¿Qué es la salida de datos? Entrada vs. salida

La definición engañosamente simple de salida de datos es simplemente "datos que salen de una red". Por supuesto, el monitoreo y control de la salida de datos nunca ha sido una cuestión simple. Y en nuestro mundo moderno de comercio electrónico, infraestructuras de TI alojadas en la nube y la creciente amenaza de ciberataques, los profesionales de TI y los gerentes empresariales necesitan por igual una comprensión matizada de la salida de datos, sus costos relacionados y los riesgos de seguridad.

Los costos, por ejemplo, son una preocupación para las empresas con infraestructura de TI en la nube porque los proveedores de servicios en la nube suelen cobrar por la salida de datos, y esos cargos pueden sumar. Las preocupaciones de seguridad de salida de datos, por su parte, se centran en información valiosa o sensible que puede ser transmitida accidentalmente fuera de la red o robada deliberadamente por un agente de amenazas que busca avergonzar a una organización o secuestrar los datos para obtener un rescate.

La dependencia de internet y las aplicaciones móviles significa que la salida de datos y sus riesgos son solo parte de hacer negocios. El monitoreo de estos flujos de datos es esencial para limitar las amenazas financieras y de seguridad.

¿Qué es la salida de datos?

La salida de datos hace referencia a la información que sale de una red, ya sea por correo electrónico, interacciones con sitios web o transferencias de archivos, a contenedores de almacenamiento en la nube u otras fuentes. Así es como las organizaciones modernas se comunican entre sí y con los clientes. A medida que las empresas migran a infraestructuras en la nube y adoptan aplicaciones de software como servicio (SaaS), también consumen estos servicios a través de la salida y entrada de datos. De hecho, a menos que una organización opere una red con espacio aéreo de grado militar que no tenga absolutamente ninguna conexión más allá de sus propios límites, la información fluye constantemente hacia adentro y hacia afuera.

Antes de la llegada de la red pública de internet y la computación en la nube a principios de la década de 1990, las redes corporativas generalmente se cerraban o estaban vinculadas solo a redes que fueron elegidas conscientemente por una organización. Estos enlaces se hicieron a través de líneas de red privadas dedicadas compradas a operadores de telecomunicaciones. En ese momento, los riesgos planteados por la salida de datos estaban totalmente vinculados a la seguridad, es decir, la posibilidad de que se filtre o robe información confidencial.

Ahora, con la mayoría de las redes corporativas expuestas a internet, esos riesgos de seguridad han aumentado exponencialmente. Además, ha surgido un nuevo riesgo de costos porque los proveedores de servicios en la nube cobran por la salida de datos, a veces de maneras contraintuitivas y sorprendentes.

Salida de datos vs. entrada de datos

El concepto tradicional de salida de datos está estrictamente relacionado con los datos que salen de una red corporativa, mientras que la entrada de datos se suele entender como datos no solicitados que entran en una red. Cuando se envía información a la red en respuesta a una solicitud interna, los firewalls normalmente la dejan pasar sin obstáculos. Para proteger la organización, los firewalls generalmente detienen los datos no solicitados a menos que se hayan establecido reglas específicas en sentido contrario.

La economía de la computación en la nube complica este sencillo modelo. Los proveedores de servicios en la nube cobran tarifas por gigabyte por la salida de datos, pero generalmente permiten la entrada de datos sin costo alguno. Además, los servicios en la nube han introducido nuevos conceptos para la salida de datos que, en la práctica, establecen más tipos de límites de red que el perímetro de red corporativo tradicional. Por ejemplo, con Amazon Web Services (AWS), el tráfico en la misma red virtual a menudo se mide y se carga al moverse entre zonas de disponibilidad. Las zonas de disponibilidad hacen referencia a centros de datos en la nube que pueden estar en la misma región geográfica pero que, por ejemplo, tienen diferentes operadores de red y proveedores de energía, por lo que es muy poco probable que fallen al mismo tiempo. Al distribuir recursos en varias zonas de disponibilidad, los proveedores de servicios en la nube pueden minimizar el impacto de los fallos de hardware, los desastres naturales y las interrupciones de red en sus servicios. Sin embargo, aunque las zonas de disponibilidad son en última instancia positivas, las tarifas de salida relacionadas pueden presentar una carga de costos significativa e imprevista, especialmente cuando una empresa migra por primera vez a la nube.

En cuanto a la supervisión y la seguridad, es importante perfilar tanto la entrada como la salida de datos. Si bien el tráfico de entrada desconocido suele ser bloqueado por los firewalls, perfilar ese tráfico puede proporcionar información útil sobre amenazas para los equipos de seguridad. Debido a la naturaleza y la prevalencia de los firewalls, el monitoreo de la entrada es común. Sin embargo, muchas menos organizaciones supervisan la salida de datos con la misma atención. El firewall y la limitación del tráfico de salida a objetivos conocidos pueden limitar el impacto de los ataques y proporcionar protección contra el malware.

Conclusiones clave

• La salida de datos representa un riesgo de costo para los clientes en la nube y un riesgo de seguridad para todas las organizaciones.
• Las fugas de datos confidenciales pueden plantear riesgos financieros y organizativos significativos.
• La supervisión cuidadosa de la salida de datos puede ayudar a gestionar y optimizar el gasto en la nube al tiempo que detecta ataques maliciosos desde el principio.
• Los firewalls se pueden configurar para limitar el tráfico entrante y saliente a ubicaciones conocidas y de confianza.
• Las herramientas de prevención de pérdida de datos (DLP) ayudan a identificar y clasificar los datos confidenciales y a aplicar controles adicionales para evitar la salida de datos no autorizada.

Explicación de la salida de datos

La salida de datos es una constante que debe gestionarse cuidadosamente en términos de seguridad y costo. Por ejemplo, si una empresa comparte su catálogo de productos en un sitio web orientado al cliente, los datos tienen que salir de la red interna donde se mantiene el catálogo y recorrer internet para llegar al navegador donde el cliente está viendo el sitio. Ya sea que una empresa comparta datos con subsidiarias o socios o interactúe con los clientes a través de internet, siempre habrá algún volumen de datos que salga de la red de la empresa.

Para las empresas que han trasladado una parte o la totalidad de sus infraestructuras de TI a la nube, cualquier movimiento de datos puede generar costos de salida de datos en la nube en función de su proveedor y el diseño de sus aplicaciones.

Más allá del gasto, la salida de datos también plantea el riesgo de exponer información confidencial a destinatarios no autorizados o no deseados. Las organizaciones deben vigilar las actividades maliciosas de agentes de amenazas externos mientras se mantienen alerta ante ataques internos, como la filtración de datos por parte de "insiders". La protección de una organización contra estos ataques requiere un enfoque integral que incluya un diseño de red sólido, supervisión continua y arquitecturas de aplicaciones en la nube correctamente configuradas. Normalmente, las organizaciones limitarán la salida de datos mediante firewalls y supervisarán el tráfico saliente en busca de anomalías o actividades maliciosas. Los grupos de seguridad de TI también pueden tomar medidas para restringir las transferencias de datos de gran volumen y bloquear destinos de salida específicos.

El monitoreo efectivo requiere una comprensión profunda de los patrones de tráfico normales y cómo difieren durante un ataque o un incidente de filtración de datos. También puede ser un verdadero desafío para las organizaciones de TI. La forma más común de supervisar el tráfico de salida de datos es revisar y analizar los archivos de registro de los dispositivos de red en el borde de las redes on-premises o en la nube. Sin embargo, el gran volumen de tráfico de esos dispositivos hace que sea una tarea ardua para los administradores. Muchas empresas utilizan herramientas de gestión de eventos e información de seguridad (SIEM) para comprender mejor las amenazas. Las herramientas SIEM suelen incluir información sobre patrones de amenazas conocidos, cumplimiento normativo y actualizaciones automatizadas para adaptarse a las nuevas amenazas. Si bien la implementación de sistemas SIEM no es un proceso simple, hacerlo puede mejorar la comprensión de una organización de los patrones de salida de datos, lo que permite a los equipos de seguridad identificar ataques mucho antes.

Por ejemplo, un aumento repentino en la salida de datos podría indicar un ataque de filtración de datos, donde un agente de amenazas exporta grandes cantidades de datos a un host o servicio externo. Del mismo modo, la supervisión y el control cuidadosos de los patrones de salida de datos pueden ayudar a identificar el malware que ya está presente dentro de una red corporativa, ya que trata de buscar más instrucciones de su red de comando y control. Muchos de los ataques de ransomware modernos intentan extraer grandes volúmenes de datos para extorsionar fondos de una organización antes de cifrar esos datos. Herramientas como DLP, sistemas de análisis de tráfico de red como rastreadores de paquetes y análisis de comportamiento del usuario para detectar patrones anormales pueden ayudar a TI a hallar la filtración. El filtrado de salida, donde el departamento de TI supervisa el tráfico saliente y bloquea lo que se considera malicioso, también ayuda a mitigar estos riesgos.

Más allá de los firewalls, las organizaciones también utilizan el software DLP para protegerse contra la filtración de datos. Estas herramientas emplean técnicas como catalogar y etiquetar datos con etiquetas de sensibilidad, cifrado y auditoría para evitar que información confidencial salga de la red.

Amenazas de salida de datos en la nube

Además de elevar los costos de la nube, una salida de datos considerable puede indicar varios tipos de amenazas, como un ataque de exfiltración de datos por parte de un agente de amenazas o malware que se desplaza lateralmente dentro de una red corporativa a través de comunicaciones de subred.

• Tarifas de salida de datos ilimitadas: los proveedores de servicios en la nube pueden cobrar por la salida de datos por gigabyte. Los cargos varían según el tipo de servicio en la nube y la distancia de la ubicación de destino desde la red o el segmento de red de origen. El exceso de tarifas de salida de datos se puede originar en algunas fuentes diferentes. Los más comunes son las configuraciones erróneas de aplicaciones que sitúan recursos con mucho tráfico de red en regiones geográficamente distantes y los sistemas híbridos público-privados en los que los servicios en la nube envían constantemente grandes volúmenes de datos a los computadores on-premises.
• Tarifas de salida del servicio de almacenamiento en la nube: los servicios de almacenamiento en la nube se suelen utilizar para alojar activos del sitio web, como imágenes o documentos, y las tasas pueden aumentar sorpresivamente rápido. Estos servicios aplican dos capas de cargos de salida: un conjunto para lecturas y escrituras en la cuenta de almacenamiento, y otro si las operaciones de lectura atraviesan regiones o salen a internet.
• Rendimiento de aplicación deficiente: las aplicaciones configuradas para enviar tráfico de red en la nube entre regiones tendrán una latencia de extremo a extremo alta. Si bien no es un problema de seguridad o de presupuesto visto superficialmente, esto crea una experiencia de usuario subóptima, lo que en última instancia podría afectar los ingresos.
• Ataques de filtración de datos internos: se debe investigar cualquier información interna que intente exportar grandes volúmenes de datos corporativos de la red. Un ejemplo típico sería un vendedor descontento que exporta una lista de clientes de una base de datos de la compañía a una hoja de cálculo personal.
• Ataques de exfiltración de datos de agentes de amenazas externas: una táctica que utilizan con frecuencia los agentes de amenazas externas es minimizar la posibilidad de detección temprana infiltrándose en una red con malware básico. Una vez dentro, el malware puede conectarse a un sitio de comando y control externo para descargar software y expandir su ataque o filtrar datos corporativos.
• Transferencia de datos no cifrada: cuando la información confidencial se transfiere sin cifrado, puede ser interceptada y explotada por actores maliciosos. Esto puede conducir a impactos financieros o de reputación significativos para una organización.
• Problemas de residencia y cumplimiento de datos: en función del país o sector de una organización y de la sensibilidad de sus datos, la salida de datos a otras regiones podría plantear riesgos legales y de cumplimiento. Estos pueden incluir problemas de residencia de datos, ya que algunos países requieren legalmente que ciertos tipos de datos permanezcan dentro de límites geográficos específicos.

7 mejores prácticas de seguridad para la gestión de la salida de datos en la nube

Las organizaciones pueden mitigar los riesgos de seguridad relacionados con la salida de datos de varias maneras, como la realineación de los servicios en la nube para limitar el tráfico saliente. Muchas organizaciones utilizan las siguientes siete mejores prácticas para controlar y gestionar mejor los riesgos de seguridad de la salida de datos:

1. Utilizar un firewall para controlar el tráfico saliente: la mayoría de las organizaciones utilizan firewalls para limitar el tráfico entrante. Y muchas menos utilizan sus firewalls para controlar estrictamente el tráfico saliente, incluso para las redes de servidores donde residen los datos más sensibles. Los administradores de red también deben controlar estrictamente el tráfico saliente, lo que fortalece la supervisión y los controles de seguridad.
2. Crear una política de salida de datos: establecer una política que limite el acceso del usuario a los servicios preaprobados, especialmente para las redes en las que se almacenan datos confidenciales, limita la posibilidad de ataques de filtración de datos.
3. Utilizar SIEM para supervisar el tráfico de red: es imposible que un administrador de red revise todo el tráfico de todos los dispositivos gestionados en una red grande. Gracias a la automatización impulsada por reglas establecidas por el administrador y la tecnología de aprendizaje automático e IA, una herramienta SIEM puede ayudar a identificar ataques antes y proporcionar niveles adicionales de protección.
4. Utilizar DLP para categorizar, etiquetar y proteger activos de datos confidenciales: al igual que SIEM, DLP también utiliza aprendizaje automático para inspeccionar datos, comprender el contexto, confrontarlos con políticas de salida de datos establecidas y bloquear transferencias de datos que podrían violar esas políticas.
5. Control de acceso a datos confidenciales: una vez que las ubicaciones de los activos de datos más confidenciales se han identificado y catalogado mediante DLP, los administradores de red pueden acotar aún más los controles de acceso para esos juegos de datos.
6. Cifrar datos confidenciales: el cifrado puede proporcionar una última línea de defensa contra ataques de filtración de datos. Si la información se cifra en tránsito y en reposo, los datos permanecerán ilegibles si se filtran sin la clave de cifrado adecuada.
7. Implementar un plan de respuesta a incidentes: en caso de ataque o violación de datos, tener un plan de respuesta claramente definido puede acelerar el tiempo de respuesta de una organización y aumentar su eficacia general. Al igual que un plan de recuperación ante desastres, un plan de respuesta a incidentes debe ser aprobado por un ejecutivo y probado regularmente mediante ejercicios de simulación para que todos comprendan su rol.

Ten en cuenta que estas prácticas no son soluciones puntuales separadas, sino que dependen unas de otras. Por ejemplo, el elemento de categorización de datos de DLP y la creación de una política de salida informarían tanto las configuraciones de firewall como la configuración de control de acceso.

Cómo reducir los cargos de salida de datos en la nube

Los cargos por salida de datos pueden generar algunas sorpresas costosas al principio del proceso de migración a la nube de una organización, por lo que es importante supervisar los costos diarios de salida de datos en la nube para garantizar que estén dentro del presupuesto e investigar si no lo están. Todos los proveedores de nube pública admiten alertas vinculadas al gasto, por lo que los costos de salida de datos se pueden supervisar de la misma manera que el uso de CPU de una máquina virtual. Sin embargo, la supervisión es solo el primer paso para reducir el costo de la salida de datos en la nube. Estos son algunos consejos para reducir los costos de salida para las aplicaciones en la nube.

• Mantener los recursos en la nube en la misma región: aunque puede parecer de sentido común, es posible que algunos servicios estén disponibles en algunas regiones en la nube y no en otras, lo que puede provocar costosos despliegues entre regiones.
• Reducir el gasto de efectivo con el almacenamiento en caché: el almacenamiento de datos en caché en memoria cerca de la aplicación puede eliminar los recorridos de ida y vuelta a las bases de datos y los servicios de almacenamiento.
• Adquirir líneas privadas dedicadas: las conexiones de red privadas directas ofrecen precios de transferencia de datos más bajos, a veces incluso una tarifa plana al mes para una salida de datos ilimitada, según el proveedor de la nube.
• Uso de redes de entrega de contenido (CDN): de forma similar, las aplicaciones pueden utilizar CDN para almacenar en caché activos web, como imágenes, documentos y videos, más cerca de los usuarios. Además de reducir los costos de salida de datos, emplear CDN generalmente resulta en una mejor experiencia de navegación para los usuarios.
• Comprimir el tráfico de red cuando sea posible: el uso de la compresión de datos siempre que el tráfico de red viaje entre regiones o zonas de disponibilidad también puede reducir los costos. Por ejemplo, al replicar una base de datos de alta actividad en otra región para soportar la recuperación ante desastres, los costos de CPU de comprimir y descomprimir esos datos pueden ser mucho más bajos que los costos potenciales de salida de datos.
• Desplegar desduplicación: en particular para los procesos de copia de seguridad, el uso de la desduplicación junto con la compresión puede reducir aún más el volumen de datos que se transfieren, lo que reduce los costos.
• Rearquitectura de aplicaciones: la revisión de las aplicaciones existentes para convertirlas en nativas de la nube puede reducir los costos de salida al mejorar la eficiencia con la que utilizan los datos.

Si bien estos cambios pueden requerir una inversión única significativa para implementar, en última instancia, pueden reducir las facturas recurrentes en la nube, lo que resulta en un fuerte retorno del costo inicial y una mejor gestión de los costos de nube. Si las tarifas de salida de datos suponen una gran parte de los costos de la nube de tu organización, dar prioridad a estos cambios frente a otros proyectos de ingeniería podría ser una ganancia neta.

Reducir los costos de salida de datos con Oracle

Diferentes proveedores de nube cobran diferentes cantidades por la salida de datos. Incluso con un único proveedor de nube, los modelos de precios de salida de datos pueden variar entre servicios individuales. La reducción de la complejidad y el costo general de la salida de datos se encontraban entre las principales consideraciones de Oracle a la hora de crear Oracle Cloud Infrastructure (OCI). Si se siguen estos principios desde el comienzo, Oracle ha podido ofrecer precios globales para varios servicios en la nube y costos de salida de datos mucho más bajos que otros proveedores, incluidos Amazon Web Services (AWS) y Google Cloud.

Las tasas de salida de datos más bajas de OCI permiten a las empresas mover volúmenes significativos de datos entre regiones de nube, ya sea internamente o a sus clientes. Por ejemplo, los clientes de OCI en Norteamérica y Europa pagarían 783 dólares por 100 terabytes (TB) de datos salientes a ubicaciones en la red pública de internet, en comparación con alrededor de 8000 dólares para los usuarios de AWS y Google Cloud. Los clientes que compran una línea privada dedicada de 10 gigabits por segundo de OCI FastConnect pagan una tarifa plana de USD 918 al mes por una salida de datos ilimitada; suponiendo una utilización del 50 % de esa línea (1.620 TB transferidos), el costo equivalente en una línea privada de AWS Direct Connect sería de USD 34 020.

Los precios de salida de datos de OCI son un gran diferenciador para las organizaciones que crean servicios en la nube que requieren un gran ancho de banda. Las aplicaciones a gran escala que aprovechan estas tarifas incluyen transmisión de video en vivo, videoconferencia y juegos.

Para evaluar cuál sería la salida de datos de tu organización y otros costos en la nube como cliente de Oracle Cloud, utiliza la calculadora de costos de OCI.

La salida de datos sin restricciones puede suponer un riesgo financiero y de seguridad para las organizaciones. Implementar una aplicación que no sea nativa de la nube o esté mal diseñada puede llevar a costos de salida de datos no controlados y a una seguridad inadecuada que pone a las organizaciones en riesgo de filtración de datos y ataques de ransomware.

Por lo tanto, es importante limitar, fortalecer y monitorear el tráfico saliente de una red de la compañía. En resumen, las organizaciones deben controlar hacia dónde pueden viajar sus datos y buscar patrones anómalos. Las mejores prácticas para las organizaciones de seguridad de red incluyen la implementación de un buen plan de respuesta a incidentes y el uso de tecnologías SIEM y DLP. Además, elegir el proveedor de nube adecuado para sus requisitos y diseñar o rediseñar aplicaciones teniendo en cuenta los costos de salida de datos puede contribuir significativamente al ROI de la nube de una organización.

Preguntas frecuentes sobre la salida de datos

¿Qué es el costo de salida de datos?

Además del costo de los recursos informáticos y de almacenamiento, los proveedores de nube también facturan por la salida de datos. Aunque estos costos pueden variar según el proveedor de nube, generalmente se cobran en función de gigabytes por los datos que viajan entre regiones de la nube, zonas de disponibilidad, o a internet o redes on-premises. Las tarifas de salida de datos también pueden diferir según el lugar de destino y el proveedor de nube. Pueden reducirse comprimiendo datos, aprovechando las redes de distribución de contenido y colocando datos para limitar el tráfico entre regiones.

¿Qué es la salida de datos en la computación en la nube?

La salida de datos se define como los datos que van de una red a otra, pero el término adquiere una mayor complejidad en la computación en la nube. Con máquinas virtuales y redes, el tráfico de red estándar entre regiones de la nube o zonas de disponibilidad se considera salida de datos. Además, los datos que viajan desde la nube de regreso a redes on-premises o a internet también se miden como salida de datos.