10 pasos para asegurar la nube

Cuando se trata de la adopción de la nube, la analogía que siempre utilizo es que nuestras redes solían construirse como castillos. Poníamos todos nuestros servidores y usuarios dentro, y teníamos grandes muros para protegerlo todo. Hoy en día, hemos trasladado grandes partes de nuestros negocios fuera de estos muros, y los hemos trasladado a varios proveedores de nube y SaaS. Como resultado, ya no tenemos el conocimiento o la experiencia para asegurar y protegerlos. Por lo tanto, una parte fundamental del viaje hacia la posesión de la nube es entender lo que puede hacer para ayudar a sus clientes a asegurar todas esas partes que ahora se encuentran fuera de los muros del castillo.

Esta lista de 10 pasos no es específica de ningún proveedor, sino que representa una visión holística de las cosas que todo el mundo puede -y debe- hacer para que esta transición a la nube sea lo más segura posible.

1

Implantar la autenticación multifactor (MFA)

La autenticación multifactorial debería ser una apuesta en la nube. Es el eje de la seguridad de todos los entornos. Tanto si se trata de un usuario normal como de un superusuario, la MFA debería estar configurada para todos y cada uno de los accesos a todos los sistemas en cualquier momento.

2

Añadir acceso condicional

La MFA por sí sola a veces no es suficiente y aquí es donde entra en juego el acceso condicional. Puede configurar requisitos específicos para los usuarios y dispositivos que se conectan a su entorno como una línea de defensa secundaria.

En caso de que alguien supere su MFA, se le puede seguir denegando el acceso si no cumple con los criterios establecidos, como por ejemplo si se le permite el acceso a ciertas aplicaciones, si el dispositivo que está utilizando ha sido debidamente parcheado o si ha fallado la autenticación un número de veces.

3

Mantener las cuentas privilegiadas separadas y en bóveda

Las cuentas con privilegios son las más valiosas para cualquier hacker, ya que ofrecen acceso sin restricciones a sus sistemas. No deberías usar estas cuentas para hacer tu trabajo diario, incluso como administrador. Separar esas cuentas altamente privilegiadas es esencial si quieres proteger tanto tu red como la de tus clientes.

4

Configurar RBAC y estandarizar la configuración en todos los clientes

¿Cuántas veces ha puesto en marcha nuevos entornos, ha dado a alguien el acceso que necesita y luego no ha revocado ese acceso después de que se hayan completado algunas tareas específicas? Estoy bastante seguro de que todos lo hemos hecho. Asegurarse de que tiene el control de acceso basado en roles (RBAC) totalmente configurado en todos sus clientes es esencial para controlar quién puede hacer qué, pero también lo es volver regularmente y auditar ese acceso para asegurarse de que la gente no sigue teniendo acceso a cosas que no debería.

5

Entienda la tecnología que está utilizando

Las tecnologías en la nube han evolucionado rápidamente. En el momento de escribir este artículo, Amazon tiene más de 200 servicios que ofrece a través de AWS, y Microsoft tiene poco menos de 500, y eso es sólo para esos dos proveedores. Mientras que históricamente se podía decir que uno era un experto en la nube, hoy nadie puede afirmarlo porque hay muchos aspectos diferentes de la nube que se pueden aprovechar.

Esto significa que hay que invertir en las habilidades de los equipos para tener personas que sean fuertes en diferentes áreas, ya sea a través de la formación o la contratación. Tener un conocimiento profundo de las tecnologías que está utilizando significa que puede ayudar a garantizar que se sigan las mejores prácticas al desplegarlas y que esté debidamente protegido.

6

Conozca la superficie de su despliegue

Esto es una continuación de mi punto anterior. Yo diría que los MSP que obtienen los mejores resultados en términos de gestión de despliegues en la nube son los que no sólo entienden realmente las tecnologías que están desplegando, sino que también las despliegan de forma coherente en su base de clientes. Crear y mantener entornos puntuales, requiere un nivel de experiencia que sería muy difícil de alcanzar incluso en el mayor MSP.

7

Supervisar los cambios en el entorno y prestar atención a los adversarios

Pienso en esta primera parte del mismo modo que en el sistema de alarma de mi casa: Puedo ver que una ventana trasera está abierta, pero ¿es porque alguien ha entrado o porque uno de mis hijos la ha abierto porque tenía demasiado calor? No lo sabré hasta que investigue más a fondo, pero tengo que asegurarme de tener “ojos en el cristal” y estar pendiente de cosas así.

Además de esto, debes prestar atención a lo que hacen los posibles adversarios, ya que esto puede ayudarte a detectar los signos de un evento de seguridad a tiempo. Hay diferentes fuentes disponibles, como las actualizaciones periódicas de CISA, que pueden ayudarle a entender cómo proteger tanto su negocio como el de sus clientes de las ciberamenazas actuales. Saber lo que está sucediendo en el ecosistema más amplio te da una ventaja en el sentido de que puedes aprovechar esa información para asegurarte de que estás pivotando para proteger proactivamente a tus clientes de cualquier amenaza que haya en su entorno.

8

Planificar con antelación

Esto es algo en lo que personalmente soy muy partidario: planificar de forma proactiva para todas las eventualidades. Básicamente, esto se divide en dos categorías.

Eventos de seguridad. Si tienes un evento de seguridad que afecta a tus tecnologías en la nube, ¿qué vas a hacer? ¿Qué medidas hay que tomar? ¿Cómo se recupera? ¿Tiene una copia de seguridad?
Salidas de empleados. Como MSP, tienen un acceso muy privilegiado a todos sus clientes. Si uno de sus técnicos se marcha (ya sea por su propia decisión o por la suya), debe asegurarse de poder cerrar rápidamente todo aquello a lo que tiene acceso, ya sea mediante el inicio de sesión único o Azure AD.

9

Entienda lo que necesita hacer para recuperarse

Una vez más, esto es consecuencia del punto anterior, si sufres un evento de seguridad de cualquier tipo, ¿cómo va a ser tu recuperación? Necesitas tener un plan en marcha. Así que tienes que ver cosas como la forma de comunicar adecuadamente a tus clientes lo que estás haciendo y lo que tienen que hacer. Esto es algo que deberías probar mediante ejercicios de mesa tanto internamente como con tus clientes. Estos eventos no deben salir a la perfección, sino que deben hacer que encuentres lagunas y perfecciones tus procesos. Es un ejercicio extremadamente saludable por el que pasar.

10

Mida la postura de seguridad de su cliente

El CIS establece puntos de referencia sobre lo que parece una buena seguridad en diferentes sistemas operativos, proveedores de nube, puntos finales y otros. Con CIS, hay diferentes niveles, por lo que puede determinar su nivel de riesgo y aumentar su calificación de seguridad con el tiempo. Muchas soluciones tienen informes integrados para esto. Proporcionan detalles claros sobre lo que se necesitaría para alcanzar el nivel uno o dos, o los requisitos específicos dentro de ambos que se alinean con el riesgo de su negocio. Esto realmente le ayudará a elaborar la historia de la seguridad para sus clientes, ya que puede demostrar claramente lo que está haciendo y cómo se compara con los puntos de referencia, así como dónde tendrán que invertir si quieren aumentar su rendimiento.

El gran volumen de notificaciones que generan algunas soluciones de RMM puede hacer que a los usuarios les resulte muy difícil distinguir el valor de las cosas, lo que hace que se pierdan notificaciones importantes.