No se puede negar que proteger las aplicaciones y los datos en un espectro cada vez más diverso de entornos informáticos resulta un desafío. Por un lado, los líderes empresariales de hoy están bajo constante presión para innovar y mantenerse al día ante un mercado en rápida evolución. Por otro lado, la seguridad representa una constante piedra en el zapato en una época en la que grandes vulneraciones de datos aparecen en los titulares casi todos los días. Pero si bien los detractores pueden descartar las tecnologías en la nube como disruptivas e intrínsecamente menos seguras que la informática interna tradicional, pierden de vista un aspecto importante.
La realidad es que, por lo general, el problema no es la nube en sí misma. Como ocurre con casi todas las vulneraciones de datos, el elemento humano suele ser el culpable. Esto podría incluir factores como evaluaciones de riesgo ineficientes, controles de acceso mal administrados, redundancia de datos deficiente y muchas otras amenazas, la mayoría de las cuales provienen de la empresa misma. El error conceptual extendido de que la nube es la fuente de estos desafíos es la razón por la cual el software como servicio aún no se ha convertido en una forma establecida y confiable de hacer negocios en muchas partes del mundo.
Disipando el mito de la inseguridad de la nube
Dejemos algo bien claro: los principales centros de datos de nube del mundo, operados por empresas como Amazon, Google y Microsoft, son algunos de los entornos más seguros del planeta. Esto realmente no debería sorprendernos, ya que estas empresas son algunas de las más poderosas del mundo. Tienen acceso a recursos financieros, experiencia y tecnología de vanguardia a un nivel que pocas empresas sueñan tener. No solo tienen controles físicos 24/7, como guardias de seguridad, video-vigilancia y cercas perimetrales similares a las de una prisión de máxima seguridad, también ofrecen controles administrativos y técnicos para proteger de los hackers a los datos que están bajo su cuidado.
La seguridad y la integridad de la información son el núcleo de lo que hacen estos grandes proveedores de tecnología, por lo que se esfuerzan por eliminar cada punto de falla con redundancias incorporadas y recuperaciones automáticas. Distribuyen los datos con ayuda de muchas máquinas diferentes situadas en muchas ubicaciones diferentes para protegerlos de amenazas como desastres naturales y fallas en el hardware.
La nube ofrece potencialmente una seguridad mejorada desde una perspectiva administrativa al reducir la necesidad de contar con capas de seguridad controladas por el cliente. Algunos proveedores de nube y proveedores de colocación de servidores también ofrecen un centro de operaciones de seguridad (SOC) completamente subcontratado, el cual es ideal para las pequeñas empresas que a menudo son blanco de amenazas como estafas de phishing y publicidad maliciosa. Incluso en los casos en los que la migración a la nube no proporciona una mejora en la seguridad de la información, la gran reducción en gastos de capital puede ofrecer un mayor control financiero para invertir en seguridad.
Entonces, ¿de dónde provienen las amenazas?
Ahora, no estoy diciendo que los centros de datos más grandes del mundo son fortalezas impenetrables, pero son lo más parecido a ello. ¿Por qué entonces vemos titulares con grandes vulneraciones de los datos, dirigidas a los activos comerciales digitales alojados en la nube?
El eslabón más débil no es la tecnología, son las personas. Este suele ser el caso cuando se manejan entornos de nube complejos e híbridos en los que las empresas utilizan una combinación de infraestructuras públicas (como Amazon Web Services (AWS)) y una nube privada local o alojada consolidada en una red de área extensa (WAN). Sin embargo, con el enfoque correcto, la nube híbrida ofrece muchos beneficios, como la disminución de los costos de capital y una mayor flexibilidad.
Estas son las principales amenazas a la seguridad en la nube híbrida que usted deberá superar:
Derechos de acceso mal administrados
Una de las mayores ventajas de los recursos alojados en la nube es que son accesibles desde cualquier dispositivo que cuente con conexión a Internet. Este también puede ser su mayor inconveniente en una época en que los ataques de ingeniería social dominan el mundo del delito cibernético. Después de todo, los ciberdelincuentes no siempre son hackers estereotipados que observan las líneas de código que cruzan el monitor. En vez de ello, dependen cada vez más de tácticas de subterfugio y manipulación para alentar a sus víctimas a entregar información confidencial, como sus detalles de inicio de sesión. Las tácticas de ingeniería social a menudo se utilizan para poner a funcionar su código malicioso.
Para superar estos riesgos, los administradores de TI deben aplicar la autenticación multifactorial (MFA) para reducir la dependencia a las contraseñas. De esta manera, aquellos que acceden al sistema, en particular desde un dispositivo o red desconocidos, deben verificar sus identidades con un método de autenticación secundario. Esto podría consistir en un escaneo de huellas digitales o un token de seguridad temporal, como un código SMS. Dado que el método de verificación secundaria es dinámico o es una característica innata del usuario (como un escaneo de retinas o una huella digital), estará mucho mejor protegido de los ataques de ingeniería social.
API desprotegidas
Las implementaciones de la nube híbrida dependen de las interfaces de programación de aplicaciones (API) para garantizar la interoperabilidad entre las diferentes infraestructuras, como los centros de datos internos, los recursos de la nube pública y las nubes privadas alojadas. Estos sirven como conductos para garantizar el flujo continuo de datos entre los dos sistemas, con el fin de brindar a los usuarios finales una experiencia fluida. Pero cuando no están protegidas, estas API de endpoint pueden dejar expuestos los datos confidenciales. Esta vulnerabilidad a menudo se explota cuando los datos se transmiten entre dispositivos y conexiones inseguros. Otros ataques pueden explotar las API mal configuradas para obligar al sistema a hacer algo que lo comprometa. Por ejemplo, los atacantes comenzaron a explotar las API de Kubernetes mal configuradas para emitir comandos a las mismas. Al hacerlo, descargaron y ejecutaron una carga maliciosa desde el exterior.
Dado que las API son, en la práctica, puertas de enlace (puntos de acceso a una aplicación o servicio en la nube pública), los administradores de TI deben tomar medidas adicionales para proteger los datos que pasan a través de ellas. La forma más fácil de protegerlas es garantizar que los datos nunca dejen un endpoint sin cifrar. De esta forma, incluso si un hacker tiene en sus manos los datos expuestos por una vulnerabilidad en la API, no tendrán utilidad para él. Tomaría 3×1051 años descifrar los algoritmos de cifrado AES-256 actuales sin conocer la clave de cifrado, tiempo en el que incluso el hacker más joven y paciente podría darse por vencido.
Terceros no seguros
En los entornos de la nube híbrida, sus proveedores son una fuente adicional de riesgo. 181 proveedores externos acceden a la red empresarial promedio cada semana, a causa de los cual dos tercios de las empresas sufren vulneraciones de los datos vinculadas con alguno de sus proveedores. Desafortunadamente, algunos proveedores de la nube no son claros cuando se trata de factores críticos como la propiedad y el manejo de los datos. Es posible que no tengan los controles necesarios para garantizar que sus datos se mantengan seguros durante su migración a la nube o cuando se alojan en sus propios servidores.
Para reducir los considerables riesgos planteados por terceros, las empresas deben investigar cuidadosamente a los proveedores de la nube con los que elijan trabajar. Los gerentes empresariales deben verificar siempre los controles de la seguridad y la propiedad de los datos, y garantizar que todo esté claramente definido en sus acuerdos de nivel de servicio (SLA). Es necesario saber exactamente qué hace el proveedor con sus datos, qué controles de acceso y permisos tienen implementados y qué recursos ofrecen si algo sale mal. Idealmente, cualquier acuerdo debe ser revisado por un abogado antes de firmarlo.
Vulnerabilidades en el cumplimiento de las normas
Incluso si cuenta con todas las medidas de seguridad disponibles al migrar sus datos a la nube pública, aún queda pendiente la cuestión del cumplimiento normativo. Muchas normas para el procesamiento de datos, por ejemplo, requieren que los datos que pertenecen a ciudadanos de un país específico se almacenen dentro del mismo territorio. De alguna manera, esto contradice el espíritu de la nube como un ambiente informático descentralizado y distribuido. Para complicar aún más las cosas, la mayoría de los proveedores de la nube no pueden garantizar la ubicación física de sus datos, aunque hay algunas excepciones: AWS, por ejemplo, puede funcionar en modo regional para evitar mover sus datos fuera del territorio.
Afortunadamente, las implementaciones de la nube híbrida son ideales para industrias altamente reguladas, ya que proporcionan un mayor control sobre dónde se almacenan físicamente los datos. Por ejemplo, un proveedor de atención médica sujeto a las regulaciones HIPAA e HITECH podría mantener la información de salud del paciente (PHI) en una nube privada, como un centro de datos interno o una instalación de colocación de servidores. Una empresa compatible con la RGDP podría hacer lo mismo para garantizar que los datos de sus clientes permanezcan dentro de la UE y a la vez trasladar sus aplicaciones comerciales a la nube. A fin de cuentas, el modelo híbrido brinda más control sobre dónde se almacenan sus datos y cómo están protegidos.
Computación en la nube híbrida: el primer paso para innovar a escala
La clave para implementar con éxito la nube híbrida es un enfoque de seguridad que brinde a los administradores de TI una visibilidad completa de sus activos digitales. Con ayuda de las soluciones de administración y las capas de software adecuadas, las empresas pueden crear un único entorno consistente que incorpore lo mejor de ambos mundos. Una implementación de la nube híbrida no es más o menos segura que la virtualización local, pero, si se le da el enfoque correcto, puede ser aún más segura. Todo lo que se necesita para comenzar es seleccionar un producto de seguridad en la nube que sea escalable y adaptable a sus necesidades.