Los riesgos de seguridad en la nube siguen siendo muy humanos
La mayoría de nosotros imaginamos las amenazas a la seguridad en la nube como malos actores en algún país hostil. Más a menudo, son usted y sus compañeros de trabajo.
Hable sobre seguridad en la nube y es probable que discuta problemas centrados en el proveedor: no hay suficiente seguridad, no hay suficiente auditoría, no hay suficiente planificación. Sin embargo, los mayores riesgos de seguridad en la nube siguen siendo las personas que caminan a tu lado en los pasillos. Según el último informe «Principales amenazas para la computación en la nube» de Cloud Security Alliance en el sitio web HealthITSecurity , las llamadas aterradoras provienen del interior de la casa.
Basado en una encuesta de más de 700 profesionales de la seguridad cibernética, el informe mostró que las 11 amenazas principales para la seguridad en la nube incluyen interfaces y API inseguras, configuraciones incorrectas, falta de una arquitectura y estrategia de seguridad en la nube, así como la divulgación accidental de la nube. Las amenazas reales no son los malos actores sentados en un almacén abandonado; es Mary en contabilidad, Robert en TI de inventario, incluso Susan en seguridad de TI.
Los investigadores notaron que la visión actual sobre la seguridad en la nube ha trasladado la responsabilidad de los proveedores a los adoptantes. Si le pregunta a los proveedores que siempre han promovido un modelo de «responsabilidad compartida», siempre han requerido que los adoptantes asuman la responsabilidad de la seguridad en su lado de la ecuación. Sin embargo, si encuesta a los trabajadores de TI y a los usuarios comunes, estoy seguro de que señalarán a los proveedores de la nube como los pilares de una buena seguridad en la nube.
También es interesante ver que las vulnerabilidades tecnológicas compartidas, como la denegación de servicio, la pérdida de datos de los proveedores de servicios de comunicaciones y otros problemas tradicionales de seguridad en la nube, obtuvieron una clasificación más baja que en estudios anteriores. Sí, siguen siendo una amenaza, pero las autopsias de las infracciones revelan que las vulnerabilidades de la tecnología compartida ocupan un lugar mucho más bajo en nuestra lista de preocupaciones.
El mensaje central es que las vulnerabilidades reales no son tan emocionantes como pensábamos. En cambio, la falta de una estrategia de seguridad y una arquitectura de seguridad ahora encabezan la lista de «no-nos» de seguridad en la nube. El segundo lugar fue la falta de capacitación, procesos y verificaciones para evitar errores de configuración, que considero con mayor frecuencia como las causas fundamentales de la mayoría de las infracciones de seguridad. Por supuesto, estos problemas tienen un vínculo directo. La falta de planificación y arquitectura de seguridad son parte de las razones por las que se producen errores de configuración en primer lugar.
En el fondo del asunto está la falta de recursos. Los problemas de seguridad en la nube surgen cuando las empresas no están dispuestas o no pueden gastar el dinero necesario para un plan de seguridad adecuado. Además, igual de importante, las organizaciones necesitan capacitar continuamente a las personas sobre los procedimientos de seguridad adecuados hasta que sea una segunda naturaleza. Esto debe ser continuo y junto con un cambio en la cultura de una mentalidad de seguridad de «mayor confianza» a una «confianza cero».
El personal de TI aún encuentra notas adhesivas con ID de usuario y contraseñas en toda la empresa y, a menudo, descubre que los recursos de la nube se aprovechan de formas no autorizadas. Suena absurdo, pero sé de instancias en las que los hijos de los líderes de TI usaban sistemas informáticos y de almacenamiento en la nube pública para completar las tareas. Vi que esto sucedió más de una vez, en más de unas pocas empresas. Desearía estar bromeando.
Afortunadamente, las soluciones a los problemas de seguridad del sistema son fáciles de definir: más recursos y un mayor enfoque en la seguridad de la nube. Dicho esto, no se puede simplemente arrojar tecnología al problema. La solución requiere un plan de seguridad sólido que definirá lo que se debe hacer durante al menos los próximos cinco años para proteger sus sistemas.
A menudo es más difícil definir cómo debe cambiar la cultura y luego implementar los cambios. Todo el entrenamiento del mundo no servirá de mucho si se trata de una cultura de apatía.
Siempre es bueno culpar a otros por las deficiencias del sistema. Eso no es posible esta vez, y no será el caso en el futuro. Es hora de comenzar a abordar sus problemas de seguridad mirándose en el espejo.
Fuente: InfoWorld