El factor humano culpable de la mayoría de los problemas de seguridad en la nube
Los seres humanos son un problema mayor para la seguridad en la nube de lo que pensamos. A continuación, se explica cómo lidiar con los riesgos ambulantes del robo de datos en la nube.
El factor humano pone en riesgo la seguridad en la nube
Un estudio de Ponemon e IBM indica que los servidores en la nube mal configurados causan el 19% de las filtraciones de datos . Este es un problema costoso con un coste promedio de medio millón de dólares por infracción. Esta cifra no considera la potencial pesadilla de relaciones públicas que podría acabar con la empresa.
El teletrabajo y el trabajo híbrido nos hace a todos más dependientes de la computación en la nube. Además de sus otros beneficios, la nube ofrece medidas de seguridad más modernas que las plataformas locales, por lo que Global 2000 dio un rápido impulso a las nubes públicas. Esta rápida migración dio lugar a errores o descuidos que aún no se han corregido, ya que la velocidad de conversión pasó a ser más una prioridad que la precaución.
¿Cuál es la causa principal de este problema de «apuros» en la seguridad en la nube? ¿Cómo podemos reducir el número de errores de configuración? Desearía poder culpar de esto a algún rasgo en particular o identificar un error común, pero la realidad es que los humanos son defectuosos e impredecibles en sus defectos. Aunque podemos reducir la cantidad de errores o descuidos que ocurren, nunca se pueden eliminar por completo.
La noción de confianza cero puede contener la respuesta. El resultado final de la confianza cero es solo eso: no confíes en nada ni en nadie. Todos y todo deben ser verificados, incluidos los servicios de seguridad en la nube que a menudo están mal configurados. Debido a que todo se vuelve a verificar constantemente, el riesgo de una infracción disminuye a medida que la seguridad se vuelve más rigurosa.
Si confiamos en los humanos para configurar correctamente los recursos y servicios de la nube, lo que elimina todo el riesgo que se puede eliminar, alrededor del 20 % de esas configuraciones de seguridad en la nube aún estarán mal configuradas. La noción de aplicar el concepto de confianza para tratar con humanos es definir a los humanos como casi nunca dignos de confianza.
Ahora estamos en un punto en el que podemos darnos el lujo de automatizar toda la seguridad. Esto incluye verificar las configuraciones y volver a verificar las configuraciones con frecuencia, además de ser proactivo en el uso de identidades, cifrado, administración de claves y autenticación de múltiples factores.
La mayoría de las personas que administran la seguridad desconfían un poco de este tipo de rigor, quizás porque da miedo ceder el control de la seguridad en la nube a la automatización. Lo que es más aterrador es la cantidad de errores de configuración causados por humanos que probablemente aumentarán a medida que nuestras implementaciones en la nube se vuelvan más complejas y heterogéneas. En comparación con los 500.000 dólares por incidente, la justificación para gastar el dinero en rigor de seguridad nos permite salir airosos.
¿La llamada a la acción? Retire a los humanos de los procesos de seguridad y automatice tanto como sea posible. Como mínimo, valide y verifique todo el trabajo manual y hágalo con frecuencia. A la larga, pasar de «confiar pero verificar» a confianza cero es mejor para las personas, ya que todos pueden conservar sus trabajos.
Fuente: InfoWorld