Blog de WatchGuard

Cumplimiento y adopción para empresas que utilizan la nube

La adopción y el uso de la nube en los entornos corporativos está en auge y su futuro es prometedor. Una muestra de ello es que el gasto empresarial en servicios en la nube para el segundo trimestre de este año aumentó un 29% en comparación con el mismo período del año pasado. Esta migración ha supuesto un cambio en las normativas para consolidar la seguridad de los datos según la naturaleza del negocio.

De modo que, el cumplimiento de la normativa de la nube se basa una serie de procedimientos y prácticas que sirven para garantizar que un entorno Cloud se ajusta a uno o más conjuntos específicos de normas de seguridad y privacidad. Los marcos que inciden en una empresa determinada se delimitan por factores como la jurisdicción en la que opera, la industria o el sector al que pertenece y el número de usuarios que tiene.

Regulaciones más importantes y cómo afectan a la infraestructura de la nube

  • PCI DSS

La normativa de seguridad de los datos para el sector de las tarjetas de pago es un conjunto de condiciones de seguridad para los comerciantes que almacenan o procesan datos de titulares de tarjetas en la nube.

Entre sus condiciones exige la instalación y el mantenimiento de una configuración de cortafuegos para proteger los datos en la nube, así como proporcionar una mayor seguridad en el acceso asegurándose de modificar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Del mismo modo, solicita la protección de los datos almacenados de los titulares de las tarjetas y el cifrado de la transmisión de los datos de los titulares de las tarjetas a través de las redes públicas abiertas. Además de lo anterior, demanda el rastreo y la supervisión de todos los accesos a los recursos de la res y a los datos de los titulares de las tarjetas.

De no adherirse a estas directrices de computación en la nube de PCI DSS, es probable que la empresa pierda su capacidad de procesar transacciones de tarjetas de pago.

  • HIPAA

Esta regulación está dirigida a las organizaciones que manejan información médica personal e identificable. La regla de seguridad de la HIPAA del Departamento de Salud y Servicios Humanos (HHS) de EE.UU. exige a las entidades salvaguardar con medidas administrativas, técnicas, físicas razonables y apropiadas la información sanitaria protegida electrónicamente (e-PHI).

Para cumplir con la regulación, el HHS establece cuatro requisitos específicos de almacenamiento de la HIPAA que consisten, en primer lugar, en garantizar la confidencialidad, integridad y disponibilidad de la e-PHI a través de la encriptación, la protección con contraseña y otras medidas de protección. En segundo lugar, identificar y proteger contra las amenazas razonablemente previstas a través de la supervisión periódica y el análisis de riesgos. Asimismo, proteger contra usos o divulgaciones no permitidos que puedan ser salvaguardados con protocolos de seguridad informática, IAM, restricción del acceso físico y auditorías periódicas de los procesos internos. Y, por último, garantizar el cumplimiento de la normativa por parte de los trabajadores mediante la formación periódica y el cumplimiento de las normas establecidas por los responsables de la aplicación de la HIPAA.

  • GDPR

Una de las leyes de privacidad de la información más estrictas y de mayor aplicación en todo el mundo es el Reglamento General de Protección de Datos (GDPR). Su objetivo central es salvaguardar la información personal de las empresas y los individuos en la Unión Europea (UE).

El GDPR exige la protección de datos desde el diseño y por defecto, el registro de las actividades de procesamiento y cifrar la información personal para los datos en tránsito y en reposo.

¿Qué soluciones necesitan las empresas para cumplir con las regulaciones?

La mayoría de los marcos de cumplimiento describen sus normas en términos relativamente genéricos. Entonces, ¿cómo pueden las empresas estar seguras de que sus datos están blindados en la nube y, por ende, se encuentran en cumplimiento de las distintas regulaciones a las que están suscritas? Deben integrar soluciones de ciberseguridad que protejan al máximo sus entornos de la nube y los datos de sus clientes:

  • MFA: esta solución aplica a los tres marcos de cumplimiento detallados anteriormente. La autenticación multifactor es indispensable para que cualquier empresa pueda cumplir con las regulaciones. En una reciente encuesta de Pulse, los datos revelaron que el 76% de los encuestados consideran esta solución como la más importante de incorporar a la nube para reforzar el cumplimiento.
  • Visibilidad: otro requerimiento que es común para todas las normativas es la necesidad de visibilidad y de supervisión del entorno en la nube, para este requisito es necesario emplear una solución que facilite la imagen y la realización de informes. Esto permite a las empresas tener un verdadero control sobre los datos almacenados de sus clientes.
  • Cortafuegos en la nube: esta tecnología debe usarse para cumplir con los requisitos de los marcos de cumplimiento HIPAA y GDPR. Entre sus funciones, se destaca la necesidad de las empresas de cifrar los datos tanto almacenados como en tránsito, además de eliminar la posibilidad de un posible ataque de malware.
  • Wi-Fi: en el caso de la HIPAA y la PCI DSS, es importante utilizar una solución que proteja las conexiones Wi-Fi, de un comercio o un hospital, por ejemplo, ya que, de no hacerlo, puede ser una vía de entrada a la red para los atacantes. Una vez dentro de la red corporativa, es más fácil para ellos realizar movimientos laterales que les permitan acceder a los entornos Cloud donde se encuentran los datos que deben protegerse.
  • Protección de información personal: para alcanzar un cumplimiento total de la regulación de protección de datos GDPR, el servicio Data Loss Prevention que ofrece WatchGuard puede ser un salvavidas al momento de una brecha de datos accidental, ya que detecta e impide la salida de archivos con información personal de la red. Del mismo modo, la solución Data Control supervisa, descubre y clasifica los datos personales de la empresa en los endpoints. Con esta tecnología, la organización puede mantener un control exhaustivo de los datos personales que se encuentran en sus dispositivos, incluyendo su funcionamiento y la forma en que se produce la transferencia de datos entre ellos.

Cumplir con las normativas es fundamental para que las compañías puedan seguir desarrollando su negocio libre de fricciones. Con el uso de estas soluciones las empresas conseguirán mantenerse al día con las normativas, al tiempo que podrán disfrutar de todas las ventajas que ofrece la nube sin el temor de verse envueltos en una situación complicada que puede resultar en una pérdida reputacional y económica.