La computación en la nube fue el salvavidas que mantuvo a muchas empresas en funcionamiento durante la pandemia. Pero fue un caso clásico de medicina que viene con serio efectos secundarios.
Tener acceso a datos y aplicaciones en cualquier lugar y en cualquier momento brinda a las empresas una gran flexibilidad en un mundo que cambia rápidamente, además de los medios para escalar y personalizar la TI a voluntad. La nube es un activo o una actualización en casi todos los sentidos.
Con una excepción evidente: la ciberseguridad.
La nube prometía hacer que las empresas fueran más seguras y que la seguridad fuera más sencilla. Sin embargo, durante el mismo período en que la nube se hizo cargo de la informática, los ataques cibernéticos empeoraron constantemente, mientras que los equipos de seguridad se sintieron cada vez más abrumados.
¿Por qué?
Lo explicaremos en breve. Para los equipos de seguridad lean, la pregunta más importante es cómo hacer que la seguridad en la nube funcione, especialmente porque la huella de la nube crece (mucho) más rápido que los recursos de seguridad. ¿La nube siempre ensombrecerá la ciberseguridad?
No con la estrategia descrita en un libro electrónico gratuito de Cynet llamado «La guía Lean IT para la seguridad en la nube«. Explica cómo los equipos de seguridad con menos de 20, 10 o incluso 5 miembros pueden hacer que la seguridad en la nube funcione de ahora en adelante.
Tormentas avecinándose en la nube
La «fiebre de la nube» provocada por la pandemia ciertamente llamó la atención de los piratas informáticos. Ataques a servicios en la nube aumentó 630% en 2020 y superó los ataques locales para el primera vez. El aumento repentino en la adopción de la nube explica parte de ese repunte: la nube era un objetivo más grande que antes. Pero esto realmente no tuvo nada que ver con la pandemia.
Era solo cuestión de tiempo antes de que los piratas informáticos comenzaran a apuntar implacablemente a la nube, lo que ahora les cuesta a las empresas $ 3,8 millones en promedio con cada incumplimiento exitoso.
Para los piratas informáticos, las nubes son objetivos principales, más atractivos que casi cualquier otro.
Por un lado, las nubes albergan enormes almacenes de datos valiosos junto con aplicaciones de misión crítica. Es donde viven los objetivos valiosos, por lo que son un vector de ataque obvio, incluso inevitable.
Por otro lado, las nubes complican o comprometen muchas de las defensas cibernéticas que ya existen, mientras que vienen con sus propios requisitos defensivos complicados. Muchos entornos de nube terminan siendo inseguros, lo que los convierte también en un vector de ataque fácil.
Mientras los piratas informáticos sigan viendo las nubes como igualmente vulnerables y valiosas, la avalancha de ataques solo empeorará. Los daños también lo harán.
Dar sentido al modelo de responsabilidad compartida
Una gran razón por la que las brechas de seguridad en la nube son tan comunes (y tan abiertas) se debe a la forma única en que abordamos la ciberseguridad en la nube.
La mayoría de los proveedores de nube confían en el modelo de responsabilidad compartida, donde las responsabilidades de seguridad se dividen entre el proveedor y el cliente.
Por lo general, los clientes manejan la responsabilidad de los datos, la protección de puntos finales y la gestión de identidades y accesos. Los proveedores se ocupan de los controles de aplicaciones y redes, la infraestructura del host y la seguridad del servidor físico (los acuerdos de uso compartido varían).
La investigación muestra consistentemente que los clientes están confundidos acerca de lo que es y no es su responsabilidad. Pero incluso entre aquellos que no están confundidos, la línea divisoria entre las responsabilidades puede (y ha dado) lugar a disputas contenciosas o lagunas de seguridad a la espera de que los piratas informáticos las encuentren.
Por problemático que pueda ser el modelo de responsabilidad compartida, es una práctica estándar. Además, puede ser una gran ventaja aprender sobre los equipos de seguridad en particular, siempre que conozcan sus responsabilidades… y elijan al socio adecuado.
La seguridad en la nube comienza con la selección del proveedor
Para bien o para mal, el modelo de responsabilidad compartida obliga a los clientes de la nube a formar asociaciones de seguridad con sus proveedores. Y algunos proveedores son mejores que otros.
La investigación minuciosa de cualquier proveedor de la nube debe ser un requisito previo, pero eso requiere tiempo por parte del evaluador y transparencia por parte del proveedor. Certificaciones como STAR Nivel 2 verifican las credenciales de seguridad de un proveedor, pero algunas empresas van un paso más allá y contratan servicios de gestión de riesgos para evaluar una nube en particular. En cualquier caso, el objetivo es obtener pruebas independientes y objetivas de que el proveedor se toma en serio la seguridad.
Al seleccionar un proveedor, seguir su guía de seguridad (al pie de la letra) no podría ser más importante. No hacerlo ha causado más de unos pocos ataques en la nube. Los equipos Lean pueden realizar mejoras importantes en la seguridad de la nube, a menudo sin costo alguno, simplemente haciendo lo que dice el proveedor.
Las piezas clave para los equipos de seguridad Lean
Elegir el proveedor/socio adecuado resuelve una gran parte del rompecabezas de la seguridad en la nube. Dicho esto, las responsabilidades importantes y en curso aún recaen enteramente en el equipo de seguridad. Estos pueden ser los puntos débiles que abren la puerta a los ataques en la nube, pero las herramientas adecuadas abordan cada una de las responsabilidades clave que enfrentan los clientes de la nube, y los proveedores adecuados integran más de esas herramientas en las plataformas para consolidar la seguridad en la nube de una forma manejable.
En el libro electrónico gratuito «La guía Lean IT para la seguridad en la nube«, Cynet describe cómo se ve el conjunto de herramientas de seguridad en la nube óptimo, junto con cómo los equipos de seguridad eficientes pueden aprovechar fortalezas similares sin aumentar el personal ni aumentar los gastos de seguridad.
El libro electrónico ofrece una guía efectiva para la seguridad en la nube para el muchos empresas que luchan por proteger su TI más importante. Sin embargo, por diseño, también es un marco práctico y accesible diseñado para ayudar a los equipos de seguridad de cualquier tamaño a asegurar implementaciones en la nube de cualquier tamaño.
Si la seguridad en la nube recae sobre sus hombros, use la guía de Cynet para lograr el máximo impacto con la mínima inversión.