Mantener las cargas de trabajo en la nube de forma segura
En el panorama actual de amenazas cibernéticas en constante evolución, con una mayor popularidad de las múltiples nubes, los piratas informáticos nunca han tenido más formas de ingresar a las redes de la empresa. A partir de 2022, el 94 % de las empresas utilizan servicios en la nube.
La confianza en la nube ha crecido en los últimos 12 a 18 meses, con el 35 % de las organizaciones teniendo más del 50 % de sus cargas de trabajo en la nube. Si bien las empresas implementan rápidamente soluciones en la nube a escala, no estamos viendo la misma adopción rápida de medidas preventivas de ciberseguridad para mantener protegida esta superficie de ataque ampliada. De hecho, en el panorama actual de amenazas cibernéticas en constante evolución y la creciente popularidad de las arquitecturas de múltiples nubes, los piratas informáticos nunca han tenido más formas de ingresar a la red de una empresa ni han estado en una mejor posición para lanzar un ataque efectivo.
Todo lo que se necesita es un paso en falso para dejar la puerta abierta de par en par. Por ejemplo, este año, un servidor de Microsoft mal configurado puso en riesgo los datos de 65.000 entidades en todo el mundo. Naturalmente, esto provocó conversaciones sobre lo que las empresas pueden hacer para mantenerse seguras. Especialmente en torno a cómo las empresas deben «desplazarse a la izquierda».
Tradicionalmente, la seguridad se implementa una vez que se ha completado el desarrollo. Esto a menudo genera preocupaciones sobre vulnerabilidades o configuraciones incorrectas que deben abordarse antes de que las aplicaciones entren en funcionamiento. Este conflicto entre la velocidad y la seguridad puede causar fricciones innecesarias, que podrían evitarse si se incorpora la seguridad desde el primer día.
Pero, dado que el 45 % de las empresas carecen de expertos en seguridad calificados, puede ser difícil saber por dónde empezar. Veamos el estado actual de las cosas y cómo las organizaciones pueden proteger mejor sus entornos de nube.
Desafíos comunes de la nube
Los servicios en la nube ofrecen muchos beneficios. Dan a las organizaciones la libertad de escalar hacia arriba o hacia abajo con facilidad; una ventaja que alguna vez estuvo reservada para las empresas más grandes con los bolsillos más profundos. Ahora, puede configurar aplicaciones en la nube con nada más que una tarjeta de crédito. Sin embargo, esa facilidad de implementación no hace que estos entornos sean más fáciles de configurar o proteger y, a menudo, la seguridad en la nube se descarta si ralentiza el proceso.
Otro problema común que encuentro cuando hablo con empresas es que, a pesar de que el enfoque de ‘Desplazamiento a la izquierda’ es un tema de conversación popular, no se está implementando en toda la organización. Por ejemplo, un equipo puede tener escaneos automatizados integrados en la estructura de su práctica de DevOps, mientras que otros equipos verifican manualmente las solicitudes de cambio. Esta variación en los procesos podría introducir un nivel significativo de riesgo.
Reuniéndolo todo
Es necesario que haya coherencia en toda la organización para producir un enfoque conjunto de la seguridad en la nube que se pueda entregar a través de una plataforma de seguridad consolidada.
Hay muchos beneficios al usar una plataforma consolidada que ofrece una vista única de múltiples áreas de riesgo en su estado de nube. Después de todo, si no puede verlo, ¿Cómo va a protegerlo? Una cuenta en la nube podría tener miles de activos diferentes dentro de ella, que van desde almacenamiento general de objetos hasta bases de datos de misión crítica. Si hay una configuración incorrecta o derechos de administrador incorrectos, una sola política podría otorgar inadvertidamente privilegios de acceso a un usuario malintencionado, lo que podría tener consecuencias perjudiciales.
Es importante asegurarse de que la herramienta de su elección tenga una interfaz fácil de usar y ofrezca una forma de navegar fácilmente por los entornos de nube a los que se conecta. Colocar un producto complicado sobre una plataforma en la nube ya compleja solo hará que el trabajo sea más difícil. Busque soluciones que le brinden la flexibilidad de implementar arreglos manuales y automatizados para los problemas que encuentre. Si la herramienta puede integrarse con los servicios y plataformas existentes que utiliza, esto le evitará anular los flujos de trabajo en los que ya ha invertido tiempo y esfuerzo.
También es importante brindar a los empleados, contratistas o consultores la capacitación adecuada sobre cómo prevenir infracciones en su red en la nube. Sin embargo, con las herramientas adecuadas implementadas, ya no tiene que depender demasiado de su fuerza de trabajo dispersa para ser la primera línea de ciberdefensa.
Obtener una aceptación de arriba a abajo en seguridad en la nube
Es esencial presentar los datos de una manera que sea adecuada para la audiencia prevista. A su C-suite no le importará qué versión de un módulo de código abierto está utilizando, o que su cuenta de almacenamiento en cualquier plataforma en la nube tenga una configuración incorrecta de alguna propiedad oscura. Quieren saber qué riesgo representa para el negocio y su capacidad para cumplir con los clientes. Por el contrario, un ingeniero de DevOps no va a encontrar un gráfico que diga «tiene 10 riesgos críticos en su nube», algo sobre lo que pueda actuar y necesitará información más detallada. La creación de interfaces personalizadas para sus datos es esencial para obtener la aceptación del negocio en general. Si la herramienta que le interesa funciona para usted desde un nivel técnico, pero también tiene valor a nivel de gestión, será mucho más fácil obtener la aprobación de dicha herramienta.
Mirando hacia el futuro de la nube
No es una exageración sugerir que estamos en medio de una pandemia cibernética. Para 2025, los pronosticadores anticipan que el delito cibernético infligirá daños por valor de 10,5 billones de dólares estadounidenses al año. Con pérdidas tan grandes en juego, las empresas deben invertir en medidas preventivas para proteger sus propiedades en la nube contra los ataques cibernéticos. Al asegurarse de tener un conjunto de pautas bien definidas sobre lo que es aceptable y lo que está en riesgo, puede implementar reglas automatizadas en redes en expansión y tener la confianza de que sus activos están seguros, sin importar dónde se encuentren.
Fuente: Technology Magazine