El advenimiento de la nube ha provocado importantes cambios en la TI empresarial. La seguridad, sin ir más lejos, demanda un nuevo enfoque acorde con esta realidad. Como compañía líder en soluciones de Seguridad Cloud, Netskope ofrece la visibilidad y el control que las empresas requieren para mantener sus datos a salvo. Por este motivo, la compañía ofrece una serie de consejos a tener en cuenta para una buena estrategia de seguridad en la nube.
En la actualidad son pocas las empresas que de un modo u otro no están en la nube. Tanto es así, que los datos corporativos se encuentran en constante movimiento entre múltiples servicios, alojados en jurisdicciones geográficas dispares, siendo utilizados y analizados por numerosas partes, tanto dentro de la organización como entre los socios, e incluso potencialmente informando a terceros sobre los sistemas de machine learning. Por tanto, ya no tiene sentido hablar de DLP o de Prevención de Pérdida de Datos, la realidad obliga a adoptar nuevas formas de proteger esta información.
Neil Thacker, CISO para EMEA de Netskope afirma: ‘Estamos tratando de resolver los problemas de seguridad en la nube con appliances diseñados para un mundo muy diferente, cuando la realidad es que este reto debe afrontarse de un modo distinto. No podemos obtener la visibilidad y el control que necesitamos sobre nuestros datos en la nube con cajas físicas, ni siquiera con aquellas recién inventadas. Es como intentar arrancar un Tesla con una manivela. Los datos en la nube necesitan ser protegidos por herramientas de seguridad diseñadas desde y para la nube’.
Protección avanzada y conocimiento de las amenazas
Ciertamente, el proceso de autorizar aplicaciones individuales en la nube resulta demasiado costoso. Las empresas invierten aproximadamente cuatro días en verificar un servicio cloud, por lo que una compañía que de media utilice más de 1.200 aplicaciones en la nube, destinaría 13 años -en horas/hombre- en evaluarlas y crear manualmente una lista negra o blanca. Y este cálculo no tiene en cuenta el hecho de que un proveedor de servicios cloud puede, de la noche a la mañana, cambiar los protocolos de seguridad.
Ya no es realista esperar que los equipos internos puedan seguir el ritmo de las evaluaciones de seguridad. Las tecnologías actuales de protección de datos deben combinarse con el conocimiento de las amenazas. La Cloud Security Alliance (CSA) emite criterios objetivos para la evaluación de la seguridad de las aplicaciones y servicios en la nube. El Índice de Confianza en la Nube (CCI) de Netskope utiliza estos criterios para otorgar a los servicios en la nube una puntuación sobre 100. Además, dichas calificaciones se evalúan y actualizan cada vez que los proveedores de servicios cloud cambian sus políticas y acuerdos de usuario.
Netskope: seguridad inteligente para la Nube
Los riesgos y la seguridad de los servicios cloud van mucho más allá de los servicios SaaS, que se introducen en las organizaciones como si fueran Shadow TI. Realmente, el uso de soluciones IaaS como Amazon Web Services, Google Cloud Platform o Microsoft Azure se está disparando, sobre todo, según los equipos de desarrollo crean aplicaciones y recursos para apoyar objetivos estratégicos.
A la luz de este impulso, ya no tiene sentido gestionar políticas de protección de datos individualmente para cada IaaS, PaaS o incluso administrar las políticas de SaaS y Web por separado. Lo inteligente es contar con una estrategia de protección de datos que permita que una organización diseñe políticas granulares a nivel de usuario, dispositivo o actividad y que puedan aplicarse y gestionarse fácilmente en todas las plataformas, incluyendo Amazon S3 Buckets, Microsoft Azure Blob storage, Workplace by Facebook y servicios web.
Adicionalmente, recurrir a un Cloud Access Security Broker (CASB) como Netskope, capaz de para hacer frente a los riesgos derivados de los servicios en la nube es una opción adecuada. La empresa proporciona visibilidad, cumplimiento, control de acceso granular, protección contra amenazas, prevención de fugas de datos y cifrado, incluso cuando los servicios en la nube están fuera del perímetro corporativo y del control directo de la empresa.