Seguridad que debes configurar cuando tengas almacenamiento en la nube

Cuando se almacenan datos en la nube se tienen dos importantes beneficios, como son la disponibilidad de la información desde cualquier lugar, y la reducción de costos de infraestructura de almacenamiento ya que es virtual; no obstante, existen ciertos riesgos de seguridad tanto para los usuarios como para las empresas que dependen de la información para el desarrollo de su operación diaria, es por ello que en este blog tratamos algunas consideraciones de seguridad para el almacenamiento en la nube cuando se usan las conocidas herramientas Microsoft OneDrive y Google Drive.

Cifrado de Datos servicios: KMS:

Los servicios de cifrado son automáticos en ambas plataformas; sin embargo, se recomienda activar el servicio de claves KMS para mejorar la privacidad de los datos, permitiendo gestionar y proteger las claves de cifrado utilizadas para cifrar y descifrar datos. Este requerimiento técnico es exigido por ciertas normativas como la GDPR de la Unión Europea.  Si no se activa el KMS se aumenta el riesgo de pérdida de claves o que estas queden comprometidas, y además se dificulta los procesos de auditoría de acceso a datos.

• Aunque Google Drive no tiene una opción directa para activar KMS, si puedes gestionar este recurso a través del servicio “Google Cloud Key Management Service” el cual debes activar usando el aplicativo: “Google Cloud Console”
• En OneDrive el KMS lo puedes activar a través del portal de “Azure” al cual tienes acceso con una suscripción a Microsoft 365. Allí deberás configurar permisos y políticas para la gestión ý rotación de claves.

Administración de Identidad y Acceso: IAM

Si no se configuran adecuadamente las identidades y los accesos, se facilita que usuarios no autorizados puedan acceder a la información almacenada; además, sin IAM, es difícil auditar el acceso de datos, lo que hace difícil la detección y respuesta a incidentes de seguridad.

• Para Google Drive esta configuración se realiza a través de la “Consola de Administración de Workspace”, allí se configuran los usuarios y sus grupos, se establecen roles y permiso, se configuran las políticas de acceso, y se habilita l autenticación multifactor para el ingreso de los usuarios a sus cuentas.
• En Microsoft OneDrive la configuración de IAM se realiza a través del “centro de administración de Microsoft 365”, e igual que en el caso anterior se configuran los privilegios para usuarios y grupos. Como ventaja de Microsoft, en esta instancia se puede configurar un atributo PIM que permite gestionar, controlar y supervisar el acceso a datos en los roles críticos que tiene la organización

Seguridad en la Configuración de Redes: VPC

Google Drive y Microsoft OneDrive son servicios “SaaS” que no requieren configuración de VPC; sin embargo cada plataforma dispone de herramientas para proteger otros servicios en la nube, como son “Google Cloud VPC” y “Google Cloud Firewall” para el caso de Google Workspace, y “Azure Virtual Network Firewalls” junto con “Azure Firewall y Network Security Groups” para proteger el tráfico de red hacia y desde aplicaciones conectadas a Microsoft OneDrive.

Monitoreo y Registro de Actividades

Es importante habilitar y revisar los “logs” de auditoría de los centros de almacenamiento en nube y configurar alertas para poder revisar actividades que pueden ser sospechosas.

• En Google, accede con la cuenta de administrador a la consola de administración, allí podrás navegar y obtener informes de auditoría luego de habilitarlos en la sección “Informes/Auditoría/Drive”, adicionalmente podrás ir a la sección “alertas” para crear reglas basadas en eventos específicos”
• En Microsoft OneDrive accede al “Centro de Cumplimiento de Microsoft 365” con la contraseña de administrador y habilita el botón “Iniciar registro de auditoría”, allí mismo podrás buscar los “logs”. Para las alertas en el mismo “Centro de cumplimiento” entra a “Alertas/Administrar alertas” y crea las reglas que necesites según las actividades específicas que consideres importantes

Protección contra Amenazas

• En Google Utiliza “Cloud Armor” para proteger contra amenazas avanzadas y ataques DDoS (Ataques de tráfico excesivo). Además deberás configurar las políticas de DLP en ”Google Workspace” para así detectar intrusiones y proteger los datos contra filtración técnica; pues, Google DLP puede escanear el contenido circulante en Google Drive.
• Si usas OneDrive como herramienta de almacenamiento, utiliza “Microsoft Defender for Identity”, ello te permitirá monitorear el tráfico y protegerte contra amenazas avanzadas; así mismo, configura las políticas de DLP en el “Centro de Cumplimiento de Microsoft 365” para poder detectar intrusiones y proteger tus datos.

Backup y Recuperación de Datos

Las copias de seguridad son fundamentales para estar seguro que habrá continuidad del negocio en caso que ocurre una afectación voluntaria o involuntaria de la integridad de la información.

• “Google Vault” permite duplicar, buscar y exportar datos de Google Drive, contando con utilidades para realizar pruebas periódicas de recuperación que permitan estar seguro que se está haciendo un respaldo efectivo.
• En el caso de OneDrive utiliza “Microsoft 365 Backup” y activa la funcionalidad para que los datos almacenados se respalden automáticamente. Como en el caso de Google, puedes realizar pruebas periódicas de recuperación de datos a través del “Centro de Cumplimiento de Microsoft 365”

Gestión de Identidades y Accesos

Adicional a lo anterior, deber configurar roles de usuario y establecer políticas generales  de acceso a los datos, y políticas condicionales (horarios, días especiíficos para cierres contables, ect.)

• En Google cuentas con “Google Cloud IAM” para la gestión dispositivos de escritorio y “Google Endpoint management MDM  para dispositivos móviles, facilitando con este último gestionar la seguridad en caso de pérdida o robo del elemento de hardware.
• En OneDrive puedes configurar roles y políticas con “Azure AD”, y la seguridad en dispositivos móviles con la herramienta “Intune“.

Recuerda que al implementar las anteriores configuraciones en la nube ayudarás a proteger la privacidad e integridad de los datos de tu organización y a asegurar la confidencialidad de los datos de tus empleados, clientes y contratistas, de los cuales usted haces uso.