La computación en la nube significa grandes oportunidades y grandes amenazas
Asegurarse de que los servicios en la nube sean seguros es más complicado de lo que piensa.
Cambiar las aplicaciones y la infraestructura a los servicios de computación en la nube puede hacer la vida más fácil de alguna manera, no significa automáticamente que pueda renunciar a toda la responsabilidad de mantener seguros los datos de su organización.
La computación en la nube continúa creciendo a un ritmo fantástico, a pesar de que existe desde hace bastante tiempo. Los datos más recientes del analista de tecnología Gartner muestran que el mercado de infraestructura como servicio creció más del 40 % el año pasado y señaló que «la nube nativa se convierte en la arquitectura principal para las cargas de trabajo modernas «.
Entonces, tal vez no sorprenda que la seguridad en la nube sea el segmento de más rápido crecimiento del mercado de la seguridad , con un gasto que saltó de $ 595 millones en los EE. UU. en 2020 a $ 841 millones el año pasado, en gran parte porque las empresas están descubriendo que es un tema más complicado de lo que creían.
La mayoría de las empresas utilizan múltiples servicios y proveedores de nube, un enfoque híbrido que puede admitir opciones de seguridad granular donde los datos vitales se mantienen cerca (quizás en una nube privada) mientras que las aplicaciones menos confidenciales se ejecutan en una nube pública para aprovechar las economías de escala de las grandes tecnologías. .
Pero el modelo híbrido también presenta nuevas complicaciones, ya que cada proveedor tendrá un conjunto ligeramente diferente de modelos de seguridad que los clientes de la nube deberán comprender y administrar.
Eso requiere tiempo y experiencia (a menudo difícil de alcanzar) en múltiples sistemas de proveedores de nube. Y también es un entorno dinámico; las aplicaciones y los datos a menudo se cambian entre dentro y fuera de las instalaciones y entre servicios en la nube, todos los cuales son oportunidades para errores y fugas de datos.
Todo esto puede ampliar la superficie de amenazas de la empresa , al tiempo que dificulta que las organizaciones garanticen que sus activos están protegidos. Como resultado, los servicios mal configurados ocupan un lugar destacado en la lista de causas fundamentales de los incidentes de seguridad, junto con fallas aún más básicas, como contraseñas y controles de identidad deficientes.
Según una investigación reciente, la mitad de las empresas habían experimentado algún tipo de violación de seguridad en la nube en los últimos 12 meses, mientras que casi una de cada tres se había visto obligada a emitir una notificación de violación a una agencia gubernamental, cliente, socio o empleados según el investigación de Tales.
No sorprende que las empresas estén evaluando herramientas para automatizar gran parte de esto.
Eso está generando interés en nuevas tecnologías, como las herramientas de administración de posturas de seguridad en la nube (CSPM), que pueden ayudar a los equipos de seguridad a detectar y solucionar posibles problemas de seguridad relacionados con la mala configuración y el cumplimiento en la nube, para que sepan que se aplican las mismas reglas en sus servicios en la nube. .
Otra área de crecimiento ha sido Cloud Access Security Brokers (CASB) , que también tiene como objetivo garantizar que las políticas de seguridad de una empresa se cumplan en toda su cartera de servicios. Otras tecnologías de seguridad en las que los usuarios de la nube están interesados, según la investigación de la industria, incluyen la confianza cero, la inteligencia artificial y el aprendizaje automático. Sin embargo, muchas tecnologías que prometen mejorar la seguridad en la nube aún se encuentran en una etapa temprana.
Nada de esto quiere decir que la nube sea intrínsecamente menos segura. De hecho, debido a que los proveedores de la nube tienen la escala para invertir en habilidades y capacidades que están más allá del alcance de la mayoría de los clientes, es probable que los servicios y las aplicaciones en la nube sean más seguros que los alojados por empresas para las que la tecnología está lejos de ser su principal competencia.
Pero además de observar las innovaciones técnicas, también vale la pena examinar los niveles de servicio y la comprensión que ofrecen los proveedores de servicios en la nube en primer lugar. El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido tiene un buen conjunto de principios generales para la seguridad informática en la nube que vale la pena considerar y que pueden ayudarlo a juzgar la postura de seguridad de un proveedor. Hay 14 principios en total, que incluyen:
- Sus datos deben estar protegidos contra la manipulación y el espionaje mientras transitan por las redes internas y externas a la nube.
- Un cliente malicioso o comprometido del servicio no debería poder acceder o afectar el servicio o los datos de otro.
- El servicio debe operarse y administrarse de manera segura para impedir, detectar o prevenir ataques, mediante la administración de vulnerabilidades, el monitoreo de protección, la configuración y la administración de cambios.
- Si el personal del proveedor de servicios tiene acceso a sus datos y sistemas, necesita un alto grado de confianza en su confiabilidad y las medidas técnicas implementadas que auditan y restringen las acciones de ese personal.
- Los servicios en la nube deben diseñarse, desarrollarse e implementarse de manera que minimicen y mitiguen las amenazas a su seguridad, incluido un ciclo de vida sólido de desarrollo de software.
- Todas las interfaces externas o menos confiables del servicio deben identificarse y defenderse adecuadamente, incluidas las API externas, las consolas web y las interfaces de línea de comandos.
- Debe poder identificar incidentes de seguridad y debe tener la información necesaria para saber cómo y cuándo ocurrieron. El servicio deberá proporcionarle información de auditoría y emitir alertas de seguridad cuando se detecten intentos de ataque.
Desarrollar la postura de seguridad correcta es difícil: algunas empresas se preocupan por los grupos de piratería sofisticados, otras luchan para evitar que el personal use ‘1234’ como contraseña.
Fuente: ZDNET