A pesar de todas las ventajas, servicios en la nube puede plantear nuevos problemas de seguridad. Aunque ya no es necesario que proteja los racks de servidores, el procesamiento de datos directamente a través de la nube no lo exime de esta responsabilidad. Esta publicación examinará varios consejos cruciales para mantener intacta la seguridad en la nube de las empresas.
Establezca una política de contraseña segura
El crecimiento del servicio en la nube solo ha aumentado la importancia de las contraseñas. Incluso si almacena sus datos en la nube, un atacante aún podría acceder a información y activos confidenciales con credenciales robadas. Una política de contraseña segura requiere más que simplemente exigir contraseñas complicadas a los empleados. Por ejemplo, con la autenticación multifactor habilitada, una contraseña robada ya no es suficiente para que un atacante obtenga . Las organizaciones también recomiendan la autenticación de inicio de sesión único (SSO), según Cindi Keller, Coordinadora de Comunicaciones de LA FIRMA DE DEFENSA PENAL:
“Asignar autenticación de inicio de sesión único (SSO) sería una excelente técnica para disminuir los errores humanos. No debemos correr el riesgo de exigir a las personas que actualicen sus contraseñas con frecuencia. Tenemos prácticas de ciberseguridad cuestionables y yo tampoco soy inmune”.
Limite el a información confidencial
Una vez que un ha sido autenticado, la seguridad en la nube no termina. Por lo tanto, el uso de recursos en un sistema debe estar restringido por controles de confiables, con especial atención en limitar el a datos y activos confidenciales. De acuerdo a Tiffany hafler, Gerente de Marketing at Facturación médica de Fortis:
“Asegúrese de tener los permisos adecuados para proteger los datos confidenciales de la empresa. Todo el personal no debería tener a ciertos archivos y programas. Los controles de son necesarios para protegerse contra el robo y la manipulación de datos importantes de la empresa. En ausencia de niveles de claramente definidos, un pirata informático que logre phishing a cualquier empleado de bajo nivel tendrá ilimitado a toda la red”.
Muchas empresas eligen una estrategia de seguridad de confianza cero como un paso más. De acuerdo a timoteo allen, Investigador Corporativo Sr., at PC de Oberheiden:
“Confianza cero se refiere a tener cero confianza en cualquier persona, tanto dentro como fuera de la empresa, incluso el proveedor de sus escritorios virtuales. El condicional, un conjunto de restricciones que requieren que un autentique su identidad antes de otorgar a los datos de la empresa, es un componente crucial. ¿Qué papel juega el ? ¿Qué deben lograr? ¿En qué ubicación están? ¿Qué tipo de artilugios tienen? ¿Qué red utilizan? Después de obtener este contexto, TI puede establecer y hacer cumplir regulaciones sobre las acciones que el puede realizar. Por ejemplo, ¿debería permitírseles imprimir o tomar una captura de pantalla? ¿Deberían siquiera tener ? El riesgo de una violación de la seguridad interna, ya sea intencional o no, se reducirá con estas barreras de seguridad de condicional”.
Enseñar al personal a reconocer los esfuerzos de phishing y otros ataques
En muchos de los ataques más extendidos, como el phishing, se utiliza la ingeniería social para aprovechar el error humano. Implementar una capacitación continua de concientización sobre el phishing es una de las mejores cosas que una empresa puede hacer para prevenir ataques cibernéticos en este sentido. De acuerdo a Inga Broerman, Vicepresidente de BluLogix:
“El mayor riesgo indirecto para la seguridad de su almacenamiento en la nube puede provenir de sus empleados. Sin embargo, una capacitación regular y exhaustiva permitirá a su equipo identificar los intentos de phishing y evitarlos. Se recomienda continuar con la capacitación antiphishing para obtener la mejor eficacia. El entrenamiento exitoso requiere esfuerzos regulares y consistentes a lo largo del tiempo en lugar de un solo esfuerzo de una sola vez”.
Tenga un proceso estricto de desvinculación en su lugar
Una de las últimas cosas que necesita una empresa es un exempleado insatisfecho que cause estragos sin dejar de tener todos los derechos de . Por ello, debe establecer una política clara de desvinculación y adherirse estrictamente a ella en caso de rescisión. De acuerdo a Jake Smith, director general de registro absoluto:
“Es necesario cancelar todas las autorizaciones para el uso de sistemas de datos, incluidos los servicios en la nube. Si los ex empleados venden sus datos privados a las partes equivocadas después de dejar su organización, no serán responsables. Por lo tanto, debe implementar un proceso sólido de baja que restrinja el uso de la nube por parte de los ex empleados”.
Presta atención a tu red
Es imposible esperar que un equipo de TI supervise adecuadamente su red o la defienda de las amenazas si no puede hacerlo. Los sistemas SIEM (gestión de eventos e información de seguridad) se utilizan ampliamente en las empresas para detectar ataques. Para integrar los servicios en la nube en estos sistemas actuales, Adán García, propietario de El idiota común, proporciona el siguiente ejemplo:
“Comprender las capacidades que cada proveedor puede ofrecer sobre el rendimiento y la disponibilidad del escritorio, así como los datos adicionales que se pueden sincronizar con los sistemas SIEM, como los intentos de inicio de sesión, las ubicaciones de los s y otros eventos de seguridad, es importante si una organización está considerando la posibilidad de usar la nube. -aplicaciones SaaS nativas, como escritorios en la nube. Asegúrese de que su equipo de TI tenga una visión completa y en tiempo real de su entorno de TI”.