Conoce las 11 medidas que TI debe implementar al adoptar servicios y aplicaciones de nube

0
145

 

La habilitación empresarial y la facilidad de colaboración son algunos de los tantos beneficios que ofrecen las aplicaciones de nube; no obstante, la adopción de estos servicios suele ser un arma de doble filo. Si bien estos servicios permiten a los empleados compartir contenido en forma legítima, también facilitan el uso compartido excesivo e involuntario de contenido o el uso compartido de contenido con las personas equivocadas. Además, las aplicaciones de nube introducen un nuevo vector de amenazas, dada la gran cantidad de credenciales que circulan y proveen acceso directo a los datos fundamentales de la empresa. Este nuevo vector de amenazas debe controlarse cuidadosamente.

Planificación de los servicios de confianza

Los proveedores de servicios de nube de confianza como Box, Dropbox, Office 365 y Salesforce adhieren a un modelo de responsabilidad compartida en materia de seguridad, en el que el proveedor se compromete a entregar una infraestructura segura que evite el acceso a la cuenta sin las credenciales de acceso a la cuenta autorizadas. Fundamentalmente proporcionan el equivalente de las defensas de seguridad tradicionales, como la prevención de intrusiones y el control del acceso tan pronto como habilita el servicio: una seguridad que comúnmente es mucho más robusta que cualquier solución que pudiera crear usted mismo. No obstante, usted será el responsable de evitar el uso indebido accidental o malicioso de las cuentas de usuarios de su empresa y de proteger los archivos almacenados y compartidos contra la filtración de datos. Incluso los servicios de nube de confianza no proporcionan funciones de seguridad para estos fines. Además, lo que agrava el problema es que el comportamiento de los usuarios es mucho más difícil de supervisar y controlar que el malware común.

Planificación de las aplicaciones que no son de confianza

Para las miles de aplicaciones que no son seguras ni de confianza, que ni siquiera garantizan la seguridad de sus infraestructuras, las vulnerabilidades de seguridad básicas como la ausencia de autenticación de factores múltiples (MFA) representan un riesgo extremo para los usuarios y los datos. Por supuesto que existe una solución sencilla: simplemente evitar que los empleados utilicen dichos servicios poco seguros, en especial debido a que hay servicios alternativos con mejor seguridad que proveen la misma funcionalidad. El secreto es, en primer lugar, identificar las aplicaciones poco seguras, bloquearlas y reemplazarlas por servicios similares seguros.

Administración del factor humano

Ya sea que hablemos de aplicaciones seguras o poco seguras, los empleados son el eslabón más débil, debido a que, sin saberlo, pueden divulgar credenciales de cuentas a los hackers a través de ataques de spear phishing, accidentalmente compartir en exceso documentos confidenciales con personas no autorizadas, o robar o dañar datos intencionalmente cuando renuncian a la empresa. Y son estos tipos de actividades las que no se prestan para las soluciones de seguridad tradicionales. En cambio, requieren herramientas mucho más sofisticadas, como agentes de seguridad de acceso a la nube (CASB), que aprovechan la ciencia de datos y el análisis de comportamiento para comprender de qué manera se accede a los datos y se comparten, y quiénes lo hacen, a fin de crear políticas de uso fundamentales para proteger a sus usuarios, aplicaciones y datos en la nube. A continuación, le presentamos once medidas que puede implementar para eliminar los riesgos que plantean sus aplicaciones y empleados antes de adoptar la nube; o bien, antes de seguir avanzando, debido a que probablemente sus empleados ya hayan adoptado algunas aplicaciones y servicios de nube sin la supervisión de TI.

Medida n.º 1: Identifique y evalúe todas las aplicaciones de nube aprobadas y no aprobadas en su red extendida.

El segundo paso consiste en determinar qué aplicaciones utilizan sus empleados, y dónde almacenan y comparten los datos. La mayoría de los departamentos de TI creen que en su red extendida solo se ejecutan entre 40 y 50 aplicaciones de nube.

No obstante, la mayoría de las organizaciones ejecutan más de 800 aplicaciones de nube, según las estadísticas que revela el Informe de datos ocultos de Elastica. En la mayoría de los casos, estas aplicaciones fueron adoptadas por empleados o departamentos funcionales, no por TI. Puede utilizar una solución de CASB para detectar rápidamente todas las aplicaciones que se usan en su red extendida, ya sean aprobadas o no.

Una vez que haya identificado las aplicaciones, debe analizarlas sobre la base de sus atributos de seguridad, para saber rápidamente si tiene aplicaciones en uso que representan un riesgo para su organización. Debe adoptar una solución de CASB que además de permitirle analizar todas las aplicaciones de nube en base a múltiples parámetros de seguridad (p. ej.: ¿Admite la autenticación de factores múltiples? ¿Cumple con SOC-2?), también le permita considerar la tolerancia al riesgo única de su organización (es decir, por la exposición de la información de identificación personal [PII], información de salud protegida [PHI] o información de tarjetas de pago [PCI]. Una solución eficaz generará una calificación de la preparación para la actividad empresarial o la seguridad para cada aplicación en base a sus prioridades de seguridad personalizadas.

Una calificación de riesgos dinámica basada en sus prioridades le permitirá establecer políticas desde adentro de la solución de CASB para habilitar a todas las aplicaciones que cumplen con la política de seguridad de su empresa y bloquear automáticamente a aquellas que no la cumplen.

Es posible que descubra que hay departamentos o empleados que utilizan aplicaciones que no cumplen con sus requisitos de seguridad. Asegúrese de que su solución de CASB puede comparar paralelamente aplicaciones con servicios similares. Con esta información, puede trabajar en colaboración con sus usuarios para ayudarlos a adoptar soluciones alternativas con mejor seguridad.

Medida n.º 2: Defina su estrategia de gobernabilidad de la nube.

Establezca y documente una estrategia detallada de adopción de la nube basada en la información recopilada durante el proceso de identificación de las aplicaciones de nube. Desarrolle su estrategia en base a las opiniones de los representantes de nivel ejecutivo y de los departamentos de TI, asuntos legales, cumplimiento/administración de riesgos y las líneas de negocios. También puede crear un grupo de trabajo oficial o una comisión dentro de su organización formada por los accionistas oficiales. Confirme que el grupo esté de acuerdo con su estrategia y con los estándares definidos, como:

  • Los parámetros de seguridad para aceptar o bloquear proveedores de nube.
  • Las pautas sobre el uso aceptable de aplicaciones de nube por departamento y función.
  • La política de prevención contra la pérdida de datos que define qué tipos de datos constituyen los datos confidenciales y cómo se manejarán los archivos con este tipo de datos.
  • El flujo de trabajo de respuesta ante incidentes, que asigna rutas de responsabilidad y escalación para responder a las infracciones de seguridad de datos y cuentas.
  • Las métricas requeridas para los informes mensuales sobre el estado de su ecosistema de nube, como el número, tipo y perfil de seguridad de las aplicaciones en uso, los tipos de datos que se comparten y los análisis posteriores a incidentes, si los hubiera.

Esta estrategia proporcionará una hoja de ruta a medida que avanza en la adopción de una solución de agente de seguridad de acceso a la nube (CASB) para automatizar su proceso de gobernabilidad de la nube.

Medida n.º 3: Extienda el control de políticas de extremo a extremo a las aplicaciones de nube.

Una vez que comprenda los riesgos relacionados con el uso de las aplicaciones de nube aprobadas y no aprobadas, debe implementar controles de políticas que permitan administrar dichos riesgos; de lo contrario, caerá en el incumplimiento. Específicamente, esto significa: a) bloquear las aplicaciones de mayor riesgo (en base a las puntuaciones de la preparación para la actividad empresarial); b) forzar el descifrado y la inspección de los datos enviados a las aplicaciones “permitidas pero no aprobadas”, para garantizar el cumplimiento con DLP y prevenir las amenazas de estas aplicaciones, y c) supervisar las actividades dentro de estas aplicaciones “grises”, como así también de las aplicaciones de nube aprobadas. La mayoría de los proveedores de soluciones de CASB pueden mostrar los riesgos asociados al uso, pero pocos tienen los puntos de control y la inteligencia necesarios para aplicar políticas. Además de la puerta de enlace de CASB de Elastica, Blue Coat ha integrado la inteligencia de aplicaciones de nube de Elastica a sus dispositivos ProxySG, los dispositivos virtuales SWG y Web Security Service a fin de proveer dicho control de políticas que extiende la gobernabilidad a la TI alternativa.

Medida n.º 4: Conozca y controle el contenido confidencial que sus empleados comparten.

Si implementó las primeras tres medidas, ya transitó buena parte del camino hacia la obtención de visibilidad de las aplicaciones de nube en su red, pero ¿qué sucede con los datos que residen en ellas? ¿Sus empleados están compartiendo información confidencial de identificación personal (PII) o información de tarjetas de pago (PCI)? ¿Tiene archivos legales, código fuente o documentos de diseño en la nube? Las mismas funciones que facilitan la colaboración con las aplicaciones de nube también permiten que sus usuarios accidentalmente expongan el contenido confidencial muy fácilmente al utilizar las aplicaciones de nube.

Debe optar por una solución de CASB que utilice el aprendizaje automático y la lingüística computacional avanzada para el análisis de contenido (no solo para la concordancia de expresiones regulares), a fin de clasificar adecuadamente los documentos por tipo de cumplimiento (PII, PHI, PCI) y tipos de categorías como legal, recursos humanos, finanzas, código fuente, etc.

Medida n.º 5: Cumpla con las leyes de residencia de los datos de todo el mundo.

Muchas implementaciones globales planificadas de aplicaciones de SaaS clave se ven perjudicadas al enfrentarse con problemas de residencia de datos. Las leyes de estados, países o asociaciones gubernamentales específicas, como la Unión Europea (UE), establecen que la información confidencial o privada debe permanecer dentro de los límites físicos del país o de la región (residencia) y que la información no debe exponerse a partes no autorizadas (privacidad).

Entre estas leyes, se incluyen:

  • El Reglamento general de protección de datos (General Data Protection Regulation, GDPR).
  • La ley orgánica de protección de datos del Reino Unido (United Kingdom Data Protection Law)
  • La ley federal suiza sobre la protección de datos (Swiss Federal Act on Data Protection).
  • La ley rusa sobre la privacidad de los datos (Russian Data Privacy Law).
  • La ley canadiense de protección de información personal.
  • Documentos electrónicos (Personal Information Protection Electronic Documents Act, PIPEDA)

En particular, la Directiva de Protección de Datos de la UE es una ley importante de privacidad de los datos que regula la forma en que deben protegerse y resguardarse los datos de los ciudadanos de la Unión Europea. Con el fallo del Tribunal de Justicia de la Unión Europea de 2015 que declaró que el marco Safe Harbor es inadecuado para proteger los derechos de privacidad de los ciudadanos de la Unión Europea cuando sus datos se procesan en los Estados Unidos, los profesionales de la privacidad de los datos esperan la aparición de otras leyes y restricciones de privacidad de los datos en Europa.

A fin de abordar los desafíos asociados a la residencia de los datos, debe adoptar la tokenización o la encriptación para todos los datos inactivos, en tránsito y en procesamiento en la nube, para garantizar que los datos a nivel de campo se mantengan dentro del país para las aplicaciones de SaaS como Salesforce.com, Oracle, Service Now y otros proveedores de nube importantes.

Medida n.º 6: Implemente DLP para la nube a fin de minimizar el riesgo de filtración de datos.

Una solución de CASB avanzada debe permitirle establecer políticas granulares sensibles al contexto y al contenido, basadas en la estrategia de gobernabilidad de la nube definida en la medida uno, para remediar automáticamente los riesgos y las exposiciones cuando ocurren, evitar la filtración de datos y frustrar la actividad maliciosa. Esto evitará que ocurran incidentes de seguridad o cumplimiento y protegerá los datos confidenciales con aplicación de políticas en tiempo real. Alternativamente, debe poder configurar notificaciones por correo electrónico para alertar a los usuarios o administradores de dicha actividad riesgosa.

Medida n.º 7: Supervise todo el tráfico de nube de cada usuario, dispositivo y ubicación.

Esto hace posible la auditabilidad y la gobernabilidad, al tiempo que permite el modelado de comportamiento, la detección de infracciones y la investigación de incidentes para las medidas posteriores. Una vez que tiene las líneas de base de sus aplicaciones, datos y usuarios, debe poder supervisar todo el tráfico hacia y desde sus aplicaciones de nube. Su solución de CASB debe contar con una puerta de enlace que se establezca en línea en su red y debe poder extraer los eventos granulares en tiempo real de todo el tráfico entrante y saliente de las aplicaciones de nube, mediante el aprovechamiento de las técnicas de la ciencia de datos y el aprendizaje automático. También es importante destacar que, cuando redirige mediante proxy el tráfico de la nube, debe adoptar una solución de CASB que aproveche un proxy de reenvío transparente para asegurarse de que tiene visibilidad de las aplicaciones móviles nativas. Debido a que los servidores proxy inversos dependen de la reescritura de URL de servicios de nube y del redireccionamiento de usuarios a ellas, son de poca utilidad en lo que concierne a la supervisión de las aplicaciones móviles nativas, en las que las direcciones URL están codificadas de forma rígida.

Medida n.º 8: Otorgue protección contra el acceso malicioso a sus cuentas de nube con análisis del comportamiento de los usuarios.

Al implementar las primeras cuatro medidas, obtendrá visibilidad de las aplicaciones de nube que generalmente utilizan sus empleados y de los tipos de documentos a los que acceden y comparten. El próximo paso es correlacionar estos datos con las actividades de los usuarios individuales en la nube para poder establecer más fácilmente una línea de base a fin de identificar el comportamiento riesgoso. A través del análisis de comportamiento avanzado, una solución de seguridad de acceso a la nube debe poder elaborar un perfil de riesgo para cada usuario. Por ejemplo, Judy de Mercadeo generalmente carga y descarga 5 GB de datos por día utilizando aplicaciones como Office 365, Box y Evernote, y suele acceder solamente a materiales de mercadeo. A ella se la considera un usuario de bajo riesgo.

Si de repente ella descarga 100 GB de datos de PII y PCI de Salesforce, lo cual es inusual en su caso, se puede enviar una alerta a TI informando sobre un posible riesgo que debe mitigarse. No obstante, su perfil de usuario no debe permanecer estático en el tiempo. La solución de CASB debe modificar en forma dinámica su perfil de riesgo para contemplar cambios legítimos en los patrones de actividad o cambios en su riesgo inherente.

Medida n.º 9: Implemente la Protección contra amenazas avanzadas para resguardarse de las amenazas dirigidas a su contenido de nube.

Si bien los proveedores de servicios de nube protegen su infraestructura, los delincuentes cibernéticos y los estados nación utilizan exploits a nivel del contenido para la penetración inicial, el comando y control, y la transferencia no autorizada de datos. Las tecnologías que tienen los proveedores de SaaS para analizar el contenido almacenado en las aplicaciones de nube de los clientes en busca de amenazas son rudimentarias o escasas. Las empresas que tienen estándares elevados para la protección contra amenazas requieren una arquitectura y herramientas que permitan la inspección del contenido descargado de la nube y cargado a ella para prevenir las amenazas avanzadas.

Medida n.º 10: Mantenga actualizados a los ejecutivos en forma mensual con respecto a las tendencias de la actividad y la cuenta en nube.

En resumen: cuando esté frente a su CEO o directorio y deba justificar el valor de TI, debe tener a su alcance una estrategia integral que aborde la TI alternativa para articular y respaldar con claridad su visión de la nube. Una solución de CASB completa y eficaz debe poder generar automáticamente un sencillo resumen ejecutivo de los riesgos relacionados con la TI alternativa, que incluya toda la información descrita en las seis medidas anteriores, lo que lo convertirá en un recurso estratégico proactivo en la sala de directorio.

Medida n.º 11: Proporcione un análisis detallado posterior a incidentes antes de que ocurra o cuando ocurra una infracción de seguridad de los datos o las cuentas.

Pocos proveedores de soluciones de CASB proveen análisis posteriores a incidentes; sin embargo, es una herramienta fundamental tanto para remediar las vulnerabilidades que conducen a una infracción como para abordar las preocupaciones de un auditor posteriores a un incidente. No se engañe: prácticamente todas las organizaciones que utilizan servicios de nube han experimentado o experimentarán una infracción de seguridad de los datos en algún momento. Por lo tanto, una solución de seguridad de acceso a la nube avanzada debe proveer herramientas intuitivas de análisis posteriores a incidentes que le permitan realizar análisis exhaustivos de la actividad histórica de nube y generar informes de cumplimiento.