La respuesta de Anastasia Derunova es una buena descripción de cómo proporcionar seguridad.
La seguridad en la nube depende en gran medida del tipo de seguridad que debe proporcionar; y uno de los aspectos más importantes para asegurar su organización es determinar el perfil de riesgo que aceptará y cómo lograrlo.
La nube no es tan diferente de las instalaciones en la mayoría de los casos. Necesita mantener el software actualizado y parcheado. Debe estar configurado correctamente. Debe emplear tácticas como el cifrado punto a punto (comúnmente TLS / SSL / VPN) y el cifrado de datos en reposo, cuando corresponda. Todos estos principios todavía se aplican, pero a veces se pasan por alto o se supone que están presentes al comprar servicios en la nube (especialmente las ofertas de IaaS o PaaS).
- ¿Tengo que comprar un servicio de alojamiento o un servicio en la nube para iniciar un sitio web como Envato marketplace?
- ¿Por qué son mejores los servicios de telefonía en la nube?
- Dada la tendencia en informática en los últimos 20 años, ¿cuáles son las predicciones para el futuro de la informática?
- ¿Hosting Raja proporciona alojamiento en la nube?
- ¿Las instancias EC2 permanecen en el mismo hardware durante toda su vida?
Usted menciona una guía de seguridad específica con la que no estoy familiarizado, pero hay varias de estas, y todas cubrirán la mayoría de los casos de uso perfectamente. Asegúrate de seguir todas las pautas, ahí es donde la mayoría de las personas llaman corto.
Aspectos adicionales de Cloud que son diferentes:
- Integraciones: gran parte del poder de la nube proviene de la integración de software con otro software. Estos puntos de integración deben examinarse en busca de fallas de seguridad, por ejemplo, ¿confía en ambos lados de la ecuación? ¿Entiende cómo esas organizaciones están transportando y almacenando sus datos? ¿Están subcontratando o subcontratando a partes a las que no tiene visibilidad?
- Ubicaciones de acceso: las oficinas tradicionales tenían centros de datos ubicados dentro de ellas o en otra ubicación operada por la compañía. Esto permite una buena seguridad física y la capacidad de filtrar el tráfico de acceso a ciertas ubicaciones. Cloud ha cambiado esto en gran medida. Ahora los empleados acceden a aplicaciones de todas partes (hogar, Starbucks, aeropuertos, etc.).
- Seguridad subcontratada: cuando compra un servicio en la nube, está comprando su interpretación de toda la pila de software a continuación, donde compra. Para IaaS está comprando la plataforma física subyacente, no puede (en general) cambiar lo que AWS o Azure hace debajo, solo puede comprar lo que construyeron o no. Si compra SaaS, está comprando el físico, el sistema operativo, la plataforma y las configuraciones de todos esos aspectos. Sin cambios, ¿quieres el software o no?
Para muchas organizaciones, el problema es que no consideran sus riesgos reales y no operan de acuerdo con los principios que tienen sentido. En NAWAH decidimos tener una red de huella cero. Todos los usuarios se conectaron directamente a servicios alojados o administrados en la nube directamente desde su computadora portátil, sin red en el medio. Esto eliminó la necesidad de proteger nuestra red y nos permitió centrarnos en la detección de problemas (en lugar de la prevención).
También teníamos políticas estrictas en toda la compañía sobre lo que se podía enviar por correo electrónico y lo que se transmitiría de manera más segura. Además, implementamos políticas para eliminar materiales más antiguos para que no corrieran el riesgo de ser robados o comprometidos.
Me hubiera gustado ir más allá y requerir que todos los usuarios tengan Chromebooks con almacenamiento local limitado. Esto habría permitido que todas las computadoras estuvieran completamente encriptadas, controlables por los administradores de forma remota, y las comunicaciones completamente encriptadas entre el dispositivo y la nube.
En casi todas las empresas con las que trabajo, el correo electrónico se utiliza como la principal herramienta de comunicación, almacenamiento de archivos, archivo y programación. Mi sugerencia es eliminar esta capacidad y obligar a los usuarios a tomar información y archivos de correos electrónicos y colocarlos en sistemas especialmente diseñados para ese tipo de información; luego elimine los correos electrónicos después de 90 días, universalmente. Una de las mayores amenazas para la seguridad es lo desconocido de lo que tiene y lo que puede perder. ¿Qué hay en esos borradores de correos electrónicos? Quién sabe, pero usted sabe exactamente qué hay en su sistema de almacenamiento de archivos (Box, Dropbox).
Massk Consulting menciona que la banca es lenta para adoptar estándares en la nube. Yo diría que tal vez son correctos. Los bancos y las instituciones financieras en general tienden a tener muy buen personal de seguridad ya que asegurar su información es primordial para la supervivencia de la organización. Esto no es cierto para la mayoría de las organizaciones donde los correos electrónicos perdidos son más embarazosos, pero no terriblemente dañinos en general.
¡Mi queja en el lado bancario es en realidad la lentitud para adoptar mejores interfaces y medidas de seguridad en el lado de la banca minorista! No fue hasta hace muy poco que pude forzar el inicio de sesión de dos factores en algunos de mis bancos, y otros todavía no lo tienen. ¿O qué pasa con “chip y firma?”. La razón declarada fue que “chip y pin” fueron demasiados cambios para que los clientes estadounidenses los entendieran de inmediato; espera, ¿qué pasa con esas tarjetas de débito que hemos estado usando durante una década? Hmm …
TL; DR: La respuesta general a su pregunta es que abordamos los problemas de seguridad en la nube de la misma manera que los problemas locales: sea inteligente sobre lo que es importante y gaste el dinero y los recursos allí. Pero sea honesto, la mayoría de sus datos no importan, y la mayoría de ellos se pueden eliminar después de un período de tiempo.