En consecuencia al reciente reporte de una brecha de datos masiva en el área de soporte técnico de Microsoft, la Agencia Nacional de Seguridad de E.U. (NSA), publicó su Guía para la Mitigación de Vulnerabilidades en la Nube, en un esfuerzo para que las compañías privadas y organizaciones públicas adopten las mejores prácticas para la protección de datos personales de usuarios y empleados.
El incidente en Microsoft fue atribuido a un error de configuración de seguridad en la nube de la compañía, problema común entre los proveedores de estos servicios, incluyendo Amazon Web Services (AWS). La propia NSA se refiere a los errores de configuración como la principal causa de incidentes de seguridad en la nube: “Los proveedores de servicios en la nube cuentan con diversas herramientas de seguridad, no obstante, la configuración incorrecta de estas implementaciones sigue siendo la principal vulnerabilidad de seguridad que enfrentan las compañías proveedoras y sus clientes”, menciona la guía.
La mayor parte de esta guía para la protección de datos en la nube se enfoca en la corrección de errores de configuración: “Los elementos de seguridad fundamentales incluyen el establecimiento de principios, como el de privilegios mínimos y la defensa in-depth“, menciona la NSA.
Además, entre las recomendaciones también destacan algunos controles de carácter técnico, como:
- Cifrado
- Listas de control de acceso (ACL)
- Sistemas de detección de intrusiones (IDS)
- Firewalls de aplicaciones web (WAF)
- Uso de redes privadas virtuales (VPN)
“El correcto diseño e implementación de una arquitectura en la nube debe incluir controles para evitar configuraciones erróneas, además los administradores contarán con las herramientas necesarias para la detección y reporte de errores de configuración”, agrega la guía de protección de datos.
Por otra parte, la guía también cuenta con recomendaciones para algunas otras amenazas de seguridad para las implementaciones en la nube, entre las que se encuentran:
- Controles de acceso deficientes
- Vulnerabilidades de arrendamiento compartido
- Vulnerabilidades de cadena de suministros
Si bien la seguridad es responsabilidad de las compañías proveedoras de servicios en la nube, el Instituto Internacional de Seguridad Cibernética (IICS) menciona que los clientes deben tener pleno conocimiento de las potenciales amenazas de seguridad para sus implementaciones, y así poder configurar el entorno más seguro posible para explotar al máximo los beneficios del alojamiento en la nube.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
