¿Proteger la nube? Orientación de la NSA sobre la mitigación de vulnerabilidades en la nube

According to the National Security Agency, managing risk in the cloud requires that customers fully consider exposure to threats and vulnerabilities, not only during procurement but also as an on-going process. Clouds can provide a number of security advantages over traditional, on-premises technology, such as the ability to thoroughly automate security-relevant processes, including threat and incident response. With careful implementation and management, cloud capabilities can minimize risks associated with cloud adoption, and empower customers to take advantage of cloud security enhancements.

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota del editor: Publicada por la Agencia Nacional de Seguridad (NSA) como un asesoramiento para líderes organizacionales y profesionales técnicos, la hoja de información sobre ciberseguridad recientemente publicada sobre la mitigación de vulnerabilidades en la nube puede ser útil para los profesionales de descubrimiento de datos y descubrimiento legal, ya que consideran que tanto durante como después de la adquisición del servicio en la nube.

Extracto de la Actualización de Información de Ciberseguridad de la Agencia Nacional de Seguridad

Mitigación de vulnerabilidades en la nube

Si bien la adopción cuidadosa de la nube puede mejorar la postura de seguridad de una organización, los servicios en la nube pueden introducir riesgos que las organizaciones deben comprender y abordar tanto durante el proceso de adquisición como durante el funcionamiento en la nube. La evaluación completa de las implicaciones de seguridad al transferir recursos a la nube ayudará a garantizar la disponibilidad continua de los recursos y a reducir el riesgo de exposición a la información confidencial. Para implementar mitigaciones efectivas, las organizaciones deben considerar los riesgos cibernéticos para los recursos en la nube, tal como lo harían en un entorno local.

Este documento divide las vulnerabilidades de la nube en cuatro clases (configuración incorrecta, control de acceso deficiente, vulnerabilidades de arrendamiento compartido y vulnerabilidades de la cadena de suministro) que abarcan la gran mayoría de vulnerabilidades conocidas. Los clientes de la nube desempeñan un papel fundamental en la mitigación de la mala configuración y el control de acceso deficiente, pero también pueden tomar medidas para proteger los recursos de la nube de la explotación de las vulnerabilidades de la cadena de suministro y el arrendamiento compartido. Se proporcionan descripciones de cada clase de vulnerabilidad junto con las mitigaciones más eficaces para ayudar a las organizaciones a bloquear sus recursos en la nube. Al adoptar un enfoque basado en riesgos para la adopción de la nube, las organizaciones pueden beneficiarse de forma segura de las amplias capacidades de la nube.

Esta orientación está destinada a ser utilizada tanto por el personal directivo de la organización como por el personal técnico. El liderazgo de la organización puede consultar la sección Componentes de la nube, la sección Actores de amenazas en la nube y la descripción general de Vulnerabilidades y Mitigaciones en la nube para obtener una perspectiva sobre los principios de seguridad en la nube. Los profesionales técnicos y de seguridad deben encontrar el documento útil para abordar consideraciones de seguridad en la nube durante y después de la adquisición del servicio en la nube.

Hoja de información completa de la NSA sobre la mitigación de vulnerabilidades en la nube

CSI-MITIGATING-CLOUD-VULNERABILITIES_20200121

Conclusión

La gestión de riesgos en la nube requiere que los clientes consideren plenamente la exposición a amenazas y vulnerabilidades, no solo durante la adquisición, sino también como un proceso continuo. Las nubes pueden proporcionar una serie de ventajas de seguridad sobre la tecnología local tradicional, como la capacidad de automatizar a fondo los procesos relevantes para la seguridad, incluida la respuesta a amenazas e incidentes. Con una implementación y administración cuidadosas, las capacidades de la nube pueden minimizar los riesgos asociados con la adopción de la nube y permitir a los clientes aprovechar las mejoras de seguridad de la nube. Los clientes deben comprender la responsabilidad compartida que tienen con los proveedores de servicios en la nube (CSP) en la protección de la nube. Los CSP pueden ofrecer contramedidas personalizadas para ayudar a los clientes a endurecer sus recursos en la nube. La seguridad en la nube es un proceso constante y los clientes deben monitorear continuamente sus recursos en la nube y trabajar para mejorar su postura de seguridad.

Leer más en NSA Cybersecurity Advisories and Technical Guidance

Lectura adicional

¿Desafiado por la privacidad? Marco de privacidad del NIST

Un marco para mejorar la ciberseguridad: consideraciones de infraestructura del NIST

Fuente: ComplexDiscovery

Cinco grandes lecturas sobre eDiscovery para octubre de 2020

From business confidence and captive ALSPs to digital republics and mass...

¿Una temporada de cambio? Dieciocho observaciones sobre la confianza empresarial de eDiscovery en el otoño de 2020

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

¿Es hora de más repúblicas digitales? Teniendo en cuenta Estonia

Since 2005, Estonians have been able to vote online, from anywhere...

DISCO recauda $60 millones

According to the media release, DISCO will use this investment to...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guía de compradores de eDisclosure Systems — Edición 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

¿La carrera a la línea de salida? Anuncios recientes de revisión remota segura

Not all secure remote review offerings are equal as the apparent...

¿Activando la exhibición remota de documentos electrónicos? Una instantánea de DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

¿A casa o a distancia? Consideraciones sobre el tamaño del mercado y los precios de la colección eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Revisiones y decisiones? Nuevas consideraciones para eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Una mirada macro al tamaño del mercado de eDiscovery pasado y proyectado de 2012 a 2024

From a macro look at past estimations of eDiscovery market size...

Un Mashup de tamaño de mercado de eDiscovery: 2019-2024 Visión general de software y servicios en todo el mundo

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

¿Una temporada de cambio? Dieciocho observaciones sobre la confianza empresarial de eDiscovery en el otoño de 2020

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

El caso continuo de restricciones presupuestarias en el negocio de eDiscovery

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

¿Cuentas pendientes? Métricas operativas de eDiscovery en el otoño de 2020

In the fall of 2020, eDiscovery Business Confidence Survey more...

¿Sostener el timón? Resultados de la encuesta de confianza empresarial eDiscovery otoño 2020

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

DISCO recauda $60 millones

According to the media release, DISCO will use this investment to...

Rampíva y la fusión de grupos RYABI

According to today's announcement, the RYABI Group merger is Rampiva's first...

Fusiones, adquisiciones e inversiones de eDiscovery en el tercer trimestre de 2020

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Mitratech adquiere agudeza ELM

According to Mike Williams, CEO of Mitratech, “We came to the...

Cinco grandes lecturas sobre eDiscovery para octubre de 2020

From business confidence and captive ALSPs to digital republics and mass...

Cinco grandes lecturas sobre eDiscovery para septiembre de 2020

From cloud forensics and cyber defense to social media and surveys,...

Cinco grandes lecturas en eDiscovery para agosto de 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Cinco grandes lecturas sobre eDiscovery para julio de 2020

From business confidence and operational metrics to data protection and privacy...