A medida que las organizaciones adoptan servicios de nube y ponen cada vez más datos en manos de proveedores de servicios de nube independientes, los desafíos asociados con el mantenimiento de la visibilidad y el control de sus datos confidenciales y regulados solo aumentará exponencialmente, indica la organización Blue Coat.
Confiar en un proveedor de servicios de nube para el cumplimiento y la protección de los datos no es suficiente. Por otro lado, descartar los servicios de nube debido al escepticismo sobre la seguridad es innecesariamente restrictivo y perjudica a la empresa. Las empresas deben considerar cifrar o tokenizar los datos confidenciales antes de que vayan a la nube, de modo que puedan conservar el control total de su información mientras está en tránsito, almacenada (inactiva) y en uso (siendo procesada) en la nube.
1. Pregunte a los desarrolladores y proveedores de nube, que están configurando las redes virtuales en plataformas de nube, cómo está diseñada la red, para poder asegurarse de que sus datos no sean simplemente lanzados de cualquier manera a una “nube” (según Forrester).
2. Familiarícese con las herramientas de seguridad dedicadas a los datos que funcionen tanto dentro como fuera de los firewalls de su empresa, en particular, el cifrado de los datos de la nube.
3. En lo relativo al cifrado de datos inactivos en un entorno de nube, preste atención a quién administra las claves y dónde residen físicamente. Conservar las claves le permite mantener el control de la seguridad de los datos.
4. Desarrolle una plataforma de seguridad que le permita implementar una política coherente en varios servicios de nube, preferentemente uno que no implique una administración de claves compleja.
5. No se olvide de los datos en uso. Los datos en uso son los datos que han sido cargados en un proceso y están en la memoria del programa que se está ejecutando. Por lo general, estos datos no están cifrados mientras se procesan, lo que habitualmente significa que no están protegidos por ningún cifrado basado en la nube proporcionado por el proveedor del servicio de nube. Asegúrese de administrar todo el proceso de cifrado de estos datos.
6. Considere la tokenización como un medio de protección de los datos de la nube. Los tokens reemplazan los datos originales en formato de texto por valores suplentes antes de que salgan de la organización, de modo que la información confidencial permanece siempre dentro de su dominio o control. Los valores de reemplazo no tienen relación matemática con el texto original no cifrado, por lo que el token no se puede invertir para revelar los datos originales si son robados o interceptados. El único lugar donde puede traducir un token seguro a su valor original es dentro de un almacén de tokens seguro, que siempre se encuentra bajo el control total de la empresa.
7. Controle el flujo de datos móviles. No se olvide de proteger los datos a los que se accede desde los dispositivos móviles de sus empleados (BYOD). A menudo, estos datos evaden los escritorios, y se procesan y almacenan exclusivamente en estos dispositivos móviles o en la nube. Debe tomar medidas para garantizar que los datos de su empresa que se encuentran en estos dispositivos y en la nube no estén demasiado expuestos.
8. Preserve la funcionalidad de las aplicaciones de nube. Al elegir una solución de seguridad de nube, asegúrese de seleccionar una que no afecte la funcionalidad del usuario. Lo ideal es maximizar los beneficios que puede obtener de la oferta de nube/SaaS y, al mismo tiempo, mantener la seguridad más sólida posible y el control de los datos.
9. Comprenda que existen requisitos de cumplimiento normativo y legal de los datos para los tipos de datos que se almacenan en la nube. Comprenda quién es el responsable de garantizar que se aborden las leyes de privacidad y cumplimiento normativo y legal de los datos relevantes.
10. Examine sus contratos comerciales, cómo comparte los datos con sus clientes empresariales y los tipos de información intercambiada. Es posible que existan requisitos para tratar la información confidencial y la propiedad intelectual de ciertas maneras, especialmente en entornos de nube/SaaS. Además, si se encuentra en una industria regulada, como el sector bancario o de la salud, debe cumplir con las restricciones y protecciones que indudablemente se aplican.