¿Tiene mala reputación la seguridad en la nube?
Ahora parece justo etiquetar la seguridad en la nube como arriesgada, aunque sus datos probablemente estén más seguros allí que en las instalaciones.
El reciente discurso sobre la seguridad de la computación en la nube en el sector bancario, resaltado por el artículo de Nicholas Fearn en el Financial Times , pinta un panorama un tanto sombrío del panorama de la ciberseguridad cuando se trata de bancos que migran a la computación en la nube. No quiero referirme solo a este artículo, pero lo he visto como una tendencia en los últimos años, ya que el valor de la computación en la nube se ha cuestionado cada vez más. Este es un cambio con respecto a hace apenas unos años, cuando estaba prohibido criticar “la nube”.
La migración a la nube a menudo se presenta como un arma de doble filo. Ofrece importantes beneficios en términos de escalabilidad, eficiencia y ahorro de costes, al mismo tiempo que expone a las instituciones financieras a nuevas vulnerabilidades y ciberamenazas. Sin embargo, esta narrativa puede simplificar demasiado las complejidades de la seguridad en la nube y pasar por alto el contexto más amplio de la ciberseguridad.
Conceptos erróneos sobre la seguridad en la nube
La noción de que la computación en la nube disminuye inherentemente la seguridad es una generalización que no tiene en cuenta los avances en los protocolos y prácticas de seguridad dentro de la industria de la nube. El hecho es que los proveedores están gastando mucho más en desarrollar e implementar sistemas de seguridad para la nube que en sistemas locales tradicionales. Este aumento del gasto proviene de los propios proveedores de nube pública, así como de los creadores de herramientas de seguridad de terceros. Por lo tanto, la tecnología de seguridad en la nube suele ser mucho mejor que las opciones locales.
Los proveedores de servicios en la nube son muy conscientes de su responsabilidad de mantener una seguridad sólida. Estas empresas invierten mucho en investigación de seguridad, desarrollo de tecnologías seguras y certificaciones de cumplimiento que a menudo superan a las de muchos otros sectores comerciales. De hecho, la naturaleza centralizada de los servicios en la nube permite actualizaciones más rápidas y una implementación más uniforme de parches de seguridad, una ventaja significativa sobre los sistemas de TI descentralizados tradicionales.
Entonces, ¿por qué se escriben estos artículos? Si observa la arquitectura de los proveedores de nube pública, sus datos se encuentran en grupos de servidores físicos, pero no tiene idea de dónde están realmente esos servidores físicos. Esta incertidumbre genera temor de que la seguridad sea un problema ya que no puedes tocar tus servidores. Esto es más una percepción mental que un verdadero problema de seguridad.
Las habilidades técnicas son otra causa básica. El artículo señala que las configuraciones incorrectas son las amenazas de seguridad más comunes para los sistemas basados en la nube. Eso, por supuesto, es una cuestión humana: las personas, no los proveedores de nube pública, son las que configuran mal las configuraciones de seguridad, y esto permite violaciones. Aunque no se puede culpar a los proveedores de la nube por eso, la industria sí lo hace. Por supuesto, existen las mismas amenazas en los sistemas locales, quizás más que en la nube. Simplemente se pasa por alto porque las aterradoras historias de seguridad sobre los proveedores de la nube parecen más… bueno, aterradoras.
¿Culpa fuera de lugar?
El artículo sugiere que los ciberdelincuentes que explotan las vulnerabilidades y las malas configuraciones de la nube están generando mayores riesgos. Sin embargo, estos problemas pueden indicar desafíos más amplios en las prácticas de ciberseguridad de las propias empresas en lugar de fallas inherentes a la computación en la nube.
También es importante diferenciar entre las capacidades de seguridad de varios proveedores de servicios en la nube. No todas las nubes son iguales. Los principales proveedores, como AWS, Google Cloud y Microsoft Azure, ofrecen funciones de seguridad muy sofisticadas que pueden adaptarse a las necesidades de las empresas. Es posible que los proveedores más pequeños no ofrezcan el mismo nivel de seguridad, lo que podría distorsionar la percepción de riesgo cuando se habla de seguridad en la nube en términos generales. Por cierto, esto no significa que los pequeños proveedores no tengan una seguridad efectiva, sólo que no se invierte tanta inversión en sus sistemas de seguridad.
Otro aspecto que se pasa por alto en el debate es el papel de los modelos híbridos en los que las empresas tienen infraestructuras tanto locales como basadas en la nube. Este enfoque permite a las empresas almacenar sus datos más confidenciales en servidores locales privados y al mismo tiempo disfrutar de la flexibilidad y escalabilidad de la nube para operaciones menos confidenciales.
Por último, el artículo aborda las posibles amenazas futuras de la computación cuántica, que en teoría podría romper los métodos de cifrado actuales. Esta es una consideración futura que afectaría todos los aspectos de la seguridad digital, no sólo los sistemas basados en la nube. Créame, los proveedores de la nube ya están trabajando en métodos de cifrado a prueba de cuánticos para proteger los datos contra amenazas emergentes.
Si bien los riesgos de seguridad asociados con la computación en la nube son importantes, es crucial mantener una perspectiva equilibrada. Nunca he sido un apologista de las plataformas de computación en la nube, ni de ninguna otra plataforma. Cuando se trata de seguridad, debemos comprender exactamente cuáles son los problemas y cómo pueden mitigarse. Últimamente, los proveedores de nube pública han tenido mala reputación, quizás sin ninguna razón válida. No podemos permitir que eso empañe nuestra evaluación de las plataformas para alojar nuestras aplicaciones y datos.
Fuente: InfoWorld