Al tener un sistema de aplicaciones, usado por los empleados y líneas de negocios, reconocen los beneficios de habilitación empresarial y colaboración que ofrecen las aplicaciones de nube, y exigen cada vez más acceso no solo a aplicaciones y servicios de nube populares y seguros como Office 365, Salesforce y Box, sino también a aplicaciones empresariales y de uso compartido de archivos menos seguras.
Si el área de TI no responde proporcionando rápidamente una estrategia de adopción de nube segura, los empleados adoptarán las aplicaciones sin la aprobación ni la supervisión de TI, un movimiento conocido como TI alternativa.
Lamentablemente, eludir al área de TI puede ser tan simple como sacar una tarjeta de crédito departamental y activar el servicio. La nube libre puede exponer a toda su organización a un gran riesgo de incurrir en multas relacionadas con el cumplimiento y costos de remediación debido a infracciones de seguridad de cuentas y datos. De acuerdo a la empresa de Ciberseguridad Blue Coat las siguientes ocho mejores prácticas lo ayudarán a comenzar a desarrollar una estrategia que le permitirá adoptar aplicaciones y servicios de nube, al tiempo que mantiene la seguridad y el cumplimiento.
1 Asegúrese de que sus aplicaciones y servicios de nube cumplan con la política de seguridad de su organización.
Usted puede utilizar un agente de seguridad de acceso a la nube (CASB) para identificar todas las aplicaciones de nube aprobadas y no aprobadas que se ejecutan en su red extendida. Esta solución también debería analizar estas aplicaciones según sus certificaciones de cumplimiento, estabilidad empresarial, ubicación geográfica y funcionalidad de seguridad.
2 Identifique sus datos de nube relacionados con el cumplimiento.
Una solución de CASB que aprovecha el aprendizaje automático, la lingüística computacional y los recursos más extensos de la nube para identificar en forma precisa los datos puede ayudar a garantizar que los datos regulados, tales como PII, PCI y PHI, hayan sido clasificados correctamente como confidenciales y estén controlados y administrados adecuadamente. En situaciones en las que los datos no deberían estar en una determinada aplicación de nube o no se deberían compartir, puede utilizar el CASB para establecer políticas que impidan que esos datos se almacenen o se compartan en la nube.
3 Proteja los datos confidenciales inactivos, en tránsito y en procesamiento en la nube.
Otra de las mejores prácticas consiste en proteger los datos inactivos y los datos en tránsito con la encriptación. Puede aprovechar una solución de CASB para asegurarse de encriptar los datos relacionados con el cumplimiento a nivel del archivo o de manera más granular en los niveles de campo dentro de las aplicaciones de SaaS. Asegúrese de que la encriptación que elija preserve toda la funcionalidad que los usuarios necesitan de la aplicación de nube.
4 No confíe en el proveedor de servicios de nube para la seguridad.
En caso de que el proveedor le ofrezca seguridad adicional sea prudente en cómo la utiliza. Necesitará una seguridad que contemple todas las aplicaciones, plataformas o infraestructuras de nube que utiliza ya que ninguno de estos entornos es una isla y los sistemas de seguridad diferentes pueden pasar por alto riesgos que cruzan los límites entre los sistemas. Si encripta o tokeniza los datos, no es recomendable que le otorgue al proveedor (donde residen los datos) acceso a sus claves de encriptación o almacén de tokens y, a menudo, esta es la única opción con la encriptación de aplicaciones de nube nativas.
5 Defina qué sistemas, personas y procesos necesitan acceso a los datos relacionados con el cumplimiento.
Establezca cómo se utilizan los datos confidenciales a lo largo del tiempo, además de cómo y por qué aplicaciones y personas acceden a ellos y los procesan. Luego, aproveche una solución de CASB avanzada con controles que puedan limitar los datos solo a aquellas aplicaciones y usuarios empresariales que los necesiten.
6 Implemente un “firewall humano”.
La idea de que todos conocen la nube porque todos tenemos un iPhone es falsa. Llamamos a la capacitación de concientización “emplear el firewall humano”. Afortunadamente, la mayoría de las organizaciones ya cuentan con programas y plataformas de capacitación. Asegúrese de incorporar capacitación sobre seguridad de nube y cumplimiento a sus programas y plataformas de capacitación existentes, así como un proceso de incorporación de empleados nuevos.
7 Revise que su proveedor de nube cumpla con las normativas importantes.
Existen muchos regímenes de privacidad de los datos específicos para cada sector. Un ejemplo que se aplica al sector de servicios financieros es la Ley Gramm Leach Bliley. La Ley GLB exige que las empresas establezcan estándares para proteger la seguridad y la confidencialidad de la información personal de los clientes. La norma de privacidad financiera (Financial Privacy Rule) exige que las empresas proporcionen un aviso anual a los clientes que explique cómo se mantienen y comparten sus datos, así como las medidas que toman para protegerlos. La norma de protección (Safeguards Rule) les exige que implementen un programa de seguridad de la información. También debe confirmar que su proveedor de nube cumpla con los requisitos de las normativas importantes para su negocio y región geográfica.
8 Desarrolle políticas internas de gobernabilidad de los datos y administración de riesgos.
Defina claramente las políticas de privacidad y seguridad de su organización y luego, aténgase a ellas. Estas políticas deberían determinar qué datos necesita proteger, y cuáles no. Asegúrese de mantener la visibilidad y el control de las aplicaciones y los servicios de nube autorizados y no autorizados que se ejecutan dentro de su organización. Asimismo es importante clasificar los datos almacenados en la nube, y mantener una política de uso eficaz que garantice que los datos confidenciales y relacionados con el cumplimiento no se expongan maliciosamente ni involuntariamente.