¿Cómo puedo adoptar de forma segura aplicaciones en la nube? ¿Las aplicaciones en la nube crean un riesgo de seguridad para mi organización? ¿Cómo me protejo contra las amenazas y Malware? ¿Qué sucede si un servicio en la nube se ve comprometido?

Las aplicaciones en la nube son excelentes para la productividad y son fáciles de usar, pero debe tener en cuenta los riesgos de seguridad que conllevan.

La seguridad de las aplicaciones en la nube es una responsabilidad compartida. Su proveedor de la nube protegerá las aplicaciones e infraestructura contra ataques, pero no es responsable de lo que hacen sus usuarios dentro de sus cuentas. Usted es responsable de configurar controles de seguridad para acceder a las aplicaciones en la nube, así como de educar a sus usuarios sobre la seguridad en la nube.

Aquí le contamos, en 5 sencillos pasos, cómo proteger a su organización social

Paso 1: haga un inventario en aplicaciones en la nube

Descubra qué aplicaciones en la nube están utilizando los miembros de su organización. Si no sabe considérela como un “Shadow IT”.

Un “Shadow IT” son aquellas aplicaciones en la nube utilizadas por empleados o voluntarios que no tienen ninguna supervisión de seguridad de TI. Saber qué aplicaciones en la nube están usando sus empleados es un primer paso clave para la seguridad y el cumplimiento de la nube.

Cada organización subestima la cantidad de aplicaciones en la nube que están utilizando. Una organización grande puede realizar esta investigación usando un agente de seguridad de acceso a la nube (CASB). En promedio, una organización empresarial típica encontrará que está utilizando más de 1,200 aplicaciones en la nube.

Las organizaciones pequeñas que no tienen recursos de TI para usar un CASB pueden comenzar encuestando a sus empleados y voluntarios para averiguar qué aplicaciones usan. Y recuerde, cualquier servicio en la nube que procese o almacene datos para usted, incluso un simple convertidor de PDF en la web, cuenta como una aplicación en la nube.

Paso 2: evite los errores de intercambio de archivos

En el último Informe de datos paralelos, Symantec descubrió que el 29% de los correos electrónicos y archivos adjuntos, y el 13 % de todos los archivos almacenados en la nube son ampliamente compartidos y corren el riesgo de fuga.

Aquí hay un ejemplo típico: Un empleado crea una cuenta de Microsoft Office 365, Google Drive, Box o Dropbox. Luego, el empleado carga un archivo con datos confidenciales y comparte ese enlace con alguien fuera de la organización que no tiene una cuenta con ese servicio de intercambio de archivos. Por lo tanto, el servicio en la nube ofrece un enlace accesible para cualquier persona con el enlace.

Luego, su empleado selecciona ese enlace y lo envía a un socio o proveedor o a quien considere que necesita los datos. Aunque este escenario puede parecer inocuo, ese enlace es público y puede ser una amenaza para la seguridad de su organización.

El enlace de acceso al archivo se puede descubrir a través de un rastreador web que está buscando una determinada lista de términos. Los hackers hacen esto a menudo, en busca de la "fruta baja" que podría ser su organización. Es importante recordarles a los empleados en capacitación regular que no deben dejar enlaces de archivos en la nube por más tiempo del absolutamente necesario.

Tenga cuidado con los archivos que contienen información confidencial. Las grandes organizaciones deben implementar un CASB con prevención de pérdida de datos (DLP) para identificar automáticamente los archivos confidenciales y aplicar controles de seguridad para protegerlos.

Es posible que las organizaciones pequeñas no puedan usar un CASB. Sin embargo, pueden implementar algunas técnicas simples, como etiquetar claramente cualquier archivo con contenido confidencial al incluir "confidencial" o "privado" en el nombre del archivo. También pueden usar una marca de agua "confidencial" en el archivo para que sea obvio para cualquiera que lo use que está manejando información confidencial. Nada es demasiado obvio cuando se trata de etiquetar archivos de datos por seguridad.

Cada organización debe capacitar a sus empleados y voluntarios sobre qué hacer y qué no hacer al manejar contenido confidencial. Por ejemplo: no comparta archivos confidenciales utilizando un enlace público.

Paso 3: Identifique a los empleados de alto riesgo

Los empleados de alto riesgo tienen muchas características, algunas virtuales y otras físicas. Un empleado de alto riesgo usa la misma contraseña en todas sus cuentas, traslada datos confidenciales del sistema de la organización a cuentas de correo electrónico personales para trabajar en casa o mientras viaja, no bloquea con contraseña su computadora o dispositivo móvil y deja su dispositivo abierto cuando se aleja.

Al tratar con empleados de alto riesgo, las grandes organizaciones pueden usar la tecnología CASB para evitar la exposición de datos, controlar el acceso y el intercambio, y monitorear las acciones de alto riesgo. Incluso las organizaciones pequeñas sin recursos de TI dedicados pueden usar las capacidades de seguridad integradas que vienen con aplicaciones en la nube como Microsoft Office 365, Google G Suite, Box o Dropbox. Asegúrese de educar también a sus usuarios sobre lo que es un comportamiento de bajo riesgo versus de alto riesgo.

Para sus aplicaciones en la nube oficiales, asegúrese de que los empleados estén usando cuentas dedicadas a la organización, en lugar de una combinación de cuentas personales y profesionales.

Finalmente, obtenga una solución de administración de identidad y autenticación multifactor. Si es una organización pequeña, al menos puede hacer que toda su gente use un programa de administración de contraseñas. Es posible que ya tenga esta capacidad en su protección de punto final, pero si no la tiene, hay productos de consumo muy económicos disponibles para esto.

Paso 4: Cuidado con los malos actores

Los inicios de sesión fácilmente adivinados o los datos de inicio de sesión no seguros ayudan a los piratas informáticos y el malware a acceder a las aplicaciones en la nube para obtener acceso a datos confidenciales. Un empleado o voluntario descontento puede divulgar datos confidenciales, descargar malware, enviar información confidencial o eliminar datos antes de abandonar una empresa.

Puede proteger sus puntos finales contra malware, para que la infección no afecte a su grupo de usuarios u otros sistemas. Puede exigir contraseñas seguras y automatizar cambios trimestrales.

Aproveche la autenticación multifactor en todos los lugares que pueda. Un buen CASB detectará la actividad maliciosa del usuario en una aplicación en la nube. Y, por último, asegúrese de que haya una lista de verificación estándar para los empleados y voluntarios existentes en cada función para desactivar el acceso y eliminar datos.

Paso 5: Manténgase alerta sobre las violaciones de datos

Verá artículos en las noticias todos los días sobre programas o software hackeado. Si uno de los servicios en la nube de su organización llega a las noticias, debería enviarle un correo electrónico o una notificación sobre sus datos, especialmente si sus datos pueden haber sido comprometidos.

Si se viola una de sus aplicaciones en la nube, notifique a todos los empleados que cambien todas sus contraseñas para esa aplicación de inmediato. Luego, eche un vistazo a los datos que tiene su organización en esa aplicación en la nube y pregunte si sería un problema si estuvieran expuestos.

Si tiene datos confidenciales involucrados en una de estas grandes infracciones y pertenece a sus clientes, aliados o cooperantes, es posible que deba notificarlos. (Involucre a los miembros de su equipo legal o de seguridad de TI en esta discusión antes de la notificación y solicite su consejo).

Una vez que haya hecho esto, debe evaluar si desea continuar usando esta aplicación en la nube; puede haber una aplicación en la nube más segura que pueda realizar la misma función para usted. Las organizaciones con un CASB pueden hacer fácilmente una comparación de seguridad en aplicaciones en la nube similares para ayudar a tomar esta decisión.

Las aplicaciones en la nube mejoran su flujo de trabajo, reducen sus gastos y lo convierten en una organización más eficiente. Sin embargo, es importante estar al tanto de los riesgos, informarse sobre sus opciones de monitoreo y planificar sus respuestas.

---

¿Cómo me protejo?

Por medio del programa de Tecnología para el Sector Social puede resolver sus problemas de seguridad accediendo a antivirus y software en la nube para fortalecer la seguridad de sus entornos virtuales.

Puede utilizar Symantec para protegerse contra virus, fortalecer su seguridad en línea y administrar sus usuarios finales.

BitDefender también tiene una amplia gama de productos que le pueden ayudar a blindarse de manera integral y una de sus ofertas es para dispositivos móviles.

Enterprise Mobility + Security provee una barrera contra ataques cibernéticos que podrían afectar la seguridad de sus datos e información.

Déjanos ayudarte a decidir cuál sería la mejor opción para tu organización.