Protección de datos PII de servicios financieros en la nube #Tecnología

177 0

Proteger correctamente los datos sensibles, como PII (Personally Identifiable Information o información personalmente identificable), es de suma importancia para una empresa digital. Los costos financieros, legales y de reputación por la no conformidad de la seguridad digital pueden ser muy altos. Hay un error común de que cambiarse a una nube pública aumenta el riesgo. La adopción de servicios como Google Cloud Platform (GCP) ayuda a aumentar y fortalecer la seguridad del sistema, proporcionando costos más bajos, mayor flexibilidad, servicios ampliados y otros beneficios.

Al adoptar plenamente las tecnologías y prácticas superiores disponibles en una nube pública, como Google Cloud Platform, una empresa no sólo puede reducir costos y aumentar la eficiencia, sino también mejorar drásticamente su perfil de riesgo para generar resultados sumamente favorables.

La problemática no parece estar despareciendo, y las consecuencias relativas a los errores de datos serán en el futuro cada vez más severas. Las apuestas relacionadas a los datos confidenciales, como PII, son altas y sólo van a aumentar. En este entorno, se necesita una nueva solución, y los resultados de seguridad superiores, que se pueden obtener con la adopción prudente y holística de los recursos de una nube pública, pueden ser la carta de salvación para los equipos de seguridad de las empresas de servicios financieros.

Afortunadamente, los recursos y productos de seguridad predominantes en los proveedores de nube pública son intrínsecamente más inclusivos y robustos que los disponibles en un centro de datos local y, como tal, ofrecen una base para actualizar la postura de seguridad de la empresa.

En este ámbito, es hora de dejar de preguntarse si la nube es segura y, en lugar de eso, empezar a descubrir cómo migrar a la nube con seguridad. Para hacerlo, un abordaje “de adentro hacia fuera y con definición de software” sustituye la orientación de seguridad basada en el perímetro tradicional, implantando nuevos métodos que no están disponibles en soluciones locales y aplicando nuevos estándares de seguridad en cada capa de abstracción, de la gestión de identidad de contexto para datos en reposo.

Los riesgos para sistemas y datos en la nube son, en muchos aspectos, las mismas amenazas cibernéticas que las que enfrenta cualquier sistema local.

Dichos riesgos pueden ser divididos en tres grupos: amenazas que llevan al compromiso del sistema; vulnerabilidades que dejan sus sistemas expuestos; y eventos que pueden impactar sus negocios resultantes de vulnerabilidades y amenazas.

12 amenazas, vulnerabilidades y eventos

  • Malware interno: una amenaza que se origina desde adentro, dentro de su propio equipo o entre sus compañeros confiables es a menudo la más difícil de detectar y es, por lo tanto, potencialmente la más peligrosa.
  • Abuso y uso nefasto de recursos en nube: implementaciones de servicio en nube insuficientemente seguras exponen a un número de riesgos, algunos de los cuales se pueden extender por fuera de la empresa, como correos electrónicos de suplantación de identidad (phishing) o la minería de criptomonedas.
  • Invasión de cuenta: agentes maliciosos obtienen el control de cuentas y roban información maliciosamente, cambian datos o redirigen el tráfico hacia páginas ilegítimas. La confusión resultante y la pérdida de reputación pueden causar daños incalculables.
  • Amenazas persistentes avanzadas (APT): las APT son notables por su estrategia de infiltración a largo plazo y, muchas veces lenta, seguida por una operación haciéndose particularmente difíciles de detectar. En muchos casos, daños significativos ya fueron causados cuando se detecta la APT.

Vulnerabilidades que dejan expuestos a los sistemas en la nube

  • Gestión de acceso: baja administración con identidades, credenciales. Si las herramientas para gestionar y monitorear identidades y accesos están incompletas o tienen puntos ciegos y huecos, todo el sistema estará vulnerable a los ataques, al robo de información, y mucho más.
  • Proyecto insuficiente de planeación y seguridad: agregar nuevos recursos y procesos sin antes ejecutar los análisis y pruebas suficientes puede llevar al aumento de los riesgos financieros, legales y comerciales.
  • Interfaces y API inseguras: las interfaces y las API son puntos de entrada a un sistema y, si son mal proyectadas, pueden transformarse en anomalías en el blindaje de seguridad. Cualquier debilidad en estos puntos proporciona una puerta de entrada a los agentes maliciosos que, luego, tienen una capacidad sin límites para causar daños.
  • Vulnerabilidad en los sistemas: bugs en el hardware, firmware y software subyacentes, como CPU, SO y componentes de terceros, también pueden exponer a un sistema. Servicios que comparten datos cercanos son particularmente susceptibles en esta instancia.
  • Vulnerabilidades de tecnología compartida: fallas en la seguridad de componentes subyacentes de terceros o de código abierto proporcionan otros vectores de vulnerabilidad que deben ser resueltos. Una pequeña falla puede convertirse en una gran responsabilidad si es explotada para burlar la seguridad del sistema.

Eventos que pueden afectar sus negocios en la nube

  • Violaciones de datos: como pueden afirmarlo grandes corporaciones, como Yahoo, Marriot, Target, Equifax y muchas otras, una violación de datos es una grave falla de seguridad. Si la violación se debe a un ataque dirigido, a un error humano o a políticas negligentes, los costos legales, financieros y de reputación pueden ser astronómicos.
  • Pérdida de datos: no todos los problemas con datos implican el robo de los mismos, a veces, pueden perderse debido a la eliminación accidental o a una catástrofe física, como incendio, tempestad o terremoto. Además del alto costo y de la dificultad que representa intentar recuperar los datos perdidos, también puede darse la continuidad de los negocios y preocupaciones contractuales.
  • Denegación de servicio (DoS): un ataque de DoS se da cuando los recursos del sistema son sobrecargados por una grande y coordinada afluencia de tráfico. Esto no es novedad, sin embargo, la proliferación de recursos de nube puede hacerlos más rápidos, más fuertes y, potencialmente, mucho más caros. Un ataque de DoS también pone en riesgo la reputación de la empresa y puede afectar las relaciones contractuales.

La cantidad de exposición a esas cuestiones y la importancia relativa de cada una de ellas varía de según los hechos específicos y las circunstancias de cada caso. Aun así, esta lista sirve como una guía práctica para asegurar que se abarquen todas las cuestiones y, lo más importante, que durante su análisis no se ignore ninguna amenaza, vulnerabilidad o evento.

11 mejores prácticas para ejercer la seguridad de los sistemas PII

Usando las prácticas recomendadas por la plataforma GCP y por DevSecOps, es posible crear un sistema que ofrezca un nivel de seguridad más alto que el de los sistemas existentes, y que sea más flexible y responsivo para atender a las necesidades futuras.

Al aprovechar un abordaje de seguridad en la nube e implantar métodos de seguridad para reducir el riesgo, más allá de lo que era posible en un centro de datos local, podrá aumentar la eficacia de su postura de seguridad en todas las etapas del proceso. Para ello, seguimos una metodología que abarca las 11 mejores prácticas comprobadas para producir los resultados esperados.

11 mejores prácticas para la seguridad en la nube

  1. Tenga en mente objetivos de seguridad y conformidad.
  2. Enfóquese en “lo que hay que defender”, no en “atacar la superficie”.
  3. Desarrolle una visión de “no hay que confiar en nada” y de “verificación continua” en la nube.
  4. Considere la seguridad de un extremo a otro para su entorno de nube híbrida.
  5. Utilice la efectividad de una red global.
  6. Adopte al máximo la automatización de su infraestructura.
  7. Respeta a los sistemas.
  8. Utilice una gestión mejorada de la nube.
  9. Eleve la gestión de identidad como servicio.
  10. Utilice reglas de seguridad proactivas y reactivas.
  11. Practique la exposición al riesgo, aislamiento y remediación.

Cómo trabajamos con la seguridad de la nube en everis Brasil

En la nube, el monitoreo efectivo es importante debido a la enorme cantidad de información que se está generando. Es esencial agregar, filtrar y clasificar los datos monitoreados en una representación intuitiva y autodescriptiva en forma de panel. Esto ayuda a dirigir la corrección automática de amenazas y la respuesta rápida a los riesgos expuestos.

Usamos el servicio Stackdriver incorporado de la GCP para ofrecer monitoreo y alerta de picos de recursos y anomalías para que podamos ayudar inmediatamente a identificar sistemas y redes comprometidos. Con Stackdriver, nuestros clientes ahora pueden crear caminos de auditoría de seguridad interna y alertas para saber quién está ingresando a cada sistema y ser avisado inmediatamente sobre violaciones de seguridad.

Dada la cantidad de datos de monitoreo generados, creamos paneles y vistas personalizadas para equipos de respuesta, que aíslan conjuntos de información gerenciales y accionables.

También estamos implementando el GCP Cloud Security Command Center, un nuevo producto que agiliza la creación de esos activos. Para finalizar, además de la auditoría de cambios internos, el servicio de Transparencia de Access permite que el rastreo de auditoría en la propia GCP aísle y responda las actualizaciones y los cambios.

Conclusión

Para proteger datos PII en la nube es necesario:

  • Establecer un abordaje para la conformidad regulatoria.
  • Resolver amenazas que puedan comprometer el sistema.
  • Impedir eventos que impacten su negocio.
  • Remover vulnerabilidades de dirección que pueden dejar sus sistemas más expuestos.

Related Post