En muchos casos, la multiplicidad de las nubes es un enfoque inteligente para los organismos, ya que permite a los responsables de IT elegir la plataforma en la nube y el entorno adecuados para el trabajo que van a realizar. Pero, aunque este movimiento es ideal para apoyar las misiones de las agencias en teoría, también puede acentuar las malas prácticas de seguridad o las aplicaciones incoherentes de las políticas de seguridad.

Si los entornos de nubes múltiples están mal gestionados y protegidos, las malas prácticas de seguridad y su impacto se vuelven difíciles de rastrear en cada entorno, creando vulnerabilidades, aumentando el riesgo y haciendo que la recuperación de un incidente cibernético sea compleja.

Las agencias deben tomar las medidas adecuadas para que las nubes múltiples sean un enfoque seguro. Esto empieza por garantizar una implementación coherente de las prácticas de seguridad estándar, aplicar una estrategia sólida de protección de datos y continuar con las iniciativas de formación y concientización en materia de seguridad.

Prácticas de seguridad consistentes
Para fomentar la seguridad en las nubes múltiples de todas las agencias federales, estas deben comenzar con prácticas de ciberseguridad sólidas de base y ciber higiene. Cualquier brecha solo se amplificará en los entornos de nube múltiple. Esto significa que hay que estandarizar las prácticas básicas de encriptación, autenticación multifactorial y copia de seguridad de datos; tácticas que pueden parecer obvias pero que con demasiada frecuencia no se implementan de forma coherente. Para las agencias con nubes múltiples, la consistencia es clave.

Otra cuestión que debe ser consistente es la concientización de los empleados. Los miembros de las agencias pueden reconocer los beneficios de la multi-nube, pero también deben ser educados sobre el papel que juega la seguridad y su mantenimiento. Esto significa ser conscientes de cómo las prácticas de seguridad -desde el uso de dispositivos personales para el trabajo gubernamental hasta las malas prácticas de contraseñas- pueden crear vías para los ciberdelincuentes que son aún más difíciles de contener en los entornos de nubes múltiples.

Estrategias de datos sostenibles
Las estrategias de copia de seguridad fiables son fundamentales en un mundo de la nube múltiple. Las agencias deben implementar y seguir un enfoque de protección de datos consistente, simple y fácil de entender. Una estrategia que es fácil de seguir y recordar es la regla 3-2-1-1-0: cada número representa una política de copia de seguridad crucial. Para empezar, esto significa mantener tres copias de los datos, aunque es totalmente posible que al final haya más de 3 copias (algunos datos críticos pueden albergar 4 o incluso 5 copias de los datos).

De este modo, aunque se destruyan dos copias, los datos del organismo siguen estando protegidos en otras copias. De estas tres copias, los datos deben estar alojados en dos tipos de soportes diferentes.
A partir de ahí, una copia también debe almacenarse fuera del sitio, lejos de la ubicación física donde se encuentran los datos primarios y la copia de seguridad principal. Esta copia externa es importante en caso de desastre natural o emergencia que pueda afectar a más de un edificio.

Por otra parte, una de las copias debe ser inmutable, fuera de línea o en un espacio de aire. Esto se clasificaría como un tipo de medio ultrarresistente, lo que significa que no puede ser alterado. La desafortunada realidad, es que algunas amenazas existen en los sistemas de las agencias durante meses -incluso años- antes de ser identificadas. En caso de que los atacantes manipulen intencionalmente la información, la copia inmutable permite disponer siempre de una fiable a la que se puede recurrir.

El último número de la receta, el «0», indica que no debe haber sorpresas al garantizar la capacidad de recuperación. La verificación automática de la recuperación como parte del proceso de captura de datos de la copia de seguridad dará a las agencias una confianza increíble si llegara el momento de la restauración.

Reducción de la superficie de ataque mediante la formación de los empleados
Como se ha mencionado anteriormente, los empleados desempeñan un papel importante en todas las formas de seguridad de las agencias. Cuando los empleados trabajan remotamente y termina mezclándose con la vida cotidiana, la seguridad también se difumina. La mezcla de datos, cuando se accede a los datos del trabajo en dispositivos personales y se realizan tareas personales en computadoras portátiles del trabajo, es una amenaza importante.

La educación constante debe incluir una concientización sobre cómo identificar las amenazas potenciales, recordatorios para instalar las actualizaciones de software y orientación para detener la mezcla de datos. Los empleados deben saber qué aspecto tienen los ataques de malware, phishing o ransomware en sus dispositivos personales y de trabajo y deben entender cómo encajan en el rompecabezas de la seguridad. Si no se dirigen a los usuarios, las agencias dejan abiertas importantes vías para los atacantes.

Los datos federales son demasiado valiosos y sensibles como para perderlos. La información de los empleados federales, los informes oficiales y la inteligencia confidencial pueden ser más vulnerables o más seguros en entornos de nubes múltiples, dependiendo de las medidas de seguridad que se tomen desde el principio. Esto incluye fundamentos de seguridad consistentes, una sólida estrategia de copias de seguridad y la educación de los empleados.

La infraestructura multi-nube aborda muchos desafíos y puede ser una solución ideal para las agencias federales. Con las estrategias adecuadas y un personal informado, estos entornos pueden ser manejables y seguros, lo que supone un paso más hacia un gobierno moderno y eficiente.

Rick Vanover, Director Senior de Estrategia de Veeam Software