Jakub Jirsák - stock.adobe.com
Cuatro consideraciones fundamentales para la protección de entornos de nube
Conforme continúe la migración a la nube, se requiere un nuevo enfoque de seguridad para reducir el riesgo de ataques y de exposición de los datos hospedados en esta plataforma.
Para competir efectivamente y crecer en un entorno que nunca permanece estático, las organizaciones buscan constantemente desarrollar atributos como la agilidad, la velocidad y la accesibilidad. Y lo están haciendo mediante la adopción del cómputo en la nube, que se ha posicionado como la plataforma que combina tecnología, gestión, economía de escala y resiliencia, convirtiéndose en un pilar esencial de las empresas modernas.
Es evidente que la nube tiene hoy un tremendo impacto en todos los aspectos del negocio. Las organizaciones que ya han avanzado en su camino hacia la nube reportan avances importantes en áreas como la productividad y la innovación al facilitar el acceso a cargas de trabajo, aplicaciones y herramientas de colaboración desde cualquier lugar y a través de cualquier dispositivo.
De acuerdo con datos de IDC, el 62% de las empresas de América Latina ya ha hecho uso de alguna solución de nube pública, con la nube híbrida como la tendencia principal. En México, dicho porcentaje se ubica en el 56%. Esta firma de investigación de mercado proyecta que en 2023, la nube crecerá en la región 30.4%.
Conforme continúe la migración a la nube, se requerirá un nuevo enfoque de seguridad que se extienda hacia esa plataforma a fin de reducir el riesgo de ataques y exponer los datos hospedados en ella. En su Reporte de Ciberseguridad 2022, Check Point Research indica que los ciberdelincuentes se están enfocando en explotar las vulnerabilidades en los dispositivos perimetrales y remotos para así tener acceso a aplicaciones cloud a fin de abrirse paso hacia a las redes extendidas.
En materia de protección, la nube requiere políticas y controles que deben alinearse con las políticas corporativas de ciberseguridad de la información. Es esencial considerar esto siempre, pues muchas organizaciones piensan que un entorno de nube se implementa dentro de la infraestructura de seguridad del proveedor, lo que en realidad no siempre es el caso.
El génesis de la seguridad en la nube
Con el propósito de reforzar la seguridad de la nube desde el principio, ya sea ésta pública, privada, híbrida o multinube, y proteger los activos de información empresariales, los equipos a cargo de su protección pueden partir a partir de un minucioso análisis de cuatro consideraciones fundamentales.
La seguridad es una responsabilidad compartida. Por mucho tiempo, las organizaciones han creído que es el proveedor de servicios de nube el que debe proveer todos los mecanismos de seguridad. Aunque es cierto que éste se encargará de proteger algunos aspectos de este entorno, la organización que contrata sus servicios también debe asumir parte de esa responsabilidad.
La seguridad de la nube debe ser un esfuerzo coordinado entre el cliente y el proveedor. Por tanto, éste último es responsable de mantener un acceso seguro a la nube y lo que hay dentro de ella, mientras que las empresas son las responsables de la seguridad de los datos que hospedados y de las credenciales para tener acceso a las aplicaciones, cargas de trabajo y sistemas operativos.
Fugas de datos y amenazas internas. Los mayores peligros para la nube provienen del interior de las organizaciones. Estas amenazas internas se originan a partir de la mala gestión de los procesos de autenticación y autorización, y de la distribución descontrolada de credenciales. Es por ello que los equipos de TI deben asegurarse de que éstas sólo estén en manos de los colaboradores indicados, quienes tienen que ser capacitados sobre cómo utilizarlas y protegerlas.
Hay que tener presente que los datos pueden perderse o ser extraídos de la instancia de almacenamiento en la nube por diversas razones, como brechas de seguridad y ciberataques. De ahí la importancia de contar además con una estrategia de recuperación que permita recobrar los activos de información que pudiesen haberse perdido.
El nivel de riesgo de los modelos de consumo de la nube. Con la adición de más modelos de consumo de nube –tales como software como servicio (SaaS), infraestructura como servicio (IaaS) o plataforma como servicio (PaaS)– se eleva la presión a la infraestructura de seguridad de una organización. Y es que a medida que más de esos modelos se incorporan, se eleva paralelamente el riesgo para la seguridad.
Por lo tanto, estos mecanismos de consumo deban monitorearse de forma continua y detallada para tener un panorama completo de qué es lo que se utiliza, cuánto y dónde. De no conocer a detalle del consumo de nube, es fácil terminar pagando más y, en consecuencia, poner en serio riesgo al negocio.
Las amenazas se multiplican y se vuelven más sofisticadas. La evolución de la nube es constante. En contraste, cuanto más sofisticada se vuelve, también lo hacen las amenazas que la acechan. Las amenazas avanzadas tienen en la mira a los entornos de nube y los servicios asociados, lo que significa que hay que estar siempre a la defensiva.
Una de las mayores amenazas para la seguridad de la nube radica en las vulnerabilidades de las APIs, junto con el malware y los servicios de nube mal configurados. Las aplicaciones de nube logran interactuar mediante APIs, y muchas organizaciones confían plenamente en ellas.
Desafortunadamente, no siempre es posible asegurarlas con éxito. Los atacantes pueden explotar APIs inseguras mediante ataques de negación de servicio (DoS) e inyecciones de código, y lograr acceder a los datos de las empresas. Asimismo, con la implementación del trabajo remoto, se suman nuevas amenazas a la ciberseguridad para los entornos de nube y locales.
Suma de fuerzas
Las organizaciones deben migrar a la nube analizando cada paso, aprendiendo y fundamentando cada decisión. Uno de los aspectos más relevantes del proceso de proteger la nube es recordar que se trata de unir fuerzas con los miembros del ecosistema cloud para ser más robustos, de modo que se diseñe una estrategia efectiva de ciberseguridad para la nube que se adapte y evolucione junto con la organización.
Sobre el autor: César Tovar es Marketing & Business Development de Sidian Security en México. César tiene más de 20 años de experiencia en consultoría y ventas de productos y servicios de la industria TIC. Antes de Sidian, César colaboró en empresas como Select, Alestra, Alcate-Lucent, IDC y Avantel.