedimiento por el cual uno o varios archivos o datos, son protegidos mediante un algoritmo que desordena sus componentes imposibilitando abrirlos o decodificarlos a menos que se tenga una llave. Cuando una persona intercepta un archivo encriptado, aunque pueda abrirlo sólo distinguirá un grupo de caracteres ilegibles. Utilizar protocolos de cifrado sólidos y administrar adecuadamente las claves de encriptación son elementos clave en esta estrategia.
- Alianza con organizaciones público-privadas: El refuerzo de la comunicación con las asociaciones público-privadas podrá facilitar el conocimiento, desarrollo y la aplicación de normas, directrices y mejores prácticas en materia de ciberseguridad.
En conclusión, la mitigación de riesgos en la infraestructura en la nube es un aspecto crucial para cualquier organización que adopte este servicio. “Al implementar medidas sólidas de seguridad, realizar copias de seguridad y planes de recuperación, cumplir con las regulaciones normativas y fomentar una cultura de seguridad entre los empleados, las organizaciones pueden proteger su infraestructura y minimizar los riesgos asociados”, comenta Carlos Ortiz Bortoni, Director General de Tenable México.