La nube o el ‘Cloud Computing’ se ha convertido en un aliado estratégico para las empresas de servicios públicos a la hora de modernizar procesos, generar mayor automatización, eficiencia y, por supuesto, disminuir costos. Sin embargo, este cambio también ha significado un nuevo reto para las organizaciones en términos de seguridad, ya que no sólo está en juego la información de su empresa sino también de sus usuarios.
La pandemia del Covid-19 obligó a muchas compañías a migrar al home office, lo que incrementó exponencialmente los riesgos de ciberataques. Frente a este panorama, la ciberseguridad ha jugado un rol fundamental para la protección de la información de las empresas en al menos tres aspectos vitales: disponibilidad, confiabilidad y accesibilidad solo para las personas indicadas.
Al respecto, Jairo Sánchez, Director de servicios Cloud en Open Intelligence, compañía líder del mercado de soluciones para empresas de servicios públicos, explica que “hoy en día, los riesgos en seguridad están relacionados con la infraestructura; las amenazas internas debido a errores humanos, como la mala configuración de los controles de accesos; y amenazas externas causadas por ciberdelincuentes a través del malware, phishing y DDoS. En el caso de las empresas de servicios públicos, la complejidad en términos de seguridad es mayor ya que está no sólo está en riesgo la información de la empresa, sino también de sus usuarios”.
En ese sentido, y teniendo en cuenta la gran cantidad de datos e información que las empresas manejan bajo este modelo, es vital contar con una estrategia de ciberseguridad que proteja la información de las organizaciones, determine un plan de acción ante posibles ciberincidentes y provea mayor vigilancia y control sobre los datos, para lo cual es vital contar con políticas claras y robustas a nivel interno, así como definir roles dentro del servicio de nube.
Sánchez explica que para cuidar la seguridad sobre un despliegue en la nube “también hay que tener controles en la arquitectura, plantear posturas de seguridad, de defensa de profundidad, principios de privilegio mínimo, políticas en control de acceso y de cambio, respaldos, gestión de incidentes, protección de datos y controles de detección”.
Asimismo, Sergio Martínez, Information Security Manager en Open Intelligence, compartió algunos aspectos que debe tener en cuenta un Chief Technology Officer (CTO) al momento de escoger una solución operada en la nube con el proveedor adecuado:
- La solución debe estar alineada con las mejores prácticas de seguridad de la información, como la ISO 27000 o los marcos de referencia de la NIST, y tener certificaciones como la SSAE18, la cual permite tener procesos robustos y auditados constantemente.
- Tener personal altamente capacitado. Validar que las personas que forman parte del grupo de seguridad tengan las capacidades necesarias para liderar el negocio y responder a cualquier situación que se pueda presentar en los esquemas de nube.
- Contar con políticas claras de concienciación del personal; capacitarlos mediante charlas de seguridad y la realización de ejercicios periódicos que permitan a cada usuario conocer la importancia de su rol en la seguridad. Del mismo modo, es necesario hablar con los proveedores cloud con el fin de alinear las estrategias de seguridad que permitan brindar la protección necesaria.
Y es que, según cifras del Check Point Software’s 2022 Security Report, la seguridad digital se vio muy afectada durante 2021, con un aumento del 50% de ciberataques en las organizaciones en comparación con 2020. El reporte reveló que la nube estuvo expuesta a diversas vulnerabilidades a lo largo del año pasado, donde los ciberdelincuentes llevaron a cabo códigos arbitrarios, accedieron a cantidades masivas de contenido privado e incluso cruzaron entre diferentes entornos.
Por esta razón, de acuerdo con Martínez, es imperativo saber cómo actuar para mitigar cualquier riesgo. “En Open, por ejemplo, tenemos un área donde generamos las políticas que se difunden a la compañía para que la gente tenga claro qué pueden hacer y qué no para proteger la seguridad en la nube; lo mismo inculcamos a nuestros proveedores”, dijo.
Por su parte Sánchez agregó que: “a diferencia de los servicios de nube conocidos que ofrecen una herramienta en la que tú pones tus datos en estructura y gestión de seguridad de las empresas dentro de los sistemas cloud, nosotros tenemos un producto, Smartflex, que puede ser instalado en esas nubes o en nuestras nubes propias. La diferencia es que con nosotros las soluciones de seguridad en la nube están diseñadas desde su inicio para las posibles amenazas que se pueden tener. Tenemos un conocimiento específico sobre la
arquitectura que debe funcionar con este sistema; estamos hablando constantemente con nuestro Centro de Desarrollo para ver las mejores prácticas de seguridad que podemos tener dentro de nuestro producto y eso nos da gran agilidad, pues frente a cualquier cosa que se presente, tenemos las herramientas para atacarlo y hacer un monitoreo de una gestión de incidentes. Asimismo, invertimos en las personas, tenemos políticas claras y controles técnicos dentro de nuestra infraestructura que nos permite monitorear esa seguridad, ver posibles anomalías, gestionarlas y tratar de resolverlas”.
Sin duda, los servicios basados en la nube aportan grandes ventajas a cualquier empresa, no obstante, es necesario tener ciertas precauciones al usarlos para mitigar las vulnerabilidades que, de llegar a suceder, pueden generar grandes repercusiones en una organización.