Trace Id is missing
Saltar al contenido principal
Seguridad de Microsoft

¿Qué es la seguridad en la nube?

Obtén más información sobre las tecnologías, los procedimientos, las directivas y los controles que permiten proteger los datos y los sistemas basados en la nube.

Definición de la seguridad en la nube

La seguridad en la nube es una responsabilidad compartida entre los proveedores de servicios en la nube y sus clientes. La responsabilidad varía dependiendo del tipo de servicios ofrecidos:

Entornos de nube pública
Están ejecutados por proveedores de servicios en la nube. En este entorno, los servidores están compartidos por varios espacios empresariales.

Entornos de nube privada
Pueden estar en un centro de datos propiedad del cliente o pueden estar ejecutados por un proveedor de servicios en la nube. En ambos casos, los servidores son un espacio empresarial individual y las organizaciones no tienen que compartir espacio con otras compañías.

Entornos de nube híbrida
Son una combinación de centros de datos locales y nubes de terceros.

Entornos multinube
Incluye dos o más servicios en la nube operados por distintos proveedores de servicios en la nube.

Independientemente del tipo de entorno o la combinación de entornos que usa una organización, el objetivo de la seguridad en la nube es proteger las redes físicas, incluidos los enrutadores y los sistemas eléctricos, los datos, el almacenamiento de datos, los servidores de datos, las aplicaciones, el software, los sistemas operativos y el hardware.

¿Por qué es tan importante la seguridad en la nube?

La nube se ha convertido en una parte integral de la vida en línea. Facilita el trabajo y la comunicación digital, y ha impulsado una innovación rápida en las organizaciones. Sin embargo, cuando los amigos comparten fotografías, los compañeros de trabajo colaboran en un nuevo producto o los gobiernos ofrecen servicios en línea, no siempre está claro dónde se están almacenando los datos. Las personas pueden mover accidentalmente los datos a una ubicación menos segura y, como todo es accesible desde Internet, los activos tiene un mayor riesgo de acceso no autorizado.

Asimismo, la privacidad de los datos es cada vez más importante para las personas y los gobiernos. Las regulaciones como el Reglamento general de protección de datos (GDPR) y la Ley de transferencia y responsabilidad de seguros de salud (HIPAA) requieren que las organizaciones que recopilan información lo hagan de manera transparente y que apliquen directivas que impidan el robo o el uso indebido de los datos. Su incumplimiento puede implicar el pago de caras multas o daños en la reputación.

Para ser competitivas, las organizaciones deben continuar usando la nube para iterar rápidamente y permitir que los empleados y los clientes tengan acceso fácilmente a los servicios, a la vez que protegen los datos y los sistemas de las siguientes amenazas:

  • Cuentas en peligro: los atacantes a menudo usan campañas de phishing para robar contraseñas de empleados y obtener acceso a sistemas y valiosos activos corporativos.
  • Vulnerabilidades de hardware y software: tanto si la organización usa una nube pública como si usa una privada, es fundamental que el hardware y el software estén actualizados y que se apliquen las revisiones oportunas.
  • Amenazas internas: el error humano es una de las principales causas de las vulneraciones de seguridad. Un error de configuración puede abrir una puerta a usuarios malintencionados. Asimismo, los empleados a menudo hacen clic en vínculos malintencionados o mueven accidentalmente datos a ubicaciones con menos seguridad.
  • Falta de visibilidad de los recursos en la nube: este riesgo en la nube dificulta la detección y la respuesta a las amenazas y las vulnerabilidades de seguridad, que pueden provocar brechas y pérdidas de datos.
  • Falta de priorización de riesgos: cuando los administradores de seguridad tienen visibilidad de los recursos en la nube, el número de recomendaciones para mejorar la posición de seguridad puede ser abrumador. Es importante priorizar los riesgos, para que los administradores sepan dónde concentrarse para tener el máximo impacto en la seguridad.
  • Permisos en la nube de alto riesgo: la proliferación de identidades y servicios en la nube ha aumentado el número de permisos de alto riesgo en la nube, lo que amplía las posibles superficies de ataque. La métrica del índice de exceso de permisos (PCI) mide cuánto daño pueden provocar las identidades en función de sus permisos.
  • Panorama de amenazas emergentes: el riesgo de la seguridad en la nube está evolucionando constantemente. Para protegerte contra vulneraciones de seguridad y la pérdida de datos, es importante estar actualizado a medida que emergen nuevas amenazas.
  • Falta de integración entre la seguridad y el desarrollo nativo de nube: es fundamental que los equipos de seguridad y desarrollo colaboren para identificar y corregir los problemas de código antes de desplegar la aplicación en la nube.

¿Cómo funciona la seguridad en la nube?

La seguridad en la nube es una responsabilidad compartida entre los proveedores de servicios en la nube y sus clientes. La responsabilidad varía dependiendo del tipo de servicios ofrecidos:

Infraestructura como servicio
En este modelo, los proveedores de servicios en la nube ofrecen recursos informáticos, de red y de almacenamiento a petición. El proveedor es responsable de proteger los servicios informáticos básicos. Los clientes deben proteger todo lo que se agrega al sistema operativo, por ejemplo, las aplicaciones, los datos, los entornos de ejecución, el middleware y el propio sistema operativo.

Plataforma como servicio
Muchos proveedores también ofrecen un entorno de desarrollo e implementación completo en la nube. Son responsables de proteger el entorno de ejecución, el middleware y el sistema operativo, además de los servicios informáticos básicos. Los clientes deben proteger sus aplicaciones, los datos, el acceso de los usuarios, los dispositivos de usuario final y las redes de usuario final.

Software como servicio
Las organizaciones también pueden acceder al software con un modelo de pago por uso como, por ejemplo, Microsoft Office 365 o Google Drive. En este modelo, los clientes también tienen que proporcionar seguridad para sus datos, usuarios y dispositivos.

Independientemente de quién sea responsable , la seguridad en la nube se basa en cuatro aspectos principales:

  • Limitar el acceso: como la nube permite que todo sea accesible desde Internet, es sumamente importante garantizar que solo las personas adecuadas tengan acceso a las herramientas correctas el tiempo que sea necesario.
  • Proteger los datos: las organizaciones deben saber dónde se encuentran sus datos y aplicar los controles correspondientes para proteger los propios datos y la infraestructura donde se hospedan.
  • Recuperación de datos: una buena solución de copia de seguridad y un buen plan de recuperación de datos son fundamentales en el caso de se produzca una vulneración.
  • Plan de respuesta: cuando una organización es atacada, necesita un plan para reducir el impacto y evitar que otros sistemas se vean en peligro.
  • Probar la seguridad desde las etapas más tempranas: los equipos de seguridad y desarrollo colaboran para incorporar la seguridad en el código, para que las aplicaciones nativas de nube empiecen seguras y se mantengan seguras.
  • Unificar la visibilidad de la posición de seguridad de DevOps: reduce al mínimo los puntos ciegos con un panel único para extraer información de la posición de seguridad de DevOps en las plataformas de DevOps.
  • Mantener los equipos de seguridad centrados en las amenazas emergentes: refuerza las configuraciones de los recursos en la nube en el código para reducir los problemas de seguridad que llegan a los entornos de producción.

Tipos de herramientas de seguridad en la nube

Las herramientas de seguridad en la nube hacen frente a vulnerabilidades de empleados y amenazas externas. También permiten mitigar los errores que se producen durante el desarrollo y reducir el riesgo de que personas no autorizadas obtengan acceso a datos confidenciales.

  • Administración de la posición de seguridad en la nube

    Los errores de configuración ocurren a menudo y crean oportunidades de intromisiones. Muchos de estos errores se producen porque las personas no entienden que el cliente es responsable de configurar la nube y proteger las aplicaciones. También es más fácil cometer errores en grandes corporaciones con entornos complejos.

    Una solución de administración de la posición de seguridad en la nube permite reducir el riesgo mediante la búsqueda continua de errores de configuración que pueden provocar una vulneración. Al automatizar el proceso, estas soluciones reducen el riesgo de errores en los procesos manuales y aumentan la visibilidad de los entornos con miles de servicios y cuentas. Una vez detectadas las vulnerabilidades, los desarrolladores pueden corregir el problema con recomendaciones guiadas. La administración de la posición de seguridad en la nube supervisa de manera continua el entorno en busca de actividad malintencionada o acceso no autorizado.

  • Plataforma de protección de cargas de trabajo en la nube

    Como las organizaciones definieron procesos que ayudan a los desarrolladores a crear e implementar características más rápidamente, hay un mayor riesgo de que se omitan comprobaciones de seguridad durante el desarrollo. Una plataforma de protección de cargas de trabajo en la nube permite proteger los recursos informáticos, de red y de almacenamiento que necesitan las aplicaciones en la nube. Funciona mediante la identificación de cargas de trabajo en entornos de nube pública, privada e híbrida, y su examen en busca de vulnerabilidades. Si se descubren vulnerabilidades, la solución sugerirá controles para corregirlas.

  • Agente de seguridad de acceso a la nube

    Como es tan fácil encontrar servicios en la nube y acceder a ellos, será difícil para los equipos de TI controlar todo el software que se usa en la organización.

    Los agentes de seguridad de acceso a la nube (CASB) ofrecen al equipo de TI visibilidad sobre el uso de las aplicaciones en la nube y proporcionan una evaluación de riesgos de cada aplicación. Estas soluciones también permiten proteger los datos y satisfacer los objetivos de cumplimiento con herramientas que muestran cómo se mueven los datos en la nube. Las organizaciones también usan estas herramientas para detectar comportamientos inusuales de los usuarios y corregir amenazas.

  • Acceso e identidad

    Controlar quién tiene acceso a los recursos es fundamental para poder proteger los datos en la nube. Las organizaciones deben poder garantizar que los empleados, los contratistas y los partners comerciales tengan el acceso adecuado, tanto si trabajan de forma local como remota.

    Las organizaciones usan soluciones de identidad y acceso para verificar identidades, limitar el acceso a recursos confidenciales, y aplicar directivas de privilegios mínimos y autenticación multifactor.

  • Administración de derechos de infraestructura en la nube

    La administración de identidad y acceso se complica aún más cuando las personas acceden a datos a través de varias nubes. Una solución de administración de derechos de infraestructura en la nube ayuda a las empresas a ganar visibilidad sobre los recursos a los que tiene acceso cada identidad en sus plataformas en la nube. Los equipos de TI también usan estos productos para aplicar un acceso con privilegios mínimos y otras directivas de seguridad.

  • Plataforma de protección de aplicaciones nativas de nube

    Una plataforma de protección de aplicación nativa en la nube (CNAPP) completa ayuda a los equipos de seguridad a incorporar la seguridad desde el código a la nube. La CNAPP unifica las capacidades de cumplimiento y seguridad para prevenir, detectar y responder a las amenazas de seguridad en la nube en entornos híbridos y multinube, desde el desarrollo hasta el entorno de ejecución.

  • Administración de seguridad unificada de DevOps

    Unifica la administración de seguridad de DevOps para mantener seguras las aplicaciones en la nube desde el principio. Los equipos de seguridad están capacitados para unificar, reforzar y administrar la seguridad de varias canalizaciones; probar la seguridad desde las etapas más tempranas para incorporarla en el propio código; y dar soporte a las protecciones desde el código a la nube en una única consola.

¿Cuáles son los desafíos de la seguridad en la nube?

La capacidad de interconexión de la nube facilita el trabajo y la interacción en línea, pero también crea riesgos de seguridad. Los equipos de seguridad necesitan soluciones que les ayuden a solucionar los siguientes desafíos clave en la nube:

Falta de visibilidad de los datos
Para que las organizaciones sean productivas, los equipos de TI deben proporcionar a los empleados, los partners comerciales y los contratistas acceso a información y activos de la empresa. Muchas de estas personas trabajan de manera remota o fuera de la red corporativa, y en las grandes empresas la lista de usuarios autorizados está en constante cambio. Con tantas personas usando diferentes dispositivos para tener acceso a los recursos de la empresa en distintas nubes públicas y privadas, puede ser difícil supervisar qué servicios se están usando y cómo se mueven los datos en la nube. Los equipos de tecnología deben garantizar que datos no se muevan a soluciones de almacenamiento menos seguras, y deben evitar que las personas equivocadas tengan acceso a información confidencial.

Entornos complejos
La nube permite que la implementación de infraestructuras y aplicaciones sea mucho más fácil. Con tantos proveedores y servicios diferentes, los equipos de TI pueden elegir el entorno más adecuado para los requisitos de cada producto y servicio. Esto ha dado lugar a un entorno complejo formado por el entorno local y nubes públicas y privadas. Un entorno multinube híbrido requiere soluciones de seguridad que funcionen en el ecosistema completo y protejan a las personas que tienen acceso a distintos activos desde ubicaciones diferentes. Es más probable que se produzcan errores de configuración y puede ser difícil supervisar las amenazas que se mueven lateralmente en estos entornos complejos.

Innovación rápida
Es una combinación de factores la que ha permitido a las organizaciones innovar rápidamente e implementar nuevos productos. Gracias a la IA, el aprendizaje automático y la tecnología de Internet de las cosas, las empresas han podido recopilar y usar datos de manera más eficaz. Los proveedores de servicios en la nube ofrecen servicios de bajo código y ningún código para facilitar a las empresas el uso de tecnologías avanzadas. Los procesos de DevOps han acortado el ciclo de desarrollo. Como una parte cada vez mayor de su infraestructura se hospeda en la nube, muchas organizaciones han reasignado recursos a los equipos de investigación y desarrollo. El inconveniente de la innovación rápida es que la tecnología está cambiando tan rápidamente que los estándares de seguridad a menudo se ignoran o se pasan por alto.

Cumplimiento y gobierno
Aunque la mayoría de proveedores de servicios en la nube satisface varios programas conocidos de acreditación del cumplimiento, sigue siendo responsabilidad de los clientes de la nube garantizar que sus cargas de trabajo cumplan los estándares internos y del gobierno.

Amenazas internas
 Es fundamental para los equipos de TI y seguridad defender su organización de empleados que puedan usar su acceso autorizado para provocar daños, ya sea intencional o accidentalmente. Las amenazas internas incluyen el error humano, que puede dar lugar a posibles incidentes de seguridad, por ejemplo, cuando un empleado instala accidentalmente un malware después de responder a una campaña de suplantación de identidad por correo electrónico. Otros tipos de amenazas se deben a participantes malintencionados con el objetivo de provocar daños, por ejemplo, el robo o el fraude, ya sea actuando solos o colaborando con una organización ciberdelincuente. Los riesgos internos son más difíciles de detectar que las amenazas externas, porque los participantes ya tienen acceso a los recursos de la organización y están familiarizados con las medidas de seguridad de la empresa.

Implementación de la seguridad en la nube

Es posible reducir el riesgo de un ciberataque en tu entorno de nube con la combinación adecuada de procesos, controles y tecnología.

Una plataforma de aplicaciones nativas de nube que incluye una plataforma de protección de cargas de trabajo en la nube, la administración de derechos de la infraestructura en la nube y la administración de la posición de seguridad en la nube te ayudará a reducir errores, reforzar la seguridad y administrar el acceso de manera eficaz. 

Para apoyar tu inversión en tecnología, realiza entrenamientos periódicos para ayudar a los empleados a reconocer campañas de phishing y otras técnicas de ingeniería social. Asegúrate de que sea fácil para los empleados avisar al equipo de TI si sospechan que han recibido un correo electrónico malintencionado. Realiza simulaciones de phishing para supervisar la eficacia de tu programa.

Desarrolla procesos que ayuden a impedir y detectar ataques y responder a ellos. Ejecuta revisiones periódicas de software y hardware para reducir las vulnerabilidades. Cifra los datos confidenciales y desarrolla directivas de contraseñas seguras para reducir el riesgo de una cuenta en peligro. Laautenticación multifactor hace que sea mucho más difícil obtener acceso para los usuarios no autorizados y las tecnologías sin contraseña son más fáciles de usar y más seguras que una contraseña tradicional.

Con los modelos de trabajo híbrido que dan a los empleados la flexibilidad para trabajar en la oficina y remotamente, las organizaciones necesitan un nuevo modelo de seguridad que proteja a las personas, los dispositivos, las aplicaciones y los datos, independientemente de donde se encuentren. Un marco de Confianza cero empieza con el principio de que ya no puedes confiar en una solicitud de acceso, incluso si viene de dentro de la red. Para mitigar el riesgo, asume que tuviste una vulneración y comprueba explícitamente todas las solicitudes de acceso. Usa el acceso con privilegios mínimos para darles a las personas acceso solo a los recursos que necesitan y a nada más.

Soluciones de seguridad en la nube

Aunque la nube introduce nuevos riesgo de seguridad, tener las soluciones de seguridad en la nube, las directivas y los procesos adecuados permite reducir significativamente los riesgos. Empieza por los siguientes pasos:

  • Identifica todos los proveedores de servicios en la nube que se usan en la organización y familiarízate con sus responsabilidades de seguridad y privacidad.
  • Invierte en herramientas como un agente de seguridad de acceso a la nube para aumentar la visibilidad de las aplicaciones y los datos que usa tu organización.
  • Implementa una administración de la posición de seguridad en la nube para poder identificar y corregir errores de configuración.
  • Implementa una plataforma de protección de cargas de trabajo en la nube para aumentar la seguridad del proceso de desarrollo.
  • Aplica revisiones periódicas de software y directivas para mantener actualizados los dispositivos de los empleados.
  • Inicia un programa de entrenamiento para garantizar que los empleados conozcan las últimas amenazas y tácticas de phishing.
  • Implementa una estrategia de seguridad de Confianza cero y usa la administración de identidad y acceso para administrar y proteger el acceso.
  • En la canalización de DevOps, prueba la seguridad desde las etapas más tempranas para incorporarla en el código, para que las aplicaciones nativas de nube empiecen seguras y se mantengan seguras.

Más información sobre Seguridad de Microsoft

Microsoft Defender for Cloud

Supervisa y ayuda a proteger las cargas de trabajo en tus entornos híbridos y de multinube.

Microsoft Defender for Cloud Apps

Obtén visibilidad profunda y control de las aplicaciones en la nube con un CASB líder.

Microsoft Defender para DevOps

Obtén una administración de seguridad de DevOps unificada en entornos multinube y de varias canalizaciones.

Administración de permisos de Microsoft Entra

Descubre, corrige y supervisa riesgos de permisos en tu infraestructura multinube.

Administración de superficie expuesta a ataques externos de Microsoft Defender

 Comprende tu posición de seguridad dentro y fuera del firewall.

Preguntas más frecuentes

  • La seguridad en la nube es una responsabilidad compartida entre los proveedores de servicios en la nube y sus clientes. La responsabilidad varía dependiendo del tipo de servicios ofrecidos:

    Infraestructura como servicio. En este modelo, los proveedores de servicios en la nube ofrecen recursos informáticos, de red y de almacenamiento a petición. El proveedor es responsable de la seguridad de los servicios informáticos básicos. Los clientes deben proteger el sistema operativo y todo lo que se le agrega, por ejemplo, las aplicaciones, los datos, los entornos de ejecución y el middleware.

    Plataforma como servicio. Muchos proveedores también ofrecen un entorno de desarrollo e implementación completo en la nube. Son responsables de proteger el entorno de ejecución, el middleware y el sistema operativo, además de los servicios informáticos básicos. Los clientes deben proteger sus aplicaciones, los datos, el acceso de los usuarios, los dispositivos de usuario final y las redes de usuario final.

    Software como servicio. Las organizaciones también pueden acceder al software con un modelo de pago por uso como, por ejemplo, Microsoft Office 365 o Google Drive. En este modelo, los clientes también tienen que proporcionar seguridad para sus datos, usuarios y dispositivos.

     

  • Cuatro herramientas ayudan a las empresas a proteger sus recursos en la nube:

    • Una plataforma de protección de cargas de trabajo en la nube permite proteger los recursos informáticos, de red y de almacenamiento que necesitan las aplicaciones en la nube. Funciona mediante la identificación de cargas de trabajo en entornos de nube pública, privada e híbrida, y su examen en busca de vulnerabilidades. Si se descubren vulnerabilidades, la solución recomendará controles para corregir los problemas.
    • Los agentes de seguridad de aplicaciones en la nube ofrecen a los equipos de TI visibilidad sobre el uso de las aplicaciones en la nube y proporcionan una evaluación de riesgos de cada aplicación. Estas soluciones también permiten proteger los datos y satisfacer los objetivos de cumplimiento con herramientas que muestran cómo se mueven los datos en la nube. Las organizaciones también usan los agentes de seguridad de aplicaciones en la nube para detectar comportamientos inusuales de los usuarios y corregir amenazas.
    • Una solución de administración de la posición de seguridad en la nube permite reducir el riesgo mediante la búsqueda continua de errores de configuración que pueden provocar una vulneración. Al automatizar el proceso, estas soluciones reducen el riesgo de errores en los procesos manuales y aumentan la visibilidad de los entornos con miles de servicios y cuentas. Una vez detectadas las vulnerabilidades, estas soluciones proporcionan recomendaciones guidas para ayudar a los desarrolladores a corregir el problema.
    • Las soluciones de administración de identidad y acceso proporcionan herramientas para administrar identidades y aplicar directivas de acceso. Las organizaciones usan estas soluciones para limitar el acceso a recursos confidenciales y aplicar un acceso con privilegios mínimos y la autenticación multifactor.
    • Una plataforma de protección de aplicación nativa en la nube (CNAPP) ayuda a los equipos de seguridad a incorporar la seguridad desde el código a la nube. La CNAPP unifica las capacidades de cumplimiento y seguridad para prevenir, detectar y responder a las amenazas de seguridad en la nube, desde el desarrollo hasta el entorno de ejecución.
    • La administración de seguridad unificada de DevOps permite a los equipos de seguridad unificar, reforzar y administrar la seguridad de varias canalizaciones; probar la seguridad desde las etapas más tempranas para incorporarla en el propio código; y dar soporte a las protecciones desde el código a la nube en una única consola.
  • Hay cuatro áreas que las organizaciones deben tener en cuenta cuando implementan procedimientos y directivas para proteger sus nubes:

    • Limitación del acceso: Como la nube permite que todo sea accesible desde Internet, es sumamente importante asegurarse de que solo las personas adecuadas tengan acceso a las herramientas correctas el tiempo que sea necesario.
    • Protección de los datos: Las organizaciones deben saber dónde se encuentran sus datos y aplicar los controles correspondientes para proteger la infraestructura donde se hospedan y almacenan los datos y los propios datos.
    • Recuperación de datos: Una buena solución de copia de seguridad y un buen plan de recuperación de datos son fundamentales en el caso de se produzca una vulneración.
    • Plan de respuesta: Cuando se vulnera la seguridad de una organización, necesita un plan para reducir el impacto y evitar que otros sistemas se vean en peligro.
    • Probar la seguridad desde las etapas más tempranas: los equipos de seguridad y desarrollo colaboran para incorporar la seguridad en el código, para que las aplicaciones nativas de nube empiecen seguras y se mantengan seguras.
    • Unificar la visibilidad de la posición de seguridad de DevOps: reduce al mínimo los puntos ciegos con un panel único para extraer información de la posición de seguridad de DevOps en las plataformas de DevOps.
    • Mantener los equipos de seguridad centrados en las amenazas emergentes: refuerza las configuraciones de los recursos en la nube en el código para reducir los problemas de seguridad que llegan a los entornos de producción.
  • Las organizaciones deben vigilar los siguientes riesgos de seguridad:

    • Cuentas en peligro: Los atacantes a menudo usan campañas de phishing para robar contraseñas de empleados y obtener acceso a sistemas y valiosos activos corporativos.
    • Vulnerabilidades de hardware y software: Tanto si la organización usa una nube pública como si usa una privada, es fundamental que el hardware y el software estén actualizados y que se apliquen las revisiones oportunas.
    • Amenazas internas: El error humano es una de las principales causas de las vulneraciones de seguridad. Los errores de configuración pueden abrir la puerta a usuarios malintencionados. Los empleados a menudo hacen clic en vínculos malintencionados o mueven accidentalmente datos a ubicaciones con menos seguridad.
    • Falta de visibilidad de los recursos en la nube: este riesgo en la nube dificulta la detección y la respuesta a las amenazas y las vulnerabilidades de seguridad, que pueden provocar brechas y pérdidas de datos.
    • Falta de priorización de riesgos: cuando los administradores de seguridad tienen visibilidad de los recursos en la nube, el número de recomendaciones para mejorar la posición de seguridad puede ser abrumador. Es importante priorizar los riesgos, para que los administradores sepan dónde centrarse para tener el máximo impacto en la seguridad.
    • Permisos en la nube de alto riesgo: la proliferación de identidades y servicios en la nube ha aumentado el número de permisos de alto riesgo en la nube, lo que amplía las posibles superficies de ataque. La métrica del índice de exceso de permisos (PCI) mide cuánto daño pueden provocar las identidades en función de sus permisos.
    • Panorama de amenazas emergentes: el riesgo de la seguridad en la nube está evolucionando constantemente. Para protegerte contra vulneraciones de seguridad y la pérdida de datos, es importante estar actualizado a medida que emergen nuevas amenazas.
    • Falta de integración entre la seguridad y el desarrollo nativo de nube: es fundamental que los equipos de seguridad y desarrollo colaboren para identificar y corregir los problemas de código antes de desplegar la aplicación en la nube.
  • La seguridad en la nube hace referencia a las tecnologías, los procedimientos, las directivas y los controles que permiten proteger los datos y los sistemas basados en la nube. Entre algunos ejemplos de seguridad en la nube, se incluyen:

    • Herramientas como un agente de seguridad de acceso a la nube para aumentar la visibilidad de las aplicaciones y los datos que usa una organización.
    • Una administración de la posición de seguridad en la nube para poder identificar y corregir errores de configuración.
    • Herramientas para ayudar a los equipos de seguridad y desarrollo a colaborar para incorporar la seguridad en el propio código.
    • Una plataforma de protección de cargas de trabajo en la nube para aumentar la seguridad del proceso de desarrollo.
    • Implementación de directivas para mantener actualizados los dispositivos de los empleados, incluidas las revisiones periódicas de software.
    • Establecimiento de un programa de entrenamiento para garantizar que los empleados conozcan las últimas amenazas y tácticas de phishing.
  • Al proteger los datos y los sistemas en la nube de amenazas internas y externas, la seguridad en la nube reduce el riesgo de un ciberataque. La seguridad en la nube también admite modelos de trabajo híbrido, al controlar quién tiene acceso a los recursos, tanto si los empleados, los contratistas y los partners comerciales trabajan de forma remota como si lo hacen en el sitio. Otra ventaja es que la seguridad en la nube mejora la privacidad de los datos y ayuda a las organizaciones a cumplir normativas como el RGPD y la HIPAA. El incumplimiento de estas normativas puede implicar el pago de caras multas o daños en la reputación.

  • Los procedimientos recomendados para la seguridad en la nube abarcan todos los procesos, controles y tecnología de tu organización, por ejemplo:

    • Asegurarse de que la plataforma de aplicaciones nativas de nube incluye una plataforma de protección de cargas de trabajo en la nube, la administración de derechos de la infraestructura en la nube y la administración de la posición de seguridad en la nube, para ayudarte a reducir errores, reforzar la seguridad y administrar el acceso de manera eficaz.
    • Realizar entrenamientos periódicos para ayudar a los empleados a reconocer campañas de phishing y otras técnicas de ingeniería social. Asimismo, implementar procesos que te ayuden a prevenir, detectar y responder a un ataque, por ejemplo, el cifrado de datos confidenciales, la revisión periódica del software y el hardware, y el desarrollo de directivas de contraseñas seguras.
    • Adoptar un marco de confianza cero que verifique explícitamente todas las solicitudes de acceso. Esto incluye usar el acceso con privilegios mínimos para darles a las personas acceso solo a los recursos que necesitan y a nada más.
    • Probar la seguridad desde las etapas más tempranas en la canalización de DevOps permite que los equipos de seguridad y desarrollo colaboren para incorporar la seguridad en el código, para que las aplicaciones nativas de nube empiecen seguras y se mantengan seguras.

Seguir a Seguridad de Microsoft