@BlueCoat 8 consejos para garantizar el cumplimiento normativo de aplicaciones y servicios de nube
Por Ignacio Conti, regional manager Blue Coat SoLA
Sus empleados y líneas de negocios reconocen los beneficios de habilitación empresarial y colaboración que ofrecen las aplicaciones de nube, y exigen cada vez más acceso no solo a aplicaciones y servicios de nube populares y seguros como Office 365, Salesforce y Box, sino también a aplicaciones empresariales y de uso compartido de archivos menos seguras. Si TI no responde proporcionando rápidamente una estrategia de adopción de nube segura, los empleados adoptarán las aplicaciones sin la aprobación ni la supervisión de TI, un movimiento conocido como TI alternativa. Lamentablemente, eludir a TI puede ser tan simple como sacar una tarjeta de crédito departamental y activar el servicio.
La nube libre para todos resultante puede exponer a toda su organización a un gran riesgo de incurrir en multas relacionadas con el cumplimiento y costos de remediación debido a infracciones de seguridad de cuentas y datos. Por ejemplo, la infracción a la seguridad de los datos de Anthem en 2015, en la que se filtraron 80 millones de registros de información de la salud de los pacientes (PHI) no encriptados, se produjo a causa de una transferencia no autorizada de datos que aprovechó una aplicación popular de uso compartido de archivos. Las multas relacionadas con el cumplimiento y los costos de remediación resultantes podrían superar los USD 100 millones.
Pero puede evitar ser la próxima empresa que pierda los datos de esta manera. Las siguientes ocho mejores prácticas lo ayudarán a comenzar a desarrollar una estrategia que le permitirá adoptar aplicaciones y servicios de nube, al tiempo que mantiene la seguridad y el cumplimiento.
1) Asegúrese de que sus aplicaciones y servicios de nube cumplan con los requisitos de la política de seguridad de su organización.
Puede utilizar un agente de seguridad de acceso a la nube (CASB) para identificar todas las aplicaciones de nube aprobadas y no aprobadas que se ejecutan en su red extendida. Esta solución también debería analizar estas aplicaciones según sus certificaciones de cumplimiento, estabilidad empresarial, ubicación geográfica y funcionalidad de seguridad. Luego, su solución de CASB debería poder asignar una calificación de la preparación para la actividad empresarial a cada aplicación según estos múltiples atributos, que luego puede utilizar para determinar qué aplicaciones no pueden ajustarse a las normas y se deben bloquear.
2) Identifique sus datos de nube relacionados con el cumplimiento.
Una solución de CASB que aprovecha el aprendizaje automático, la lingüística computacional y los recursos más extensos de la nube para identificar en forma precisa los datos puede ayudar a garantizar que los datos regulados, tales como PII, PCI y PHI, hayan sido clasificados correctamente como confidenciales y estén controlados y administrados adecuadamente. En situaciones en las que los datos no deberían estar en una determinada aplicación de nube o no se deberían compartir, puede utilizar el CASB para establecer políticas que impidan que esos datos se almacenen o se compartan en la nube. Esto limita sus puntos de exposición y reduce las posibilidades de encontrarse con problemas de cumplimiento relacionado con los datos, costosos y complejos.
3) Proteja los datos confidenciales inactivos, en tránsito y en procesamiento en la nube.
Otra de las mejores prácticas consiste en proteger los datos inactivos y los datos en tránsito con la encriptación. Los datos inactivos son datos en almacenamiento, ya sea que estén en la nube, en las instalaciones o en procesamiento. Los datos en tránsito son datos que se intercambian entre el usuario final y la aplicación, así como cuando están siendo procesados dentro de la aplicación de nube (por ejemplo, cuando se está generando un informe). Puede aprovechar una solución de CASB para asegurarse de encriptar los datos relacionados con el cumplimiento a nivel del archivo o de manera más granular en los niveles de campo dentro de las aplicaciones de SaaS.
Tanto la tokenización como la encriptación son fundamentales para proteger los datos relacionados con el cumplimiento, en particular al cumplir con los requisitos de soberanía y residencia de los datos. Tenga en cuenta que, en algunos casos, agregar seguridad como la encriptación basada en el servidor puede interrumpir la funcionalidad de las aplicaciones de la que dependen los usuarios finales, como la capacidad para buscar y clasificar la información o para crear informes y enviar mensajes de correo electrónico basados en la nube. Asegúrese de que la encriptación que elija preserve toda la funcionalidad que los usuarios necesitan de la aplicación de nube.
4) No confíe en el proveedor de servicios de nube para la seguridad.
Usted es responsable de proteger el acceso a sus cuentas y datos en la nube. No confíe en su proveedor de nube para esto. En caso de que el proveedor le ofrezca seguridad adicional sea prudente en cómo la utiliza.
Necesitará una seguridad que contemple todas las aplicaciones, plataformas o infraestructuras de nube que utiliza ya que ninguno de estos entornos es una isla y los sistemas de seguridad diferentes pueden pasar por alto riesgos que cruzan los límites entre los sistemas.
Si encripta o tokeniza los datos, no es recomendable que le otorgue al proveedor (donde residen los datos) acceso a sus claves de encriptación o almacén de tokens y, a menudo, esta es la única opción con la encriptación de aplicaciones de nube nativas. Algunos estándares de cumplimiento requieren que mantenga el control de sus claves de encriptación y no permiten que su proveedor de nube administre estas claves.
5) Defina qué sistemas, personas y procesos necesitan acceso a los datos relacionados con el cumplimiento.
Establezca cómo se utilizan los datos confidenciales a lo largo del tiempo, además de cómo y por qué varias aplicaciones y personas acceden a ellos y los procesan. Luego, aproveche una solución de CASB avanzada con controles que puedan limitar los datos solo a aquellas aplicaciones y usuarios empresariales que los necesiten.
6) Implemente el “firewall humano”.
La idea de que todos conocen la nube porque todos tenemos un iPhone es falsa. Llamamos a la capacitación de concientización “emplear el firewall humano”. Afortunadamente, la mayoría de las organizaciones ya cuentan con programas y plataformas de capacitación. Asegúrese de incorporar capacitación sobre seguridad de nube y cumplimiento a sus programas y plataformas de capacitación existentes, así como un proceso de incorporación de empleados nuevos. Esto desalentará a los empleados de violar las políticas de seguridad y, además, será su primera línea de defensa para identificar amenazas, como ataques de spear phishing diseñados para robar credenciales de usuarios de aplicaciones de nube.
7) Asegúrese de que su proveedor de nube cumpla con las normativas importantes.
Existen muchos regímenes de privacidad de los datos específicos para cada sector. Un ejemplo que se aplica al sector de servicios financieros es la Ley Gramm Leach Bliley. La Ley GLB exige que las empresas establezcan estándares para proteger la seguridad y la confidencialidad de la información personal de los clientes. La Sección 501 (b) señala que estos estándares deben proteger la privacidad de la información y los registros de los clientes; brindar protección continua contra amenazas y evitar el acceso y el uso no autorizados de los datos de clientes. La norma de privacidad financiera (Financial Privacy Rule) exige que las empresas proporcionen un aviso anual a los clientes que explique cómo se mantienen y comparten sus datos, así como las medidas que toman para protegerlos. La norma de protección (Safeguards Rule) les exige que implementen un programa de seguridad de la información. Pero cada sector tiene sus propias reglamentaciones específicas, y debe identificarlas e implementarlas.
Una vez que haya determinado sus requisitos de protección de datos, debe verificar que sus proveedores de servicios de nube cumplan con ellos. Por ejemplo, si trabaja con el gobierno federal, FedRAMP es una importante normativa de cumplimiento para su plataforma o infraestructura de su nube. El cumplimiento de FedRAMP implica un poco más de 1100 puntos de auditoría de datos, es decir, 1100 pruebas diferentes que se deben realizar en el entorno. Se necesitan aproximadamente seis meses para cumplir con esta normativa. Actualmente, hay solo 23 empresas que cumplen con FedRAMP, así de difícil es lograrlo. El gobierno federal no ingresará a un centro de datos que no cumpla con FedRAMP.
También debe confirmar que su proveedor de nube cumpla con los requisitos de las normativas importantes para su negocio y región geográfica, tales como:
• COBIT
• CSA STAR
• FISMA
• FedRAMP
• GAAP
• HIPAA
• ISAE-3402
• ISO 27001
• ISO 27018
• ITAR
• NIST SP 800-53
• PCI
• SOC I tipo 2
• SOC III
• SOX
• SSAE 16 SOC2 tipo II
• Safe Harbor
• TRUSTe
8) Desarrolle políticas internas de gobernabilidad de los datos y administración de riesgos.
Defina claramente las políticas de privacidad y seguridad de su organización y luego, aténgase a ellas. Estas políticas deberían determinar qué datos necesita proteger, y cuáles no. No ceda en estas políticas de privacidad y seguridad solo porque se está trasladando a la nube; estas políticas están diseñadas para garantizar la confidencialidad, la privacidad y el control de los datos para su organización.
Conclusión
Finalmente, se trasladará a la nube, pero la adopción se puede hacer en forma segura. Asegúrese de mantener la visibilidad y el control de las aplicaciones y los servicios de nube autorizados y no autorizados que se ejecutan dentro de su organización, clasificar los datos almacenados en la nube, y mantener una política de uso eficaz que garantice que los datos confidenciales y relacionados con el cumplimiento no se expongan maliciosamente ni involuntariamente.
Sus empleados y líneas de negocios reconocen los beneficios de habilitación empresarial y colaboración que ofrecen las aplicaciones de nube, y exigen cada vez más acceso no solo a aplicaciones y servicios de nube populares y seguros como Office 365, Salesforce y Box, sino también a aplicaciones empresariales y de uso compartido de archivos menos seguras. Si TI no responde proporcionando rápidamente una estrategia de adopción de nube segura, los empleados adoptarán las aplicaciones sin la aprobación ni la supervisión de TI, un movimiento conocido como TI alternativa. Lamentablemente, eludir a TI puede ser tan simple como sacar una tarjeta de crédito departamental y activar el servicio.
La nube libre para todos resultante puede exponer a toda su organización a un gran riesgo de incurrir en multas relacionadas con el cumplimiento y costos de remediación debido a infracciones de seguridad de cuentas y datos. Por ejemplo, la infracción a la seguridad de los datos de Anthem en 2015, en la que se filtraron 80 millones de registros de información de la salud de los pacientes (PHI) no encriptados, se produjo a causa de una transferencia no autorizada de datos que aprovechó una aplicación popular de uso compartido de archivos. Las multas relacionadas con el cumplimiento y los costos de remediación resultantes podrían superar los USD 100 millones.
Pero puede evitar ser la próxima empresa que pierda los datos de esta manera. Las siguientes ocho mejores prácticas lo ayudarán a comenzar a desarrollar una estrategia que le permitirá adoptar aplicaciones y servicios de nube, al tiempo que mantiene la seguridad y el cumplimiento.
1) Asegúrese de que sus aplicaciones y servicios de nube cumplan con los requisitos de la política de seguridad de su organización.
Puede utilizar un agente de seguridad de acceso a la nube (CASB) para identificar todas las aplicaciones de nube aprobadas y no aprobadas que se ejecutan en su red extendida. Esta solución también debería analizar estas aplicaciones según sus certificaciones de cumplimiento, estabilidad empresarial, ubicación geográfica y funcionalidad de seguridad. Luego, su solución de CASB debería poder asignar una calificación de la preparación para la actividad empresarial a cada aplicación según estos múltiples atributos, que luego puede utilizar para determinar qué aplicaciones no pueden ajustarse a las normas y se deben bloquear.
2) Identifique sus datos de nube relacionados con el cumplimiento.
Una solución de CASB que aprovecha el aprendizaje automático, la lingüística computacional y los recursos más extensos de la nube para identificar en forma precisa los datos puede ayudar a garantizar que los datos regulados, tales como PII, PCI y PHI, hayan sido clasificados correctamente como confidenciales y estén controlados y administrados adecuadamente. En situaciones en las que los datos no deberían estar en una determinada aplicación de nube o no se deberían compartir, puede utilizar el CASB para establecer políticas que impidan que esos datos se almacenen o se compartan en la nube. Esto limita sus puntos de exposición y reduce las posibilidades de encontrarse con problemas de cumplimiento relacionado con los datos, costosos y complejos.
3) Proteja los datos confidenciales inactivos, en tránsito y en procesamiento en la nube.
Otra de las mejores prácticas consiste en proteger los datos inactivos y los datos en tránsito con la encriptación. Los datos inactivos son datos en almacenamiento, ya sea que estén en la nube, en las instalaciones o en procesamiento. Los datos en tránsito son datos que se intercambian entre el usuario final y la aplicación, así como cuando están siendo procesados dentro de la aplicación de nube (por ejemplo, cuando se está generando un informe). Puede aprovechar una solución de CASB para asegurarse de encriptar los datos relacionados con el cumplimiento a nivel del archivo o de manera más granular en los niveles de campo dentro de las aplicaciones de SaaS.
Tanto la tokenización como la encriptación son fundamentales para proteger los datos relacionados con el cumplimiento, en particular al cumplir con los requisitos de soberanía y residencia de los datos. Tenga en cuenta que, en algunos casos, agregar seguridad como la encriptación basada en el servidor puede interrumpir la funcionalidad de las aplicaciones de la que dependen los usuarios finales, como la capacidad para buscar y clasificar la información o para crear informes y enviar mensajes de correo electrónico basados en la nube. Asegúrese de que la encriptación que elija preserve toda la funcionalidad que los usuarios necesitan de la aplicación de nube.
4) No confíe en el proveedor de servicios de nube para la seguridad.
Usted es responsable de proteger el acceso a sus cuentas y datos en la nube. No confíe en su proveedor de nube para esto. En caso de que el proveedor le ofrezca seguridad adicional sea prudente en cómo la utiliza.
Necesitará una seguridad que contemple todas las aplicaciones, plataformas o infraestructuras de nube que utiliza ya que ninguno de estos entornos es una isla y los sistemas de seguridad diferentes pueden pasar por alto riesgos que cruzan los límites entre los sistemas.
Si encripta o tokeniza los datos, no es recomendable que le otorgue al proveedor (donde residen los datos) acceso a sus claves de encriptación o almacén de tokens y, a menudo, esta es la única opción con la encriptación de aplicaciones de nube nativas. Algunos estándares de cumplimiento requieren que mantenga el control de sus claves de encriptación y no permiten que su proveedor de nube administre estas claves.
5) Defina qué sistemas, personas y procesos necesitan acceso a los datos relacionados con el cumplimiento.
Establezca cómo se utilizan los datos confidenciales a lo largo del tiempo, además de cómo y por qué varias aplicaciones y personas acceden a ellos y los procesan. Luego, aproveche una solución de CASB avanzada con controles que puedan limitar los datos solo a aquellas aplicaciones y usuarios empresariales que los necesiten.
6) Implemente el “firewall humano”.
La idea de que todos conocen la nube porque todos tenemos un iPhone es falsa. Llamamos a la capacitación de concientización “emplear el firewall humano”. Afortunadamente, la mayoría de las organizaciones ya cuentan con programas y plataformas de capacitación. Asegúrese de incorporar capacitación sobre seguridad de nube y cumplimiento a sus programas y plataformas de capacitación existentes, así como un proceso de incorporación de empleados nuevos. Esto desalentará a los empleados de violar las políticas de seguridad y, además, será su primera línea de defensa para identificar amenazas, como ataques de spear phishing diseñados para robar credenciales de usuarios de aplicaciones de nube.
7) Asegúrese de que su proveedor de nube cumpla con las normativas importantes.
Existen muchos regímenes de privacidad de los datos específicos para cada sector. Un ejemplo que se aplica al sector de servicios financieros es la Ley Gramm Leach Bliley. La Ley GLB exige que las empresas establezcan estándares para proteger la seguridad y la confidencialidad de la información personal de los clientes. La Sección 501 (b) señala que estos estándares deben proteger la privacidad de la información y los registros de los clientes; brindar protección continua contra amenazas y evitar el acceso y el uso no autorizados de los datos de clientes. La norma de privacidad financiera (Financial Privacy Rule) exige que las empresas proporcionen un aviso anual a los clientes que explique cómo se mantienen y comparten sus datos, así como las medidas que toman para protegerlos. La norma de protección (Safeguards Rule) les exige que implementen un programa de seguridad de la información. Pero cada sector tiene sus propias reglamentaciones específicas, y debe identificarlas e implementarlas.
Una vez que haya determinado sus requisitos de protección de datos, debe verificar que sus proveedores de servicios de nube cumplan con ellos. Por ejemplo, si trabaja con el gobierno federal, FedRAMP es una importante normativa de cumplimiento para su plataforma o infraestructura de su nube. El cumplimiento de FedRAMP implica un poco más de 1100 puntos de auditoría de datos, es decir, 1100 pruebas diferentes que se deben realizar en el entorno. Se necesitan aproximadamente seis meses para cumplir con esta normativa. Actualmente, hay solo 23 empresas que cumplen con FedRAMP, así de difícil es lograrlo. El gobierno federal no ingresará a un centro de datos que no cumpla con FedRAMP.
También debe confirmar que su proveedor de nube cumpla con los requisitos de las normativas importantes para su negocio y región geográfica, tales como:
• COBIT
• CSA STAR
• FISMA
• FedRAMP
• GAAP
• HIPAA
• ISAE-3402
• ISO 27001
• ISO 27018
• ITAR
• NIST SP 800-53
• PCI
• SOC I tipo 2
• SOC III
• SOX
• SSAE 16 SOC2 tipo II
• Safe Harbor
• TRUSTe
8) Desarrolle políticas internas de gobernabilidad de los datos y administración de riesgos.
Defina claramente las políticas de privacidad y seguridad de su organización y luego, aténgase a ellas. Estas políticas deberían determinar qué datos necesita proteger, y cuáles no. No ceda en estas políticas de privacidad y seguridad solo porque se está trasladando a la nube; estas políticas están diseñadas para garantizar la confidencialidad, la privacidad y el control de los datos para su organización.
Conclusión
Finalmente, se trasladará a la nube, pero la adopción se puede hacer en forma segura. Asegúrese de mantener la visibilidad y el control de las aplicaciones y los servicios de nube autorizados y no autorizados que se ejecutan dentro de su organización, clasificar los datos almacenados en la nube, y mantener una política de uso eficaz que garantice que los datos confidenciales y relacionados con el cumplimiento no se expongan maliciosamente ni involuntariamente.
No hay comentarios.