La migración a la nube desafía la protección de datos sensibles

La computación en la nube ha revolucionado la forma como las empresas gestionan y prestan servicios tecnológicos. No hay duda de que la escalabilidad, flexibilidad y eficiencia que ofrece la nube no tienen paralelo, y permiten a las empresas alcanzar nuevos niveles de innovación y agilidad. Sin embargo, esta conversión a la nube también ha traído una serie de desafíos de ciberseguridad, que se han convertido en un conjunto único y potencial de riesgos para los negocios de las empresas, y mucho de esto se está ignorando.

Pocos profesionales se paran a reflexionar si la empresa está preparada para asumir los riesgos de enviar recursos e información estratégica a la nube sin un mínimo de ciberseguridad para dichos recursos. La agilidad en las ejecuciones masivas para construir una infraestructura de nube corporativa a menudo tiene prioridad sobre la acción más importante en este momento: la seguridad en la implementación de estos recursos en línea.

En el combo de riesgos que he mencionado, imagine que la información estratégica, los proyectos confidenciales y los planes de su empresa son vulnerables a accesos no autorizados, fugas de información confidencial y sensible, ataques de denegación de servicio (DDoS), malware, violaciones de la normativa y mucho más. La naturaleza compartida de los entornos en nube significa que las empresas pueden compartir recursos físicos y virtuales con otras empresas, como socios comerciales y proveedores, lo que aumenta la superficie potencial de ataque.

Con este contexto bien planteado, es posible dar un paso atrás y comprender que implementar una arquitectura de seguridad robusta desde la concepción de los proyectos de migración a la nube es más que esencial para garantizar su éxito. Una arquitectura de seguridad sólida en entornos de nube implica un enfoque de múltiples capas que combina tecnología, procesos y personas.

Al considerar la seguridad como parte del proceso desde el inicio, y no sólo como algo complementario al final de los proyectos, se debe tener en cuenta elementos claves:

• Identificación y autenticación sólidas: implementar la autenticación de dos factores (2FA) o la autenticación de múltiples factores (MFA) es crucial para verificar la identidad de los usuarios. Esta implementación ayuda a proteger contra el acceso no autorizado.
• Cifrado de datos: el cifrado debe aplicarse a los datos en reposo y en tránsito. Esto garantiza que incluso si se produce una violación de datos, el atacante no pueda acceder a la información sin las claves de cifrado adecuadas.
• Gestión de accesos y permisos: es fundamental adoptar un modelo de control de acceso estricto, asegurando que sólo las personas autorizadas tengan acceso a recursos y datos específicos. Esto incluye limitar los privilegios para evitar el acceso no autorizado.
• Monitoreo continuo: implementar soluciones de monitoreo de seguridad en tiempo real es esencial para detectar actividades sospechosas o comportamientos anómalos en su red. Esto permite una respuesta rápida a posibles amenazas.
• Resiliencia y redundancia: las arquitecturas de nube deben diseñarse para resistir fallas y ataques. La replicación de datos y sistemas en diferentes regiones geográficas o proveedores de nube puede garantizar la disponibilidad continua de los servicios.
• Pruebas de penetración y simulaciones de ataques: realizar pruebas de penetración y simulaciones de ataques con regularidad puede ayudar a identificar debilidades en la arquitectura de seguridad y solucionarlas antes de que se conviertan en vulnerabilidades reales.
• Cumplimiento y gobernanza: garantizar que la arquitectura de seguridad cumpla con todas las regulaciones aplicables es crucial, especialmente para industrias altamente reguladas como la atención médica y los servicios financieros.

Una arquitectura de seguridad sólida en la nube aporta numerosos beneficios a las empresas, así como a los clientes y usuarios finales. Por ejemplo, confianza en los clientes, pues se demuestra en la práctica el compromiso de proteger su información; mejora la continuidad del negocio, al reducir el riesgo de interrupciones del servicio y/o de la producción debido a ataques o fallas; riesgos financieros reducidos, pues invertir en seguridad desde el principio evita costos significativos asociados con violaciones de datos y posibles sanciones regulatorias; y agilidad con confianza, ya que permite a las empresas aprovechar los beneficios de la nube para la innovación.

También es importante recordar que la inversión total en una migración a la nube, con seguridad integrada, no puede ser el parámetro de decisión. Las ventajas son muchas, pero cuando pensamos en el tema sólo como un costo, terminamos por no adoptarla a largo plazo. Sin una visión a largo plazo y  prevención, el impacto de una filtración de datos o un ciberataque le costará mucho más a la empresa, además de tener un impacto negativo en la imagen y un costo incalculable en la reputación que mantiene ante los clientes y el mercado.

Sobre el autor: Vanderson Santos es ingeniero en Desarrollo de Negocios de Fortinet Brasil. Es especialista en seguridad de la nube (MCT), Blue Team, arquitecto de cibersecuridad, LGPD, experto en DevSecOps. Anteriormente trabajó en empresas como Midway, Banco Santander Brasil, TIM Brasil y Localfrio.