Protección de datos en la nube: Lo que necesita saber

La tasa de adopción de la tecnología en la nube va en aumento y empresas de todos los tamaños tienen datos alojados en ella. Con este aumento de la adopción, centrarse en aspectos como la seguridad y la protección de los datos en la nube es esencial para evitar posibles infracciones y robos.

Todos estamos conectados por la nube, y la mayoría de nuestros datos están alojados en ella. De ahí la necesidad de que las empresas den prioridad a la privacidad y la seguridad de los datos de los usuarios.

¿Qué es la protección de datos en la nube?

La protección de datos en la nube es una estrategia que implica la seguridad de los datos que se almacenan en la nube. No sólo se centra en asegurar los datos frente a incidencias como el robo, sino también en garantizar que los datos tengan una copia de seguridad y sean recuperables en caso de fallo del sistema y en garantizar que se conceden los permisos adecuados a nivel de sistema para evitar exponer información confidencial a personal no autorizado.

¿Por qué es importante la protección en la nube?

Las empresas de todo el mundo se están pasando gradualmente a la computación en nube debido a su facilidad y flexibilidad para escalar y realizar el trabajo con menos recursos y mano de obra.

Un factor clave a tener en cuenta es que la computación en nube es un servicio que permite a los usuarios/empresas acceder a un gran número de recursos compartidos gestionados por proveedores de servicios en nube, haciendo hincapié en la palabra servicios compartidos, que incluye SaaS (Software como servicio), IaaS (Infraestructura como servicio) y PaaS (Plataforma como servicio).

Los proveedores de servicios en la nube cuentan con medidas de seguridad para garantizar que sus sistemas y servicios son seguros y estables. Dado que los sistemas actuales están construidos para integrarse con múltiples aplicaciones de terceros, toda empresa que acceda al almacenamiento o alojamiento en la nube debe asegurarse de que sus datos están protegidos para evitar que queden expuestos a estos servicios de terceros y a actores maliciosos.

Formas de garantizar la protección de los datos en la nube

Podría aplicar las siguientes prácticas recomendadas para asegurarse de que los datos de la nube están protegidos y se mantienen seguros.

#1. Cifrado

El cifrado es el proceso de convertir la información o los datos originales (texto plano) en texto cifrado, haciéndolos ilegibles para las partes no autorizadas. Sólo el lector previsto puede descifrar la información. Asegurarse de que los datos están encriptados en uso, en movimiento y en reposo es una buena práctica. Esto garantizará que a las personas no autorizadas les resulte difícil dar sentido a sus datos.

#2. Controles de acceso

La gestión de identidades y accesos (IAM) ayuda a las empresas a asignar funciones y responsabilidades a los usuarios dentro de su sistema, así como a garantizar que los usuarios sólo tengan acceso a una sección del sistema y a los datos que necesitan, creando una capa de seguridad contra una violación de datos en toda la red.

Deben aplicarse sólidas políticas de credenciales y permisos a todos los niveles del sistema de la empresa. Esto garantizará que a los atacantes les resulte difícil acceder al sistema de su empresa.

#3. Prevención de la pérdida de datos (DLP)

La prevención dela pérdida de datos es el proceso de detección de posibles filtraciones y exfiltraciones de datos y su prevención mediante la supervisión, detección y bloqueo de los datos sensibles. Varios programas de prevención de pérdida de datos pueden ayudarle a proteger diferentes categorías de datos, incluidos los datos en uso, los datos en tránsito y los datos en reposo.

#4. Copias de seguridad y recuperación en caso de catástrofe

Recovery Backup Restoration Data Storage Security Concept

Copiar y almacenar regularmente archivos en una ubicación específica para recuperarlos en caso de desastre es una excelente forma de proteger sus datos en la nube. Puede hacerlo aprovechando la estrategia de copia de seguridad de datos 3-2-1, cuya regla es la siguiente: mantenga al menos tres copias de seguridad de sus datos, guarde dos copias en ubicaciones separadas y almacene una copia en una ubicación externa.

Esta regla ayuda a las empresas a tener siempre una copia de seguridad de sus datos lista para la recuperación en caso de desastres.

#5. Enmascaramiento de datos

El enmascaramiento de datos es un proceso de modificación de los datos que se parecería a los datos originales pero eliminaría la parte sensible, haciéndolos inutilizables por personas no autorizadas mientras que siguen siendo utilizables por el personal autorizado. Esto podría implicar el proceso de tokenización, que ayuda a vincular de nuevo los datos sensibles cuando acceden a ellos personas autorizadas.

#6. Auditoría y registro

Llevar a cabo auditorías regulares de los sistemas ayudará a mitigar los fallos que puedan haberse producido durante un periodo determinado. También debe establecerse un registro de la actividad en los sistemas para garantizar que el administrador del sistema pueda comprobar en todo momento los problemas que puedan haberse producido y qué autorización condujo a la violación de los datos. Esto ayudará a las empresas a planificar con antelación cuando detecten fallos.

#7. Residencia y soberanía de los datos

La residencia de los datos se refiere a la ubicación o al país en el que se encuentran los datos de la empresa. Al mismo tiempo, la soberanía de los datos se refiere no sólo al lugar donde se almacenan los datos, sino también a las leyes que obligan al acceso y almacenamiento de los datos de los usuarios en el lugar determinado.

Esto es importante para las empresas porque los datos pueden estar en reposo, en movimiento o en uso. La ubicación de sus datos determina el tiempo que tienen que viajar para llegar al lugar de almacenamiento; cabe señalar que los datos en tránsito suelen ser vulnerables a los ataques si no están bien protegidos.

#8. Servicios de seguridad en la nube

Los servicios de seguridad en lanube incluyen todos los protocolos, herramientas y mejores prácticas puestos a disposición por los proveedores de la nube para ayudar en la protección de datos, como IAM, seguridad de datos, gobernanza y cumplimiento legal. Aunque los proveedores de servicios en la nube proporcionan seguridad y herramientas a su servicio, sigue siendo una buena práctica que las empresas tomen medidas adicionales para evitar violaciones y pérdidas de datos.

#9. Transferencia de datos segura

La transferencia de datos que utiliza protocolos seguros y cifrado para garantizar que los datos que se transmiten están a salvo se denomina transferencia de datos segura. El uso de HTTPS sobre HTTP proporciona a los servicios web una capa extra de seguridad, como la encriptación, la autenticación y la integridad de los datos. La transferencia segura de datos permite controlar quién accede a qué datos y revocar y conceder permisos si es necesario.

#10. Supervisión de la seguridad y detección de amenazas

Deben implementarse mecanismos de seguridad y detección de amenazas en tiempo real que permitan la detección temprana de anomalías en el acceso a los datos o de un intento de violación del sistema de una empresa.

Esto permitirá a las empresas actuar con rapidez en caso de que se produzca un incidente, minimizar las violaciones de datos, abordar las vulnerabilidades de seguridad antes de que sean explotadas, reducir el tiempo de inactividad debido a violaciones o pérdidas de datos y ayudar a las empresas a garantizar que siempre cumplen con las regulaciones y normas.

Ventajas de la protección de datos en la nube

Disponibilidad

Los datos deben estar disponibles para garantizar el buen funcionamiento de los servicios de las empresas. Una interrupción en la comunicación de los datos podría acarrear posibles daños y pérdidas de ingresos para las empresas y de confianza por parte de los usuarios.

Las empresas deben aplicar medidas para garantizar que no se produzcan robos o pérdidas de datos, lo que podría crear una interrupción del servicio para los clientes. Las situaciones en las que estos datos no se restauran a tiempo o se pierden sin copias de seguridad podrían hacer que los clientes perdieran la confianza en el proveedor de servicios.

Integridad

La integridad de los datos significa que nada está manipulando los datos de su empresa y garantizar que los datos son precisos, auténticos y fiables mediante la aplicación de políticas que garanticen que los datos están bien protegidos desde el punto de transmisión hasta el almacenamiento y la recuperación.

Las empresas manejan información sensible para los usuarios, por lo que deben evitar fugas en la transferencia de estos datos de un lugar a otro de su almacenamiento. Una interrupción en la transferencia podría hacer que la información sensible de los usuarios quedara expuesta a malos actores, lo que provocaría demandas y pérdidas financieras para las empresas.

Confidencialidad

Pongamos el caso de un cliente que introduce los datos de su tarjeta de crédito en la página web de su empresa para pagar un servicio de suscripción y, poco después, se da cuenta de que se han realizado transacciones no autorizadas en su cuenta debido a la falta de un cifrado adecuado. Esto puede significar la perdición para una organización.

Las empresas deben asegurarse de que los datos de los clientes sólo sean accesibles para las personas autorizadas. Deben establecerse reglas de acceso y permisos basados en funciones para garantizar que los datos sensibles de los usuarios no sean accesibles por otras personas no autorizadas, lo que podría provocar graves problemas de seguridad y daños a las empresas.

Cumplimiento

Diferentes países están poniendo en marcha políticas para garantizar que los datos de sus ciudadanos se mantienen a salvo y se tratan correctamente.

Las empresas también deben asegurarse de que cumplen diversas normas como la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), el Reglamento General de Protección de Datos de la UE (GDPR), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Privacidad del Consumidor de California (CCPA), la Ley Federal de Gestión de la Seguridad de la Información (FISMA) y la Ley Sarbanes-Oxley (SOX).

Desafíos en la protección de datos

Aunque se ha producido un aumento significativo en la adopción de servicios en la nube, cabe señalar que también se está produciendo un aumento de las amenazas contra los datos en la nube. He aquí algunos retos con los que podrían encontrarse las empresas que operan con la nube.

Aumento de las amenazas a la seguridad

A lo largo de los años, la base de datos en la nube ha sido testigo de un aumento de los ataques por parte de actores maliciosos. Aunque los proveedores de servicios en la nube están aumentando la eficiencia y reduciendo los costes de las empresas, también se han convertido en un objetivo ideal para los actores maliciosos.

Las empresas necesitan garantizar la seguridad y la protección de sus sistemas de extremo a extremo. Desde el punto de transferencia y almacenamiento de los datos, deben implementarse herramientas y medidas adecuadas para detectar cualquier fuga y prevenir estos ataques antes de que se produzcan.

Problema de confidencialidad de los datos

Una gestión de identidades y accesos (IAM) insuficiente por parte de los proveedores podría exponer los datos en la nube de las empresas. Las empresas deben implementar un nivel de confidencialidad que restrinja el acceso público a los datos en un servidor.

Una regla sencilla debería ser que el «usuario A» sólo tenga acceso a lo que el «usuario A» necesita y nada más. Esto reducirá la exposición de datos sensibles a personas no autorizadas.

Responsabilidad compartida

Por lo general, los servicios en la nube son gestionados y proporcionados por proveedores de servicios en la nube como Google, Amazon y Azure, entre otros. Estas empresas mantienen la infraestructura física en la que se ejecuta la nube. A diferencia de los sistemas tradicionales en los que cada empresa es propietaria de su infraestructura física, la era de la computación en nube ha eliminado esa carga.

La responsabilidad compartida entre el proveedor de la infraestructura en nube y el cliente implica saber quién se encarga de qué y cuándo. Si no se gestiona correctamente, este enfoque también puede introducir una brecha en la seguridad y la protección de los datos. De ahí que las empresas (clientes) necesiten saber de qué aspecto de la seguridad de sus datos son responsables.

Cumplimiento normativo

Con la creciente amenaza a la seguridad de los datos y a la forma en que las empresas manejan los datos de los usuarios, los organismos reguladores están imponiendo medidas más estrictas para garantizar que los datos de los usuarios estén bien protegidos. Las empresas deben asegurarse de que el proveedor que utilizan cumple la normativa del lugar donde se prestan sus servicios.

Por ejemplo, si la empresa X despliega su servicio en el país Y y utiliza los servicios en la nube del proveedor Z, entonces la empresa X decide expandirse al país W, y las normativas y políticas exigidas por W no se tienen en cuenta con el proveedor Z.

Esto crea una capa extra de responsabilidad para la empresa, ya sea para gestionar dos plataformas o para encontrar una solución al problema.

Tendencias y tecnologías en la protección de datos en la nube

Trends-and-technologies-in-cloud-data-protection

Autenticación

Las empresas se están tomando en serio la autenticación y la IAM; el aumento de la adopción de la autenticación de dos factores y la identificación biométrica garantizan que cada usuario tenga el permiso necesario más allá de proporcionar un nombre de usuario y una contraseña antes de acceder a los datos.

Adopción de la IA

Las empresas utilizan cada vez más la IA para detectar amenazas e identificar a posibles atacantes. Esto ayuda a reducir el tiempo de respuesta y a proporcionar adecuadamente una supervisión en tiempo real las veinticuatro horas del día, lo que habría sido difícil de conseguir sólo con recursos humanos.

Método de cifrado mejorado

Cada vez se encriptan más datos, a diferencia de lo que ocurría en el pasado cuando sólo se encriptaban determinadas clases de datos. Esto garantiza que se cierren todas las posibles puertas traseras a personas no autorizadas. Además, al eliminar los cifrados obsoletos y utilizar las claves de cifrado más largas posibles, las organizaciones pueden dificultar aún más que los actores maliciosos descifren su texto cifrado.

Aumento de las asociaciones y colaboraciones

Las empresas ya no dependen principalmente de las medidas de seguridad de su proveedor de servicios en la nube. Se asocian con otros proveedores de seguridad para dotar a sus datos de una capa adicional de seguridad. También se encargan de distribuir sus datos por distintas ubicaciones para facilitar su restauración en caso de violación.

Conclusión

Con cada vez más servicios moviéndose hacia los servicios de computación en nube, se debe dar prioridad a la protección de datos en la nube para garantizar la longevidad de su negocio.

La metodología deprotección de datos en la nube no es única. Cada técnica de seguridad y protección debe personalizarse para un caso de uso empresarial.

Por último, antes de seleccionar un proveedor de servicios en la nube, investigue exhaustivamente las soluciones del proveedor, incluyendo la seguridad, el SLA, la experiencia del usuario y los índices de satisfacción del cliente. Esta información le ayudará a determinar si el proveedor de la nube es el mejor para sus casos de uso específicos.

Aminu Abdullahi
Colaborador
Aminu Abdullahi es un experimentado escritor sobre tecnología y finanzas B2B y un galardonado conferenciante. Es coautor del libro electrónico The Ultimate Creativity Playbook y ha escrito para diversas publicaciones, como Geekflare, eWEEK, Enterprise Networking Planet, TechRepublic, eSecurity Planet, CIO Insight, Enterprise Storage Forum, IT Business Edge, Webopedia, Software Pundit y muchas más.