La seguridad de las aplicaciones y de la nube es una responsabilidad compartida
Los entornos de nube y la conectividad de aplicaciones se han convertido en una parte fundamental de las iniciativas de transformación digital de muchas organizaciones. De hecho, casi el 40 % de las empresas con sede en América del Norte y Europa han adaptado plataformas de nube específicas para su sector en los últimos años. Pero ¿por qué las organizaciones están recurriendo ahora a estas soluciones?
Tendencias que están influyendo en la situación actual
Soluciones de código bajo o sin código
Debido a la falta de habilidades para el desarrollo de software, nos hemos visto obligados a idear nuevas formas de desarrollar aplicaciones. El desarrollo ciudadano, por ejemplo, alienta a los empleados sin formación en TI a convertirse en desarrolladores de software mediante el uso de plataformas de código bajo o sin código (LCNC) aprobadas por TI para crear aplicaciones comerciales.
Componibilidad
También conocidas como arquitectura “plug-in-play”, las empresas componibles representan la transición de suites de tecnología monolíticas y desarrollo de software basado en código a ecosistemas interconectados de múltiples aplicaciones intercambiables.
Microservicios
Este enfoque arquitectónico para el desarrollo de software toma lo que alguna vez fue una aplicación muy grande (piense en Microsoft Word ) y lo divide en muchos servicios más pequeños (estilo de fuente, formato de página, etc.). Esto permite a los desarrolladores modificar y reimplementar estos pequeños servicios de una manera más eficiente en términos de tiempo.
A pesar de la creciente popularidad de estas tendencias, es fundamental recordar que cada vez que una organización adopta un nuevo entorno o trabaja con un proveedor de nube en particular, es inevitable que surjan riesgos de seguridad y no siempre es responsabilidad de los proveedores mitigarlos.
¿Qué tormentas tendrás que capear en las nubes?
Las tres tendencias tienen algo en común: aumentan las conexiones y generan dependencias entre una mayor cantidad de aplicaciones que podrían residir en cualquier parte de una nube. Cuando los desarrolladores deben lidiar con conexiones complejas de aplicaciones en diferentes nubes y aplicaciones que dependen de otras aplicaciones o servicios, tienden a perder de vista la seguridad en aras de la velocidad y la comodidad.
Este simple “error” puede desbaratar cadenas de suministro enteras. Al fin y al cabo, la explotación de un pequeño eslabón puede romper toda la cadena. Pero ¿qué ocurre cuando falta un eslabón? ¿Qué ocurre si faltan varios eslabones y no se limitan a la cadena de suministro? ¿Qué ocurre si incluyen servicios de seguridad?
Muchas estrategias de seguridad de aplicaciones y de la nube tienen puntos débiles. Las empresas creen que tienen una sólida valla de malla alrededor de su red, pero es posible que les falten controles críticos (eslabones de la cadena) que permiten que los actores de amenazas entren sin problemas. Hoy en día, la mayoría del software pasa por un proceso de cinco o seis pasos antes de convertirse en una aplicación activa en la web. Una forma en que las aplicaciones modernas están trabajando para mitigar estos riesgos de seguridad es automatizando las herramientas que escanean en busca de fallas y vulnerabilidades en las aplicaciones a medida que avanzan por el proceso.
Por otro lado, debido a la importancia de la multicloud y la enorme complejidad de la infraestructura en la nube, es difícil tener visibilidad de todas las diferentes cargas de trabajo en la nube que se ejecutan en su entorno, y mucho menos protegerlas. Hay muchos controles de la nube y de las aplicaciones que pueden pasarse por alto debido a la confianza que las empresas depositan en sus proveedores de la nube. Las empresas pueden creer que AWS supervisa el manejo de las políticas de administración de identidades y acceso, o que Azure administrará la clasificación de datos, pero para muchas, esa creencia conduce a una falsa sensación de seguridad. Entonces, ¿Quién tiene la responsabilidad de garantizar la seguridad de las aplicaciones de producción?
La seguridad de la nube y de las aplicaciones es responsabilidad de todos: no hay muchas opciones
Muchos clientes de la nube empresarial cometen el error de creer que no tienen ninguna obligación en lo que respecta a la seguridad de las aplicaciones, y las implementan en la nube, exponiéndose a brechas de seguridad en las uniones de las infraestructuras de la empresa y del proveedor de la nube. La seguridad integral siempre ha requerido que la empresa sea responsable y proactiva en sus defensas de seguridad, pero el hecho es que las empresas están realmente obligadas a compartir la responsabilidad.
La seguridad de la nube y de las aplicaciones abarca todo el ecosistema de personas, procesos, políticas y tecnología que sirven para proteger los datos que operan en él, pero la seguridad de aspectos como la clasificación de datos, los controles de red y la seguridad física necesitan propietarios claros. El modelo de responsabilidad compartida para la seguridad en la nube proporciona un desglose claro de quién debe hacer qué.
En el pasado, los CISO de las empresas tradicionales utilizaban centros de datos locales, que podían protegerse con un cortafuegos que monitoreaba el tráfico. Tenían control total de su departamento de seguridad, pero perdieron parte de ese control una vez que se trasladaron a la nube. Ahora se ven obligados a confiar en la seguridad que ofrece el proveedor de la nube. Sí, estos proveedores ofrecen mucha seguridad integrada, pero no cubren todo.
Los proveedores de seguridad de aplicaciones y de la nube de la actualidad ofrecen muchos servicios y descubrir cómo configurarlos o comprender sus perímetros de seguridad puede ser un desafío increíble, ya que requiere habilidades y capacitación especiales. ¡Y eso solo si las empresas trabajan con una nube comercial!
Se recomienda encarecidamente a los equipos de seguridad que hagan su tarea: aprovechen los recursos para familiarizarse con los servicios de seguridad que su proveedor de nube podría no cubrir o proporcionar de la manera que mejor se adapte a su empresa. Investiguen y hagan preguntas o conversen con sus colegas. Determinen dónde pueden estar sus brechas y verifiquen que su arquitectura las cubra.
Fuente: Helpnet Security