La violación masiva de datos en Capital One, el séptimo banco más grande de Estados Unidos, según los ingresos, ha desafiado muchas suposiciones comunes sobre la computación en la nube por primera vez.
Irónicamente, el incidente, que expuso las cuentas de unos 106 millones de clientes de Capital One, solo ha reforzado la creencia de que la nube sigue siendo la forma más segura de almacenar datos confidenciales.
«Hay que comparar [the cloud] no contra ‘perfecto’ sino contra ‘local’ «, dijo Ed Amoroso, ex director de seguridad de AT&T, a la revista Fortune esta semana.
No fue la única voz que defendió la computación en la nube luego de un ataque de hackers. En un artículo titulado «No dudes de la nube», el columnista de Fortune, Robert Hackett, escribió: «La nube es innegablemente conveniente y, lo que es más importante, mejor en términos de seguridad que lo que la mayoría de las empresas pueden lograr por sí solas».
El problema, dijeron los expertos, no era la computación en la nube, sino la tendencia de las empresas a depender demasiado de los servicios de computación en la nube como Amazon Web Services para supervisar todos los aspectos de la seguridad, en lugar de asumir la responsabilidad total por la seguridad de sus datos.
Resumen
Ventajas de seguridad del sistema basado en la nube
Después de tomar las medidas necesarias para garantizar la seguridad de sus datos, las empresas se benefician de muchas formas de la seguridad colectiva de la nube.
1. Los servicios como SaaS (Software as a Service) están alojados en servidores en la nube
Con el poder colectivo de la nube, los cambios son extremadamente altos y los servidores que alojan sus datos están mejor protegidos que sus servidores en el sitio. Además, el proveedor de servicios en la nube se encarga de todo el mantenimiento, las actualizaciones y el soporte. Eso quita mucha presión al departamento de TI.
Este es tanto el mayor beneficio de la computación en la nube como posiblemente la mayor área de riesgo. Si bien un servicio como Amazon Cloud Services tiene recursos de seguridad que pocas empresas pueden igualar, debe recordarse que colocar datos en la nube es sacarlos del control total de su empresa. Los cortafuegos que protegen los datos ya no son suyos.
Pero dado que su empresa todavía está trabajando con los datos, debe estar protegido a un alto nivel por su parte. Eso significa cumplimiento con SOC 2 e ISO/27001.
2. Reducir en gran medida el error humano: la amenaza más grande para la seguridad de los datos
Con menos personas que tienen acceso a los datos, hay menos oportunidades de errores que conduzcan a filtraciones de datos. Con demasiada frecuencia, los piratas informáticos pueden atravesar los cortafuegos más seguros porque alguien del otro lado hizo clic por descuido a través de un enlace colocado por un pirata informático, generalmente en un correo electrónico.
Pero dado que los datos se almacenan en servidores en la nube, no en las instalaciones, ese tipo de piratería no dará lugar a filtraciones de datos.
Además, agregar una capa de automatización podría reducir aún más la cantidad de interacción humana. Las empresas emergentes como PapayaGlobal ofrecen automatización en oídos de nóminas globales reconocidas por ser el objetivo de los piratas informáticos, mientras que otras empresas han desarrollado soluciones que involucran la automatización robótica de procesos (RPA), bots de software que son capaces de imitar las acciones humanas.
Esos bots ya se emplean en áreas como la contabilidad. Cuantas menos personas interactúen con datos confidenciales, más seguros estarán los datos.
3. Transferencias de datos solo a través de canales seguros
Algunas de las violaciones de datos más comunes se llevan a cabo a través de los métodos más mundanos. Los piratas informáticos crean versiones «falsas» de programas de correo electrónico populares.
Durante la temporada de impuestos, cuando los correos electrónicos entre los departamentos financieros y las empresas de contabilidad son más intensos, es fácil caer en las trampas astutas y terminar enviando datos directamente a un ciberdelincuente.
El correo electrónico es ampliamente reconocido como una de las peores formas de enviar datos privados y confidenciales por una variedad de razones. No es sorprendente que el estricto estándar de privacidad de datos establecido por el RGPD de la UE prohíba la transferencia de información privada a través del correo electrónico.
Con la computación en la nube, los datos se envían solo a través de canales seguros y encriptados. Eso elimina la posibilidad de falsificaciones y otras tácticas comunes de los piratas informáticos. También mantiene los datos fuera de la vista de los piratas informáticos, lo que reduce significativamente la posibilidad de que intenten piratear sus datos por otros medios.
4. Separación entre ambiente de trabajo y ambiente de almacenamiento
Otra gran ventaja de la nube es la segmentación de redes entre computación y almacenamiento. El beneficio obvio de esta separación es la reducción del riesgo de que todos los datos se vean comprometidos, incluso si un pirata informático logra romper todas las defensas sofisticadas.
Otras formas de segmentación incluyen limitar la cantidad de personas que pueden acceder a ciertos datos. Mantener la información confidencial en manos solo de aquellas personas que la necesitan y escalonar el acceso para que el menor número posible de personas tenga acceso al conjunto es una excelente manera de mitigar posibles infracciones.
Evitar la próxima infracción de Capital One
Pocas empresas estaban tan comprometidas con los beneficios de la computación en la nube como Capital One. Si bien esto no protegió a la empresa de sufrir una de las filtraciones de datos más grandes de la historia, puede ayudar a la próxima empresa a evitar el mismo destino.
Ha traído una mayor conciencia al campo de la seguridad en la nube y la protección de datos e identificó áreas que eran explotables por piratas informáticos astutos.
La brecha no probó que la nube fuera menos segura de lo que se creía anteriormente. Demostró que nunca es una buena idea externalizar la seguridad de los datos por completo a un tercero.
Las empresas deben permanecer en guardia en todo momento, tomar medidas para garantizar que su propia parte de la ecuación de datos permanezca actualizada con la tecnología más avanzada y vigilar sus datos, incluso cuando están almacenados en la seguridad de la nube. .