Según Gartner, el 60% de las empresas guarda información confidencial en nubes públicas, lo que implica un crecimiento en adopción de 40% en dos años, ello porque la mayoría usa los modelos de Infraestructura o Software como Servicio. Estas resultan buenas noticias si se tienen cuentas de administrador lo suficientemente seguras.
A decir de Jamie Tischart, CTO Cloud/SaaS en Intel Security, esas cuentas tienen un alto valor para los hackers, pues pueden aprovechar esos accesos para obtener datos de mayor impacto. Por ello es importante que si el servicio de nube ofrece autenticación multifactor, se haga cumplir su uso para todas sus cuentas de administración e incluso las cuentas que no lo sean. Puede ser un poco molesta, pero vale la pena, ya que el servicio podría tener vulnerabilidades que serían aprovechadas para acceder a sus datos confidenciales.
Como consejos, el ejecutivo recomienda: utilizar diferentes nombres de cuenta y contraseñas administrativas, de manera que cualquier credencial hackeada no se pueda utilizar a lo largo de una infraestructura de nube o SaaS.
Permitir todas las auditorías dentro del servicio de nube, y revisar los datos diariamente como medida de defensa/revisión de seguridad.
Crear y hacer cumplir políticas de actualización de contraseñas, especialmente si la autenticación multifactor no está disponible. Idealmente, las contraseñas de administrador tienen una vida menor a 168 horas (7 días), pero incluso ese tiempo podría ser demasiado para obtener una máxima protección.
Aplicar estrictamente las políticas en torno a la gestión, modificación y eliminación de cuentas de administración. Muchas organizaciones proporcionan muchas cuentas de administrador y ello crea un riesgo para la seguridad, ya que amplía la superficie de ataque.
Definir flujos de trabajo críticos que requieran revisión y aprobación de dos o más administradores antes de que la actividad pueda ser completada.
A medida que continuamos utilizando la Nube y adoptando SaaS, es buena idea revisar cómo administrar sus cuentas administrativas y definir los procesos y los procedimientos para protegerlas de comportamiento malicioso, explica.
Compartir nota:
