Boletin Industrial
 

  Buscar:  
  Mi Cuenta
   

LO QUE LOS FABRICANTES NECESITAN SABER SOBRE LA SEGURIDAD EN LA NUBE






Lo que los fabricantes necesitan saber sobre la seguridad en la nube

Los fabricantes mundiales se ocupan de datos confidenciales todos los días. Esto incluye datos de prueba y calidad, información de garantía, registros de historial de dispositivos y especialmente las especificaciones de ingeniería para un producto que son altamente confidenciales. Confiar en que los datos lleguen a una aplicación basada en la nube o proveedor de servicios en la nube es un paso importante, y los fabricantes necesitan informarse completamente sobre los riesgos de seguridad y las ventajas de este tipo de software.

Considere las cuatro preguntas que se presentan a continuación como una guía cuando se habla de infraestructura de aplicaciones y operaciones con proveedores de la nube.

Pregunta 1: ¿Qué hacee para mantener mis datos seguros?

Éste es el asunto más grande: la pregunta más importante que un fabricante debe hacerle a un proveedor de la nube.

La respuesta debe ser larga y multifacética. Debido a que ninguna herramienta única se defenderá contra todo tipo de ataque en cualquier red, los proveedores de la nube deben desplegar múltiples capas de defensa usando: sistemas internos; protección provista por plataformas en la nube de nivel 1; y proveedores de servicios de seguridad. Todos estos elementos se unen para proporcionar una protección completa. A continuación se muestran algunos ejemplos de estas capas:

Defensa física: los proveedores de plataformas en la nube pueden y deben ejercer un estricto control de acceso a los dispositivos físicos en los que residen los sistemas de software. En el mejor de los casos, los auditores independientes dan fe de la seguridad de este acceso. Este control y documentación deben revisarse regularmente.

Barreras a la entrada: los firewalls integrados en el servicio en la nube pueden limitar el acceso a los puertos administrados por la aplicación. Los puertos innecesarios deben estar bloqueados para que no se pueda acceder a ellos.

Protección de contraseña de aplicación: las aplicaciones en la nube mejor diseñadas permiten que el sistema de gestión de identidad de su organización proporcione autenticación y administración de contraseñas, limitando el acceso a sus datos y siguiendo sus políticas de seguridad interna. Esto también debería admitir la autenticación de dos factores si sus políticas internas lo requieren. Algunos de los sistemas más avanzados también pueden proporcionar un servicio de gestión de identidad como alternativa a sus soluciones internas, si es necesario.

Cortafuegos de aplicación: la mayoría de los diseños de aplicaciones de clase empresarial incluirán un servicio de cortafuegos de aplicación web que utiliza la última tecnología para defenderse de ataques de denegación de servicio y otros tipos de acceso malicioso.

Monitoreo de la actividad: los proveedores de última generación de la plataforma en la nube monitorean continuamente actividades sospechosas que podrían ser el resultado de piratería informática o malware. De nuevo, en el mejor de los casos, las advertencias se envían automáticamente y se toman medidas para proteger los datos y la integridad de la plataforma.

Supervisión de malware: tanto el proveedor de la aplicación como el proveedor de la plataforma de alojamiento deben ejecutar comprobaciones activas en busca de código malicioso para garantizar que cada fragmento de código que se ejecuta coincida con la firma publicada para ese código. Tenga cuidado: este es un paso al que muchos proveedores aún no han migrado.

Estándares de código: la buena seguridad comienza con un buen código. Los estándares de seguridad se deben incluir en el ciclo de vida del desarrollo del sistema, que rige todos los aspectos del sistema. Asegúrese de revisar los estándares de código del desarrollador de la aplicación.

Escaneo de código de terceros: los proveedores de aplicaciones más avanzados usan una empresa externa para escanear códigos buscando oportunidades para mejorar la seguridad y buscar vulnerabilidades conocidas con cada nueva versión de la aplicación. Pida detalles sobre esto, ya que hay muchos niveles diferentes de escaneo disponibles; un escaneo de una vez al año obviamente no es tan valioso como los escaneos regularmente programados antes de cada nueva versión de software.

Cifrado de datos: las prácticas generalmente aceptadas para el cifrado de datos proporcionan diferentes opciones de datos en diferentes modos: datos en tránsito (comunicados dentro del sistema o entre la base de datos y su interfaz de usuario) y datos en reposo (datos que residen dentro de la base de datos y no actualmente se está accediendo).

Los datos en tránsito se pueden cifrar usando el cifrado estándar de la industria a través del navegador. Además, las API que acceden a los datos deben usar datos cifrados e incluir tokens cifrados para aumentar el control de acceso.

El cifrado de datos en reposo protege contra el acceso a los datos desde fuera del control de la aplicación. Como el acceso físico al sistema está protegido y los datos están en bases de datos protegidas por contraseña, el cifrado en reposo puede no ser esencial para cada cliente, pero la pregunta aún vale la pena.

Pregunta 2: ¿Cómo sé que otros clientes no pueden acceder a mis datos?

Hay muchas maneras de hacer esta pregunta: ¿Mis datos se mezclan con los de otras compañías? ¿Pueden otras personas ver mis datos? ¿Cuál es la estructura de su base de datos para cada cliente? La respuesta a cada uno de estos es la separación de datos. La arquitectura del sistema debe garantizar la separación de los datos del cliente por la organización del cliente, generalmente por fábrica o sitio individual. Esto permite que incluso las tareas administrativas de los clientes, como asignar roles, tengan un alcance limitado. Si bien muchas aplicaciones son multiclientes (lo que significa que la aplicación se comparte entre múltiples clientes), los datos transaccionales aún deben estar separados por fábrica del cliente, lo que significa que no hay mezcla de datos de clientes. En otras palabras, sus datos estarán separados de todos los demás clientes, lo que brindará el nivel más alto de separación de datos.

Pregunta 3: ¿Qué haces para evitar que los datos sean pirateados o pirateados?

“Hackear” o robar datos es la principal preocupación de seguridad de la mayoría de las personas que consideran una solución en la nube. Tenga en cuenta, sin embargo, que algunos malentendidos comunes a menudo impulsan esta preocupación.

De acuerdo con el último “Informe de investigación de brechas de datos” de Verizon, aproximadamente el 50% de todos los incidentes de seguridad son causados por personas dentro de una organización. Las mejores políticas de seguridad para la administración de usuarios y contraseñas son la mejor manera de prevenir este tipo de ataques. Este es el propósito subyacente de la protección con contraseña de la aplicación, como se describe anteriormente.

Para prevenir los robos externos y el robo de datos, el sistema debe diseñarse para evitar tantos tipos de ataques como sea posible (ver arriba). Además, los proveedores de aplicaciones deben usar personal interno y consultores externos para realizar pruebas de penetración frecuentes. Estas pruebas buscan caminos comunes que los atacantes usan para obtener acceso a los sistemas a través de Internet. Las pruebas ayudan a garantizar que no haya puertas abiertas para los piratas informáticos. Asegúrese de preguntar acerca de las pruebas de penetración, incluida la frecuencia y las metodologías utilizadas.

Pregunta 4: ¿Cómo se compara la seguridad en la nube con la seguridad in situ?

Esta es una pregunta tanto interna como externa. Existe una percepción errónea común de que un conjunto de servidores que se ejecutan en el sitio en una oficina corporativa es más seguro que una aplicación basada en la nube. Poseer el hardware y el software a menudo da una falsa sensación de seguridad; la mayoría de los sistemas en las instalaciones no cumplen con la seguridad que los mejores proveedores de nube han implementado.

Por ejemplo, el sistema de almacenamiento en la nube utilizado por una empresa fue diseñado para un 99.999999999% de durabilidad y hasta un 99.99% de disponibilidad de objetos durante un año determinado. Ese diseño y esos números son prácticamente imposibles de duplicar con una solución local. Además, el control de acceso integral descrito anteriormente es casi imposible de duplicar en el sitio. Implementar herramientas como éstas en un entorno local requeriría no sólo grandes inversiones en infraestructura, sino también grandes equipos para administrarlas.

Pregúntese: ¿qué tan grande es su equipo de seguridad? ¿Cuánto cuesta su presupuesto para la seguridad de sus datos de fabricación? Entonces recuerde, los mejores proveedores de aplicaciones y centros de datos cuentan con grandes equipos de seguridad dedicados que han implementado sistemas automatizados de monitoreo de amenazas que operan 24x7. Al final, las mejores compañías de software en la nube han dedicado más tiempo, recursos y presupuesto para proteger nuestros sistemas de lo que la mayoría de las organizaciones pueden ofrecer por sí mismas.

Más seguridad hoy en la nube

El problema de seguridad para el software de fabricación en la nube quizás se resume mejor con esta cita de LNS Research, una firma de investigación de mercado independiente líder en el mercado:

“Al pasar a la nube, la seguridad generalmente se mejora en lugar de disminuir a medida que los proveedores de la nube dedican grandes esfuerzos para garantizar que sus sistemas subyacentes sean lo más seguros posible y se actualizan constantemente para reaccionar ante posibles amenazas. Ningún fabricante individual podría dedicar tales esfuerzos, y deberían centrarse en la seguridad de la planta trabajando con sus vendedores de software de planta para garantizar la máxima seguridad y un mantenimiento adecuado de los sistemas. No se deje atrapar por sistemas obsoletos y vulnerables”.




Usuario:
Contraseña:
¿Olvidó su contraseña?

¿Eres un Nuevo Usuario?











Acerca de Nosotros | Anunciate aqui | Contáctanos | Refiere a un Amigo | Ayuda | Mapa del Sitio | Trabaja con nosotros
Nuevos Productos Nuevo | Eventos de la Industria Nuevo | English Information Nuevo | Aviso de Privacidad Nuevo
2018 © Editorial Nova, S.A. de C.V. Todos los Derechos Reservados.