Un informe de 2023 de Jupiter One reveló un crecimiento anual de casi el 600% en la superficie de ataque vulnerable en la nube. Más específicamente, las organizaciones vieron un aumento del 133% interanual en activos cibernéticos y un incremento del 589% en el número de vulnerabilidades de seguridad, o hallazgos no resueltos, en 2023.

Para proteger a tu empresa de costosas vulnerabilidades de seguridad en la nube que podrían llevar a brechas, es esencial que entiendas y sigas los requisitos de cumplimiento en la nube.

A continuación, examinaremos más de cerca en qué consiste el cumplimiento en la nube. Luego, discutiremos la importancia del cumplimiento de la seguridad en la nube y proporcionaremos consejos para reforzar tu seguridad en la nube.

¿Qué es el cumplimiento en la nube?

El cumplimiento en la nube es el proceso de cumplir con los estándares regulatorios del uso de la nube, así como con las leyes locales, nacionales e internacionales.

En otras palabras, para cumplir con la nube, los servicios de computación en la nube de tu organización deben seguir todos los requisitos, incluyendo:

• Estándares de la industria como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) para organizaciones de salud
• Leyes como el Reglamento General de Protección de Datos (GDPR) de la UE
• Cualquier política interna de gobernanza que una empresa cree para lograr sus metas y objetivos

Analicemos más de cerca estos componentes a continuación.

Componentes del cumplimiento en la nube

Los requisitos de cumplimiento en la nube variarán dependiendo de tu industria y de las regulaciones que guíen tu negocio.

A continuación, exploramos los componentes que conforman el cumplimiento general en la nube.

Estándares

Ciertas industrias delinean instrucciones específicas para manejar correctamente los datos dentro de la nube. Estos son conocidos como estándares de cumplimiento de seguridad en la nube.

Por ejemplo, ISO incluye controles de seguridad específicos para la nube dentro de ISO 27017 e ISO 27018. Eso significa implementar controles específicos de seguridad de la información respecto a la configuración de tu entorno en la nube.

HIPAA también especifica que una entidad cubierta y su proveedor de servicios en la nube (CSP) deben firmar un acuerdo de asociado comercial donde el CSP será responsable de cumplir con las Reglas de HIPAA.

Leyes y regulaciones

Las leyes y regulaciones — a nivel global, nacional y estatal — también ayudan a conformar los requisitos de cumplimiento en la nube.

Es importante entender las leyes y regulaciones de tu país para el cumplimiento en la nube, la privacidad de datos, la protección y localización de datos, y la ciberseguridad.

Algunas regulaciones comunes incluyen HIPAA, PCI DSS y SOX.

Gobernanza

Los controles de gobernanza en la nube ayudan a gestionar los datos de una empresa dentro de la nube y proporcionan políticas de seguridad claras sobre cómo usar (y cómo no usar) la nube.

Las empresas deben tener directrices sobre cómo organizar, compartir y rastrear información en la nube y expandir el uso de la misma. Estas también deben cubrir la propiedad y responsabilidad de la estrategia en la nube.

¿Por qué es importante el cumplimiento en la nube?

A partir de 2022, más del 60 por ciento de todos los datos corporativos se almacenaban en la nube, el doble de la cantidad que se almacenaba en la nube en 2015.

Las organizaciones continúan moviendo más datos y cargas de trabajo a la nube, según el Estudio de Seguridad en la Nube Global Thales 2023. Este año, el 27% de las organizaciones informó que el 60% o más de sus cargas de trabajo están en la nube, un aumento del 23% de las organizaciones en 2022.

Con más datos moviéndose a la nube, una empresa debe entender su propio papel y responsabilidad para mantener esos datos seguros, incluyendo alcanzar y mantener el cumplimiento con los requisitos de la nube. Esto es esencial no solo para construir la confianza del cliente, sino también para evitar costosas brechas de datos.

En el Coste de una Brecha de Datos de IBM 2023, el 82% de todas las brechas involucraron datos almacenados en la nube, ya sea en la nube pública, privada o en múltiples entornos. El coste de estas brechas también fue típicamente más alto que el promedio. El coste promedio de las brechas que involucraban datos almacenados en múltiples entornos fue de 4.75 millones de USD y el coste promedio de las brechas que involucraban datos almacenados en la nube pública fue de 4.57 millones de USD, lo cual fue 6.7% y 2.7% más respectivamente que el coste promedio de todas las brechas de datos en 2023.

En resumen, el cumplimiento en la nube puede ayudarte a cosechar los beneficios de la computación en la nube — rentabilidad, respaldo y recuperación de datos, escalabilidad — mientras mantienes una postura de seguridad fuerte.

Desafíos del cumplimiento en la nube

Si bien las soluciones en la nube ofrecen una variedad de beneficios, también vienen con un conjunto único de desafíos.

Complejidad operativa debido a entornos multi-nube

El Estudio de Seguridad en la Nube Global Thales 2023 muestra que un número creciente de empresas utilizan más proveedores de servicios en la nube. Más de tres cuartas partes (79%) de los encuestados de este año tienen más de un proveedor de nube, con un promedio de 2.3.

Esto significa que las organizaciones enfrentan una superficie de ataque aumentada y el potencial de errores operativos al asegurar más plataformas. También deben asegurarse de que su entorno en la nube, cada vez más complejo, cumpla con todos los requisitos aplicables. Para abordar estos desafíos, las organizaciones pueden necesitar crear equipos separados para cada plataforma que utilizan, o capacitar o expandir su equipo de seguridad para poder asegurar múltiples plataformas al mismo tiempo y lograr el cumplimiento en la nube.

TI en la sombra y datos

El aumento del uso de la nube también abre la puerta a TI en la sombra si los empleados utilizan tecnología en la nube sin aprobación explícita. Este término puede sonar aterrador, pero en la práctica, la TI en la sombra puede ser tan simple como comprar almacenamiento en la nube adicional sin la aprobación adecuada. Si no se controla, la TI en la sombra puede llevar a la pérdida de datos, un aumento de la superficie de ataque y el incumplimiento de normativas.

La adopción rápida de aplicaciones y servicios en la nube también está agravando el riesgo de datos en la sombra, que se refiere a datos sensibles que no se están rastreando ni gestionando. Los datos en la sombra aumentan el riesgo de incumplimiento, especialmente en entornos multinube.

Dependencia excesiva en la seguridad del proveedor de servicios en la nube

Utilizar un proveedor de servicios en la nube (CSP) bien conocido también puede dar a las empresas una falsa sensación de seguridad de los datos y llevar a brechas de cumplimiento.

Tome como ejemplo la vulnerabilidad de Azure Cosmos DB en 2021. Utilizada por marcas como Mercedes-Benz y Mars, Incorporated, la base de datos experimentó una gran vulnerabilidad que hacía posible que un usuario robara la clave de acceso de otro. Esta vulnerabilidad pasó desapercibida durante dos años.

Esto demuestra que Microsoft Azure, como otros CSP conocidos, puede experimentar vulnerabilidades, incluso si tienen una extensa lista de certificaciones de cumplimiento. Es por eso que es tan importante que las empresas que utilizan CSP prioricen la gestión de su propia seguridad y el monitoreo del cumplimiento.

11 consejos para mejorar el cumplimiento en la nube

¿Te preguntas cómo puedes mejorar tus prácticas de cumplimiento en la nube? Ofrecemos ocho consejos a continuación.

1. Identificar regulaciones y directrices

El primer paso para lograr el cumplimiento en la nube es identificar qué regulaciones y estándares de la industria necesita cumplir tu organización.

Los marcos de cumplimiento en la nube comunes incluyen:

• ISO 27001
• ISO/IEC 27017
• ISO/IEC 27018
• SOC 2
• NIST
• HIPAA
• PCI DSS
• La Ley Sarbanes-Oxley (SOX)
• FedRAMP
• La Matriz de Controles en la Nube de la CSA
• GDPR
• Revisión Técnica Fundamental de AWS

2. Comprender la responsabilidad

Muchos proveedores de nubes como Amazon Web Services (AWS) delinean responsabilidades específicas para el uso de la nube. AWS utiliza el modelo de responsabilidad compartida, que divide la responsabilidad entre AWS y el cliente.

AWS es responsable de la seguridad de la infraestructura que ejecuta todos los servicios en la nube de AWS. El cliente es responsable de las configuraciones seguras de los servicios en la nube que utiliza, así como de cualquier dato del cliente. Esto último puede seguir la Revisión Técnica Fundamental de AWS (FTR), un marco que incluye algunas de sus mejores prácticas y requisitos para reducir los riesgos relacionados con la seguridad, la fiabilidad y la excelencia operativa.

El modelo de responsabilidad compartida de AWS lleva a muchas empresas a pensar erróneamente que toda la responsabilidad de cumplimiento recae en AWS. Este no es el caso.

La carga del cumplimiento recae en última instancia sobre los hombros de la empresa porque usted es responsable de los datos que elige colocar en la nube y de la configuración segura de los servicios que utiliza.

3. Entienda los requisitos únicos de su entorno en la nube

Además de la responsabilidad compartida de seguridad, el modelo de servicio y despliegue de un entorno en la nube afecta quién maneja los requisitos de seguridad. Los servicios más comunes son Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS) y Software como Servicio (SaaS). Los modelos de despliegue más comunes son público, privado e híbrido.

Por ejemplo, en un entorno PaaS, el administrador es responsable de las aplicaciones, mientras que el CSP es responsable de los servidores físicos, la red física, el hipervisor y los sistemas operativos. Quién maneja el inventario y el control de los activos de hardware difiere para los entornos de nube híbridos y públicos.

Para asegurarse de que está siguiendo las mejores prácticas de seguridad y cumplimiento, debe comprender los riesgos y requisitos únicos de su entorno en la nube.

4. Asegure el control de acceso adecuado

Al igual que las empresas tienen un proceso para compartir el control de acceso con nuevos empleados o proveedores, necesita algo similar cuando se trata de seguridad en la nube.

Las empresas deben establecer una política para limitar y otorgar acceso a su entorno en la nube, redes, instancias y datos almacenados dentro de éste. También puede introducir reglas de acceso basadas en la necesidad y fechas de expiración para ayudarle a rastrear quién tiene acceso y por cuánto tiempo. Asegurarse de quién tiene acceso a su red y cómo fluye el tráfico dentro de la red es crucial para un control de acceso adecuado y para garantizar que se haya implementado el menor privilegio y la menor funcionalidad posible.

5. Clasifique sus datos.

Cuando se trata de almacenar datos en la nube, es importante saber dónde se encuentran las ubicaciones de los servidores porque muchas regulaciones requieren que los servidores residan dentro de los EE. UU.

Una vez que haya elegido un proveedor de nube, debe determinar qué tipos de datos desea que residan en la nube. Puede hacerlo clasificando sus datos.

La clasificación de datos es el proceso de clasificar los datos en diferentes categorías. Esto ayuda a las empresas a gestionar, asegurar y almacenar sus datos más fácilmente.

Como práctica general, los datos altamente confidenciales o sensibles deben permanecer en una red interna en lugar de migrar a la nube.

6. Encripte todos los datos sensibles que existan en la nube

Según el Estudio Global de Seguridad en la Nube de Thales de 2023, la mayoría (60 %) de las empresas todavía no encripta la mitad de los datos sensibles que almacenan en la nube, a pesar de que el 39 % reveló que experimentaron una violación de datos en su entorno en la nube el año pasado.

Aunque este número constituye una mejora con respecto al estudio del año pasado, que informó que el 83 % no encriptaba más de la mitad de sus datos sensibles en la nube, todavía hay un margen significativo para mejorar, especialmente teniendo en cuenta que solo el 2 % de los encuestados dijo que todos sus datos sensibles en la nube están encriptados.

La encriptación, tanto en reposo como en tránsito, es clave para proteger los datos sensibles que deben existir en la nube. La encriptación de datos también le ayuda a cumplir con la mayoría de los requisitos de cumplimiento, como PCI DSS y GDPR.

Su proveedor de nube puede ofrecer servicios de encriptación, pero recuerde que sigue siendo responsabilidad de la empresa proteger los datos mientras se mueven y almacenan.

7. Use una plataforma que pueda ser su fuente de veracidad de cumplimiento

Usar una plataforma que proporcione visibilidad y control sobre todos sus datos de cumplimiento, incluso si están distribuidos en un entorno de nube híbrida, puede simplificar significativamente el cumplimiento en la nube. Secureframe, por ejemplo, puede integrarse y recopilar datos de una gran cantidad de sistemas basados en la nube que almacenan o tienen datos de cumplimiento relevantes. Luego, prueba esos datos para validar que los controles están en su lugar y operan eficazmente en todo su entorno. Por ejemplo, supongamos que almacena algunos datos en AWS. Luego, utilizando las pruebas de Secureframe, puede ver de un vistazo si las instantáneas de RDS están configuradas para habilitar la encriptación en reposo en todas sus bases de datos en AWS y corregir cualquier problema que no esté pasando.

Este tipo de visibilidad y automatización le permite proteger los datos más fácil y rápidamente y tomar acciones correctivas para corregir errores de configuración o problemas de cumplimiento en bases de datos, aplicaciones y servicios desplegados en un entorno de nube híbrida.

8. Realice auditorías internas regulares

Una de las mejores maneras de descubrir brechas de seguridad y vulnerabilidades es realizando auditorías de seguridad internas regularmente.

Reexamine su cumplimiento en la nube para asegurarse de que esté alineado con los requisitos regulatorios. También es una buena práctica mantenerse al tanto de las actualizaciones de los requisitos regulatorios para que pueda realizar ajustes proactivamente.

9. Comprenda su acuerdo de nivel de servicio y contrato legal a fondo

En pocas palabras, los acuerdos de nivel de servicio (SLA) establecen reglas básicas y expectativas que una empresa tiene para el proveedor de servicios en la nube en quien eligen confiar sus datos.

Un SLA debe ser muy claro sobre los roles y responsabilidades, la ejecución de la respuesta a incidentes y la remediación de la violación de datos. Todo en el SLA debe estar de acuerdo con las regulaciones que rigen su negocio.

Su SLA también debe ser una guía sobre cómo manejar los problemas, tanto esperados como inesperados.

Un contrato legal es otra pieza importante de su seguridad en la nube. Debe resaltar la responsabilidad, así como los tiempos de divulgación de violaciones y respuesta a incidentes.

10. Use la automatización para reducir el potencial de error humano y errores de configuración

En el Estudio de Seguridad en la Nube Global de Thales 2023, más de la mitad (55%) de los encuestados dijeron que el error humano provocó violaciones de datos en la nube en sus organizaciones. Usar IA y flujos de trabajo automatizados para simplificar y gestionar mejor las protecciones de datos en la nube es una forma de abordar los desafíos del error humano y errores de configuración.

AI For Remediation de Secureframe , por ejemplo, ayuda a los clientes a remediar rápidamente y fácilmente errores de configuración en la nube. Utilizando infraestructura como código (IaC), AI For Remediation automáticamente genera una guía de remediación adaptada al entorno de nube de los usuarios para que puedan actualizar fácilmente el problema subyacente que causa la falla de configuración en su entorno. Esto elimina el trabajo manual de escribir código, reduciendo el riesgo de error humano y mejorando la precisión al corregir errores de configuración.

11. Aproveche las capacidades de monitoreo continuo

Las capacidades de monitoreo continuo incluyen alertas automáticas para no conformidades, pruebas fallidas e incidentes de seguridad en todos sus entornos de nube. Utilizar una herramienta de automatización con estas capacidades puede evitar que su organización quede fuera de cumplimiento con los requisitos de la nube, incluso a medida que evolucionan las regulaciones y las tecnologías.

Proveedores de seguridad en la nube y sus ofertas de cumplimiento

Los principales proveedores de plataformas en la nube ofrecen herramientas para ayudar a sus clientes a cumplir con los requisitos de cumplimiento y asegurar sus recursos en la nube. A continuación, exploraremos las ofertas de cumplimiento de los tres principales CSP para ayudarte a encontrar la mejor opción para las necesidades de cumplimiento de tu negocio y nube.

Cumplimiento de AWS Cloud

Para AWS, el modelo de responsabilidad compartida establece que los clientes son responsables de la seguridad en la nube mientras que AWS es responsable de la seguridad de la nube. Así, AWS asegura los hosts físicos, el almacenamiento y la red, mientras que los clientes aseguran sus propios datos y aplicaciones.

Para ayudar a los clientes, AWS ofrece las siguientes ofertas de cumplimiento:

• Soporta los estándares de seguridad y certificaciones de cumplimiento PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2, NIST 800-171 y AWS FTR.
• Ofrece Audit Manager como un servicio opcional para que los clientes de AWS puedan usarlo para evaluar automáticamente si las configuraciones de su carga de trabajo se alinean con requisitos específicos de cumplimiento, como GDPR y PCI DSS.
• Ofrece servicios de monitoreo de actividad que detectan cambios en la configuración y eventos de seguridad en todo tu sistema

Cumplimiento de Azure Cloud

Para Azure, el modelo de responsabilidad compartida es más complejo. El cliente siempre es responsable de los datos, dispositivos y cuentas de usuario e identidades, mientras que Azure siempre es responsable de los hosts físicos, el almacenamiento y la red. Pero hay otra categoría, que incluye aplicaciones, controles de red y sistemas operativos. Quien sea responsable de esta categoría depende de si el servicio es SaaS, PaaS o IaaS.

Para ayudar a los clientes, Azure ofrece las siguientes ofertas de cumplimiento:

• Ofrece ofertas de cumplimiento que están adaptadas a industrias clave como la salud, gobierno y medios de comunicación
• Ofrece una variedad de opciones de auditoría de seguridad y registro para ayudar a identificar brechas en tus políticas y mecanismos de seguridad
• Incluye Azure Blueprints para agrupar plantillas, controles de acceso basados en roles y políticas para crear o actualizar entornos conformes

Cumplimiento de Google Cloud

Para Google, el modelo de responsabilidad compartida es aún más complejo porque detalla si el cliente o Google es responsable de asegurar cada categoría principal, incluida la de contenido, políticas de acceso y hardware, dependiendo de su tipo de servicio.

Para ayudar a los clientes, Google ofrece las siguientes ofertas de cumplimiento:

• Ofrece Assured Workloads para que los clientes puedan aplicar controles de seguridad a su entorno en la nube en apoyo a los requisitos de cumplimiento
• Incluye Cloud Audit Logs para ayudar a monitorear los datos y sistemas de Google Cloud en busca de posibles vulnerabilidades o uso indebido de datos externos
• Ofrece planos de seguridad con las recomendaciones de seguridad de Google habilitadas por defecto para ayudarte a implementar y mantener soluciones seguras

Cómo Secureframe puede ayudarte a monitorear y mantener el cumplimiento en la nube

Gestionar tu cumplimiento en la nube no tiene que ser complicado.

Secureframe te ayuda a monitorear y mantener el cumplimiento en la nube conectándose con tu infraestructura en la nube, incluyendo AWS, Azure y Google Cloud. Nuestras API e integraciones de datos escanean continuamente tu entorno en la nube y proporcionan una guía de remediación precisa y personalizada para que puedas corregir los controles fallidos y remediar el riesgo en la nube más rápidamente.

Programa una demostración hoy para descubrir cómo Secureframe puede ayudarte a gestionar el cumplimiento en la nube.

Esta publicación se publicó originalmente en marzo de 2022 y se ha actualizado para mayor exhaustividad.