Fundamentos de la seguridad y protección de datos en la nube

La seguridad de los datos en la nube es una prioridad máxima para cualquier organización habilitada para la nube. La ejecución adecuada requiere experiencia en la nube, capacitación en comportamiento organizacional y una transformación digital continua del conjunto tecnológico y la estrategia.

Conozca Hyland Cloud

¿Qué es la protección de datos en la nube?

La protección de datos en la nube es el conjunto de políticas, procesos y controles técnicos establecidos que protegen los datos y la privacidad mientras se interactúa con recursos basados en la nube.

Esto incluye, pero no se limita a:

  • Controles de acceso basados en roles
  • Cifrado durante el tránsito
  • Cifrado al escribir
  • Cifrado en reposo
  • Evaluaciones de seguridad de terceros/proveedores
  • Registro detallado en un sistema de gestión de información y eventos de seguridad (SIEM)
  • Y mucho más

Por qué la seguridad de los datos es importante en la computación en la nube

Las amenazas a la seguridad de los datos son continuas y están en constante cambio. Dado que la computación en la nube es ahora el enfoque de infraestructura dominante para las grandes empresas, la cantidad de datos en la nube es mayor que nunca. Por lo tanto, la seguridad en la nube y la protección de los datos almacenados allí son cruciales para un buen negocio.

Para 2026, Gartner proyecta que el gasto en la nube pública superará el 45 % de todo el gasto en TI de una empresa, frente a menos del 17 % en 2021.

— Gartner

Las organizaciones siguen siendo vulnerables a las filtraciones.

El Informe de investigaciones de violaciones de datos de Verizon de 2022 es un tesoro de información sobre violaciones de datos. Identifica cuatro vías clave que conducen a las brechas: credenciales robadas, phishing, explotación de vulnerabilidades y botnets.

Tipos de ataque destacados:

  • Ransomware: mostró una tendencia al alza con un incremento que superó su prevalencia en los últimos cinco años combinados.
  • Ataques a la cadena de suministro: ya sea por motivos financieros o por un ataque de un estado-nación, un solo socio comprometido puede tener efectos duraderos en cadena.
  • Error: con el almacenamiento en la nube mal configurado influyendo fuertemente en esta categoría, Verizon señala que “no se debe descartar la falibilidad de los empleados”.
  • Elemento humano: este sigue siendo un punto débil, con especial importancia de credenciales robadas y phishing. 

Riesgo financiero

El costo financiero de una violación de datos promedió los 9.44 millones de dólares para las organizaciones con sede en EE. UU., pero para el sector de salud, el costo superó los 10 millones de dólares, según el Instituto Ponemon.

Reputación

Cuando una empresa se asocia con una solución que se implementa en la nube, transfiere al menos parte de la responsabilidad de proteger sus datos al proveedor de la nube. Sin embargo, si el proveedor de servicios en la nube no cumple con la seguridad de los datos en la nube al nivel prometido y ocurren violaciones, el daño a la reputación no se limita al proveedor de servicios en la nube. Es probable que el daño (tanto para la reputación como de otro tipo) tenga repercusiones para los proveedores de soluciones y las empresas que almacenaron sus activos en ese entorno de nube, sin mencionar a los consumidores afectados.

Cumplimiento normativo

Además de las necesidades de cumplimiento de los proveedores de servicios en la nube, las empresas a menudo tienen sus propias órdenes de cumplimiento impuestas por la industria o su ubicación geográfica. Por lo general, el cumplimiento es un enfoque de dos vertientes:

  1. Política, procedimientos y operaciones
  2. El aspecto técnico de la seguridad en la nube, como la aplicación de controles o la supervisión de esos controles 

Certificaciones

La seguridad de los datos en la nube es crucial para obtener y mantener los tipos de certificaciones que las empresas a menudo necesitan. Ya sea que las certificaciones sean requeridas por la industria, por ejemplo, para los sectores de salud, gobierno, servicios financieros u otra área, o que los clientes requieran certificación como requisito para hacer negocios, las medidas adecuadas de seguridad en la nube son imprescindibles. Desde el seguro de ciberseguridad hasta el procesamiento de datos según las mejores prácticas, las certificaciones y la solidez de su seguridad en la nube a menudo están entrelazadas.

Una universidad privada logra un ROI del 114% con Hyland Cloud

Nucleus Research estudia el impacto de Hyland Cloud

Conozca cómo una destacada universidad privada transformó sus operaciones con Hyland Cloud, logrando un impresionante retorno de la inversión del 114 % en poco más de un año. La institución ahorró 275 000 dólares anualmente, simplificó los procesos y adoptó una estrategia que prioriza lo digital. Lea esta historia de éxito para ver cómo la innovación impulsó resultados medibles y transformó la educación superior.

Descargue el estudio de caso

Mejores prácticas de seguridad de datos en la nube

Las mejores prácticas de seguridad de datos en la nube requieren un enfoque de defensa que superponga distintos tipos de tácticas de defensa una sobre otra. Este enfoque multicapa ofrece la mayor probabilidad de éxito en seguridad frente a las amenazas dinámicas que enfrenta una organización.

Así es como se ve un enfoque por capas: imagine su organización como un castillo en la época medieval. Para una máxima seguridad, su castillo debe estar protegido con distintas capas de defensa variable:

  • Ubicación estratégica con barreras naturales como una cima de colina o un acantilado
  • Mantenimiento continuo de la estructura
  • Arqueros para detener los avances
  • Fosos para impedir ataques importantes
  • Puentes levadizos y rastrillos para bloquear el acceso fácil
  • Alquitrán contra las invasiones
  • Lo oculto se mantiene dentro

Cuanto más cambian las cosas, más permanecen igual. Las mejores prácticas para asegurar sus datos en la nube se basan en los mismos principios de seguridad que en el pasado, pero con un enfoque digital claramente mejorado.

Defensa en profundidad en la nube

Una estrategia de seguridad en la nube de defensa en profundidad emplea diversas capas de protección de datos y privacidad para salvaguardar sus datos en la nube. Para diferentes tipos de amenazas (phishing frente a credenciales robadas, por ejemplo), usted necesita un tipo diferente de capa de protección. Con varias capas, se cubren más amenazas y, si una capa falla, otra puede frustrar el ataque.

La tríada de la CIA

No, no es de esa CIA.

La tríada de la CIA describe un modelo que prioriza estos tres tipos de seguridad:
  • Confidencialidad: las personas correctas pueden acceder al nivel correcto de información
  • Integridad: Los datos son consistentes y precisos
  • Disponibilidad: la fiabilidad del acceso a la información adecuada

Al final del día, esos tres principios son los que constituyen la seguridad de los datos en la nube.

Tipos de protección de datos en la nube

Una empresa que aproveche la computación en la nube debería tener capas de defensa que incluyan:

Políticas y procedimientos

  • Seguridad de contraseñas robusta e inicio de sesión único (SSO)
  • Autenticación multifactor (MFA)
  • Capacitación en seguridad y revisiones anuales de políticas

Seguridad física

  • Guardias de seguridad
  • MFA, trampas de seguridad, biometría
  • Listas de control de acceso
  • Redundancia de energía
  • Supresión de incendios
  • Distribución geográfica

Defensa perimetral

  • Pruebas de vulnerabilidad y penetración
  • SIEM
  • Prevención temprana de ataques de denegación de servicio (DoS)
  • Firewalls de próxima generación (NGFW)

Seguridad de la red interna

  • Firewalls internos y segmentos de red
  • Cifrado durante el tránsito
  • Acceso en función de roles
  • Filtrado web de salida
  • Alta disponibilidad

Seguridad del anfitrión

  • Detección y remediación de endpoints
  • Implementación potenciada
  • Aplicación de parches oportuna y responsable

Seguridad de aplicaciones

Seguridad de los datos

  • Cifrado en reposo
  • Redundancia de datos y replicación
  • Separación de datos
  • Acceso de privilegios mínimos

Es importante tener en cuenta que ninguna estrategia de seguridad es infalible: las mejores prácticas de seguridad de datos en la nube requieren un mantenimiento, evolución, innovación e inversión constantes.

¿Qué logra la seguridad de los datos en la nube?

Un historial perfecto de protección de datos en la nube puede detener una corriente interminable de amenazas durante meses y años, y ahorrar a su organización miles de millones de dólares.

Sin embargo, una sola falla de seguridad puede costarle mucho a una organización, ya sea en repercusiones directas de datos comprometidos o en impactos a largo plazo de la brecha, como multas o daños a la reputación.

¿Cómo asegura usted la seguridad de los datos en la computación en la nube?

Las organizaciones deben tener tanto una cultura de seguridad como una cultura que entienda la seguridad. Esto incluye a todos, desde los equipos de mantenimiento, proveedores y trabajadores contratados hasta los directores ejecutivos, líderes de TI y socios tecnológicos.

Crear una cultura de seguridad de datos en la nube

La seguridad exitosa es en gran medida un juego de gato y ratón. Lo que pruebe este mes podría ser completamente diferente el próximo mes porque estos ataques evolucionan constantemente, y su organización también debe hacerlo. Para mantenerse al día, las organizaciones deben:

Aliste a todos

Cada persona en una organización es una parte crítica de la estrategia de defensa en capas. Su seguridad es tan fuerte como el eslabón más débil, por lo tanto, involucre a todos los integrantes del equipo de la empresa en el mantenimiento y la perpetuación de la seguridad de sus datos en la nube.

Entrene activamente a su equipo con capacitación continua

Organice capacitaciones periódicas y obligatorias para todos los integrantes del equipo. Cree un equipo que despliegue tipos activos de compromisos para probar y educar a los integrantes del equipo y ver cómo podrían responder a amenazas reales. Estas pruebas deberían parecerse a las amenazas reales que los hackers utilizarían para atacar o evaluar vulnerabilidades. Esos resultados informarán a su equipo de seguridad sobre lo que podría funcionar bien en su contra y ayudarán a definir mejor qué capacitaciones de seguridad deberían ser la máxima prioridad en el futuro.

Contrate a expertos en la nube para trabajar en la nube

Pueden ocurrir brechas de seguridad autoinfligidas cuando los integrantes del equipo de seguridad en la nube no tienen la experiencia necesaria para hacer correctamente el trabajo. El Informe de Investigaciones de Filtraciones de Datos de Verizon de 2022 encontró que los errores influenciados por una configuración incorrecta del almacenamiento en la nube continúan siendo una tendencia dominante.

La seguridad exitosa es en gran medida un juego de gato y ratón. Lo que pruebe este mes podría ser completamente diferente el próximo mes porque estos ataques evolucionan constantemente, y su organización también debe hacerlo.

— Dylan Border, Director de Ciberseguridad, Hyland

Métodos de protección de datos en la nube

Además de las mejores prácticas mencionadas anteriormente, la protección de datos en la nube puede beneficiarse de estos métodos.

Automatice la nube

Reducir la cantidad de interacción humana con los recursos dentro de la nube mediante la automatización puede ayudar a proteger los datos en la nube. Esto ayuda tanto en la detección de amenazas y anomalías como en la respuesta. Cuando la automatización está integrada en la infraestructura de la nube, los cambios y las actualizaciones se pueden lanzar y completar en segundos en lugar de en días, semanas o meses.

Por ejemplo, AWS puede interactuar con las API y enviar un único comando de línea para iniciar una serie de scripts que despliegan las instancias y los contenedores pertinentes necesarios para todo el entorno de la nube. Además de la eficiencia temporal, la automatización en la nube también elimina el error humano y la configuración incorrecta de la nube.

Colabore con un equipo externo de gestión de riesgos de ciberseguridad

Evalúe y emplee una herramienta independiente y neutral que analice e informe sobre la preparación de seguridad de su organización. BitSight, por ejemplo, ayuda a supervisar la huella pública de una entidad en línea.

Tanto los proveedores de servicios en la nube como las empresas que utilizan los servicios de un proveedor de nube pueden beneficiarse de estas herramientas de evaluación de terceros. Los comentarios se pueden utilizar tanto de forma proactiva como reactiva:

  • Supervisión proactiva: valida que las acciones de su equipo de seguridad en la nube no se reflejen de manera diferente externamente.
  • Monitorización reactiva: valida que su equipo de seguridad en la nube esté cumpliendo con lo que ha dicho que haría.

Los proveedores de servicios en la nube de primer nivel emplearán a estos evaluadores externos para supervisar sus calificaciones, así como las de los clientes, proveedores y procesadores de pagos.

Infraestructura como código (IaC)

Al gestionar e implementar su infraestructura en la nube como código en lugar de mediante procesos manuales, se limitan los errores humanos y la intrusión de actores malintencionados, tanto internos como externos. IaC obliga a su administración en la nube a seguir el mismo proceso de desarrollo del ciclo de vida de seguridad que seguiría la codificación de aplicaciones para asegurar que no sea maliciosa.

Problemas y desafíos de la seguridad de los datos en la nube

La infraestructura en la nube acelera los negocios y permite a las organizaciones trabajar en tiempo real, en cualquier lugar. Promueve el ahorro de costos, libera espacio físico, respalda las formas modernas y remotas de trabajo, y apoya la preparación para la recuperación ante desastres.

Sin embargo, la computación en la nube sí enfrenta problemas y desafíos, entre los que se incluyen:

Control de acceso

Saber quién puede acceder a qué datos en su entorno de nube es importante para la seguridad de los datos. Los clientes de servicios en la nube deben saber quién está validando el acceso y exigir fuertes precauciones en torno al acceso a nivel de datos y las claves criptográficas, así como asegurarse de que sus proveedores de servicios en la nube sigan las mejores prácticas que hemos mencionado anteriormente, desde la cultura hasta las capas de defensa.

Desafortunadamente, la escasa visibilidad del control de acceso puede permitir que actores maliciosos (a menudo amenazas internas) accedan a su configuración en la nube.

Ataques a la cadena de suministro

Estos ataques están orquestados, originalmente, contra el software del socio menor de una organización mayor. A medida que las grandes empresas se han vuelto más astutas en el ámbito de la protección de datos, los actores maliciosos han intensificado sus ataques a proveedores más pequeños que podrían vender su producto a una entidad mayor. Una vez que el software de socio infectado y no detectado se introduce en el entorno de nube de la empresa objetivo, infecta a todos los usuarios de la aplicación.

Estos ataques a la cadena de suministro pueden afectar a los proveedores y, posteriormente, a los proveedores de sus proveedores, creando una infección en cadena de código malicioso. También pueden ser difíciles de rastrear debido a las largas cadenas.

Inventario de activos

Es posible que las organizaciones con protocolos de gestión de activos deficientes no sepan qué activos y datos poseen en la nube. O debido a que la naturaleza de la nube acelerada de hoy en día implica que las instancias se crean y destruyen rápidamente, es posible que los equipos de seguridad en la nube no puedan seguir el ritmo de lo que ocurre dentro del entorno.

Para combatir esta vulnerabilidad, las organizaciones deben saber qué hay en la nube, por qué está allí y quién lo gestiona. Esto también será útil para los análisis forenses, de modo que si se produce una brecha, su equipo de seguridad en la nube pueda rastrear los sistemas efímeros.

Conclusión: no se puede asegurar lo que no sabe que existe.

Escasez de conocimientos sobre la nube

La industria enfrenta una escasez de conocimientos sobre la nube, y algunos de los mayores desafíos de seguridad se relacionan con este hecho. Si los empleados sin la experiencia crítica en la nube intentan desplegar activos en la nube de la misma manera que lo hacen en sus centros de datos tradicionales, las cosas pueden salir bastante mal desde una perspectiva de seguridad. Aunque los dos conjuntos de habilidades pueden complementarse mutuamente, no son una correspondencia exacta.

Añada la velocidad de la nube y la rapidez con la que los proveedores de nube pueden modificar y reemplazar sus propios servicios, y es un desafío excepcional para quienes no son expertos en la nube (y para los expertos en la nube) mantenerse al día.


> Más información | Los trabajadores tecnológicos que usted necesita están en ninguna parte, en cualquier parte y en todas partes

Seguridad en la nube frente a la seguridad del centro de datos

La diferencia en seguridad entre la computación en la nube y los centros de datos locales radica esencialmente en quién recae la responsabilidad.

Un centro de datos local que no utiliza la nube tiene servidores que son propiedad de la empresa y están gestionados por ella. En ese caso, la organización es completamente responsable de la seguridad.

Cuando una empresa se asocia con una solución habilitada para la nube que utiliza un proveedor de nube, la responsabilidad de la seguridad del centro de datos se transfiere al proveedor de nube.

Sin embargo, la organización debe encargarse de su debida diligencia y examinar a todos los proveedores de bienes y servicios y prestadores que tengan alguna participación en la infraestructura en la nube, las aplicaciones utilizadas y los servicios adquiridos. Idealmente, esto significa que una empresa selecciona un proveedor importante, como AWS, que tendría los niveles más altos de especialistas en seguridad en la nube trabajando para ellos y un historial comprobado de éxito en materia de seguridad.

¿Reemplazará la nube a los centros de datos?

No, la nube no sustituye a los centros de datos. Una solución en la nube aún utiliza un centro de datos para el almacenamiento de datos. Sin embargo, la mayoría de las empresas están dejando de gestionar sus propios centros de datos locales. Los proveedores de nube poseen y gestionan sus propios centros de datos y, esencialmente, "alquilan" espacio de almacenamiento a sus socios.

Por ejemplo, AWS es un proveedor de nube que gestiona sus propios centros de datos utilizados para almacenar los datos en la nube de sus socios. AWS es responsable de la seguridad y el mantenimiento de esos centros de datos, y ahí es donde almacenan los datos de sus clientes de infraestructura en la nube.

Seguridad de datos en la nube para servicios de contenido

Hyland es un proveedor líder de servicios de contenido con una variedad de tecnologías, soluciones y servicios habilitados en la nube y nativos de la nube. Nos tomamos muy en serio la seguridad de los datos en la nube porque nuestros clientes la exigen y porque es lo correcto.

Hyland y la computación en la nube

Obtenga más información sobre Hyland en la nube:

  • Hyland en el AWS Marketplace
  • Hyland Cloud
  • Alfresco Business Platform-as-a-Service de Hyland

Hyland en AWS

Hyland aparece en AWS Marketplace. Obtenga más información sobre las ventajas de comprar allí, incluida la posibilidad de:

  • Agilizar las adquisiciones
  • Implementar controles y automatizar el aprovisionamiento
  • Gestionar los presupuestos de software con transparencia de costos

También podría interesarle

Qué es la computación en la nube para profesionales no técnicos
Una guía práctica para la migración a la nube
Local versus en la nube: Tomar la decisión correcta