11 vulnerabilidades en la nube que mantienen a los clientes despiertos por la noche
A medida que la nube aumenta para abarcar más aplicaciones, datos y procesos corporativos, existe la posibilidad de que los usuarios finales subcontraten también su seguridad a los proveedores. La necesidad de tomar el control de la seguridad y no transferir la responsabilidad final a los proveedores de la nube se está imponiendo entre muchas empresas, según sugiere una encuesta de la industria. La Cloud Security Alliance, que publicó su encuesta de 241 expertos de la industria, identificó problemas de seguridad en la nube «Egregious 11» .
Los autores de la encuesta señalan que muchos de los problemas de seguridad en la nube más apremiantes de este año ponen la responsabilidad de la seguridad en las empresas de usuarios finales, en lugar de depender de los proveedores de servicios. «Nos dimos cuenta de una caída en la clasificación de los problemas tradicionales de seguridad en la nube bajo la responsabilidad de los proveedores de servicios en la nube. Preocupaciones como la denegación de servicio, las vulnerabilidades de tecnología compartida y la pérdida de datos de CSP y las vulnerabilidades del sistema, que aparecieron en el anterior ‘Treacherous 12’ — fueron calificados tan bajo que han sido excluidos en este informe. Estas omisiones sugieren que los problemas de seguridad tradicionales bajo la responsabilidad del CSP parecen ser menos preocupantes. En cambio, estamos viendo una mayor necesidad de abordar los problemas de seguridad. que están situados más arriba en la pila de tecnología que son el resultado de las decisiones de la alta dirección».
Esto se alinea con otra encuesta de Forbes Insights y VMware , que encuentra que las empresas proactivas se resisten a la tentación de entregar la seguridad a sus proveedores de la nube: solo el 31 % de los líderes informan que entregan muchas medidas de seguridad a los proveedores cloud. (Ayudé a diseñar y redactar el informe de la encuesta). Aún así, el 94 % emplea servicios en la nube para algunos aspectos de la seguridad.
El último informe de CSA destaca las principales preocupaciones de este año:
-
- Violaciones de datos. “Los datos se están convirtiendo en el principal objetivo de los ciberataques”, señalan los autores del informe. «Definir el valor comercial de los datos y el impacto de su pérdida es esencial para las organizaciones que poseen o procesan datos». Además, “proteger los datos se está convirtiendo en una cuestión de quién tiene acceso a ellos”, añaden. «Las técnicas de cifrado pueden ayudar a proteger los datos, pero afectan negativamente el rendimiento del sistema y hacen que las aplicaciones sean menos fáciles de usar».
- Configuración incorrecta y control de cambios inadecuado. «Los recursos basados en la nube son muy complejos y dinámicos, lo que dificulta su configuración. Los controles tradicionales y los enfoques de gestión de cambios no son efectivos en la nube». Los autores afirman que «las empresas deben adoptar la automatización y emplear tecnologías que busquen continuamente recursos mal configurados y resuelvan los problemas en tiempo real».
- Falta de arquitectura y estrategia de seguridad en la nube. «Asegúrese de que la arquitectura de seguridad se alinee con las metas y objetivos comerciales. Desarrolle e implemente un marco de arquitectura de seguridad».
- Gestión insuficiente de identidades, credenciales, accesos y claves. «Cuentas seguras, incluida la autenticación de dos factores y el uso limitado de cuentas raíz. Practique los controles de acceso e identidad más estrictos para usuarios e identidades en la nube».
- Secuestro de cuenta. Esta es una amenaza que debe tomarse en serio. «La defensa en profundidad y los controles de IAM son clave para mitigar el secuestro de cuentas».
- Amenaza interna. «Tomar medidas para minimizar la negligencia interna puede ayudar a mitigar las consecuencias de las amenazas internas. Proporcione capacitación a sus equipos de seguridad para instalar, configurar y monitorear correctamente sus sistemas informáticos, redes, dispositivos móviles y dispositivos de respaldo». Los autores de CSA también instan a «concienciar sobre la capacitación regular de los empleados. Proporcione capacitación a sus empleados regulares para informarles cómo manejar los riesgos de seguridad, como el phishing y la protección de los datos corporativos que llevan fuera de la empresa en computadoras portátiles y dispositivos móviles».
- Interfaces y API inseguras. «Practique una buena higiene API. La buena práctica incluye la supervisión diligente de elementos como el inventario, las pruebas, la auditoría y las protecciones contra actividades anormales». Además, «considere el uso de marcos API estándar y abiertos (por ejemplo, Interfaz de computación en la nube abierta (OCCI) e Interfaz de administración de infraestructura en la nube (CIMI))».
- Plano de control débil. «El cliente de la nube debe realizar la diligencia debida y determinar si el servicio en la nube que pretende utilizar posee un plano de control adecuado».
- Fallos en la metaestructura y la appliestructura. «Los proveedores de servicios en la nube deben ofrecer visibilidad y exponer mitigaciones para contrarrestar la falta de transparencia inherente de la nube para los inquilinos».
- Visibilidad limitada del uso de la nube. «La mitigación de los riesgos comienza con el desarrollo de un esfuerzo completo de visibilidad de la nube desde arriba hacia abajo. Exigir la capacitación de toda la empresa sobre las políticas de uso de la nube aceptadas y su aplicación. Todos los servicios en la nube no aprobados deben ser revisados y aprobados por el arquitecto de seguridad de la nube o por un tercero. gestión de riesgos.»
- Abuso y uso nefasto de los servicios en la nube. «Las empresas deben monitorear a sus empleados en la nube, ya que los mecanismos tradicionales no pueden mitigar los riesgos que plantea el uso del servicio en la nube».
Fuente: Znet