Cumplimiento y adopción para empresas que utilizan la nube

De modo que, el cumplimiento de la normativa de la nube se basa en una serie de procedimientos y prácticas que sirven para garantizar que un entorno Cloud se ajusta a uno o más conjuntos específicos de normas de seguridad y privacidad.

Regulaciones más importantes y cómo afectan a la infraestructura de la nube

- PCI DSS: la normativa de seguridad de los datos para el sector de las tarjetas de pago es un conjunto de condiciones de seguridad para los comerciantes que almacenan o procesan datos de titulares de tarjetas en la nube. De no adherirse a las directrices de computación en la nube de PCI DSS, la empresa perderá su capacidad de procesar transacciones de tarjetas de pago.

- HIPAA: regulación dirigida a organizaciones que manejan información médica personal e identificable. La regla de seguridad de la HIPAA del HHS de USA exige a las entidades salvaguardar con medidas administrativas, técnicas, físicas razonables y apropiadas la información sanitaria protegida electrónicamente (e-PHI).

- GDPR: el Reglamento General de Protección de Datos tiene como objetivo  salvaguardar la información personal de las empresas y los individuos en la UE.

¿Qué soluciones necesitan las empresas para cumplir con las regulaciones?

La mayoría de los marcos de cumplimiento describen sus normas en términos relativamente genéricos. Entonces, ¿cómo pueden las empresas estar seguras de que sus datos están blindados en la nube y que cumplen las normativas a las que están suscritas? Deben integrar soluciones de ciberseguridad que protejan al máximo sus entornos de la nube y los datos de sus clientes:

- MFA: la autenticación multifactor es indispensable para que cualquier empresa pueda cumplir con las regulaciones. Según Pulse, el 76% de los encuestados considera esta solución como la más importante de incorporar a la nube para reforzar el cumplimiento.

- Visibilidad: otro requerimiento común es la necesidad de visibilidad y de supervisión del entorno cloud, para este requisito es necesario emplear una solución que facilite la imagen y la realización de informes.

- Firewalls en la nube: esta tecnología debe usarse para cumplir con los requisitos de los marcos de cumplimiento HIPAA y GDPR. Entre sus funciones, se destaca la necesidad de las empresas de cifrar los datos tanto almacenados como en tránsito, además de eliminar la posibilidad de un posible ataque de malware.

- Wi-Fi: en el caso de la HIPAA y la PCI DSS, es importante usar una solución que proteja las conexiones Wi-Fi, pues de no hacerlo, puede ser una vía de entrada a la red para los atacantes. Esto les facilitaría realizar movimientos laterales para acceder a los entornos Cloud donde se encuentran los datos que deben protegerse.

- Protección de información personal: para alcanzar un cumplimiento total de la GDPR, nuestro servicio Data Loss Prevention puede ser un salvavidas en el momento de una brecha de datos accidental, pues detecta e impide la salida de archivos con información personal de la red. Del mismo modo, Data Control supervisa, descubre y clasifica los datos personales de la empresa en los endpoints.

Junto a esto, el concepto de ciberhigiene es clave. Una correcta gestión, actualización y configuración de las herramientas es clave.

Cumplir con las normativas es clave para que las compañías puedan seguir desarrollando su negocio libre de fricciones. Con estas soluciones, las empresas conseguirán estar al día con las normativas, mientras disfrutan de todas las ventajas de la nube sin el temor de verse envueltos en una situación complicada que puede resultar en una pérdida reputacional y económica.

Por Guillermo Fernández, Manager Sales Engineering Iberia en WatchGuard Technologies