Como hemos observado, con la disrupción que vivimos desde hace más de 2 años, una importante cantidad de empresas e instituciones alrededor de todo el mundo, han tenido que recurrir a los servicios de la nube.
Hemos atestiguado su agilidad y los servicios asociados que puede proporcionar. Las organizaciones necesitan la capacidad de adaptarse rápidamente y acceder a herramientas y sistemas de forma remota, haciendo de la nube, la solución inevitable para ese momento. Sin embargo, la pregunta que surge es: ¿están adaptando sus estrategias de seguridad digital para mantener el ritmo de adopción de dicha solución?
Aunque la seguridad en la nube es esencial para la nueva realidad empresarial, la adopción rápida y ad hoc de nuevas funciones, también puede abrir puertas para los ciberatacantes, ya que los problemas básicos de supervisión de su protección (incluyendo la gobernanza, las vulnerabilidades y las configuraciones incorrectas), siguen siendo los principales factores de riesgo que las organizaciones deben abordar para ayudar a blindar operaciones en la nube.
¿Qué es la seguridad de la nube?
Para comprender mejor su relevancia, comencemos por definir qué es: es una disciplina de la ciberseguridad dedicada a fortalecer los sistemas informáticos en la nube. Incluye, mantener los datos, tanto privados como protegidos, a través de la infraestructura, las aplicaciones y las plataformas en línea. Resguardar estos sistemas implica los esfuerzos de los proveedores de este servicio y de los clientes que los utilizan, ya sea que se trate de una persona, o bien, de una pequeña, mediana o gran empresa.
Los proveedores de asistencia en la nube alojan los servicios en sus servidores a través de conexiones de Internet siempre activas. Debido a que su negocio depende de la confianza de los clientes, se utilizan métodos de defensa, para que su información se mantenga privada y almacenada de forma segura. No obstante, esto también está parcialmente en manos del cliente. Comprender ambas caras es esencial para obtener buenos resultados al respecto.
¿Qué comprende esta actividad de seguridad de la nube?
En resumen, las categorías que abarca son:
- Seguridad de los datos
- Gestión de identidades y accesos (IAM, por sus siglas en inglés)
- Gobernanza (políticas de prevención, detección y mitigación de amenazas)
- Planificación de la retención de datos (DR) y la continuidad del negocio (BC)
- Cumplimiento legal
A pesar de los avances en esta materia, se siguen detectando vulnerabilidades. En este sentido, hay 3 factores que pueden aumentar las posibilidades de que los empleados dejen abierta la puerta principal de su infraestructura sin darse cuenta:
1.- Impulsar agresivamente nuevos códigos y características
¿Cuánta presión se ejerce sobre los desarrolladores el que deban entregar un código nuevo? Cuando se pone demasiado énfasis en obtener características y códigos, estos profesionales pueden provocar, inadvertidamente, cambios en la configuración. Por ejemplo, si crean constantemente nuevas máquinas virtuales (VM) para probar algún código nuevo y los configuran manualmente, generan más oportunidades de errores.
Los desarrolladores que, regularmente, realizan pequeños cambios en el código de producción (como abrir puertos de comunicación adicionales para nuevas funciones de la aplicación), frecuentemente, producen soluciones alternativas para evitar el lento proceso de obtener privilegios de administrador.
2.- Mayor interconectividad de las aplicaciones
Cuantas más conexiones tenga con terceros o entre componentes de una aplicación, mayores serán las posibilidades de una configuración problemática. Los errores más comunes de la API incluyen autorizaciones rotas a nivel de objeto, de usuario y de función.
Exponer demasiada información en ellas, también puede dar pistas a los piratas informáticos sobre cómo descifrar su código. Asimismo, las aplicaciones en contenedores nativos de la nube pueden representar una amenaza, ya que una grieta no intencional en un solo de ellos, puede permitir que un delincuente informático acceda a todo el software.
3.- Complejidad de la infraestructura en la nube
La complejidad de la arquitectura de la nube tiene un significativo impacto, en lo que a riesgos por mala configuración se refiere.
Una nube de un solo inquilino presenta un peligro limitado, porque nadie más tiene código en la misma máquina que el usuario en cuestión. Solo debe concentrarse en asegurarse de que la máquina esté configurada correctamente.
En entornos de múltiples inquilinos, el riesgo aumenta a medida que el entorno debe configurarse para asegurarse de que un ciberdelincuente no esté ejecutando un código en una VM, en la misma máquina.
Donde la amenaza se vuelve exponencialmente mayor es en las arquitecturas multinube o en las híbridas, cuando el código y los datos se almacenan y procesan en una variedad de lugares diferentes. Para que estas piezas funcionen juntas, deben crear una red de conexiones complejas en la web, lo que presenta muchas más oportunidades para cometer costosos errores.
¿Qué hacer para minimizar el riesgo al usar la nube?
Para minimizar el riesgo que presentan los errores de configuración, las organizaciones deben asegurarse de que ésta sea verificada constantemente y se identifiquen los errores. Éstas son algunas formas de llevarlo a cabo:
- En sistemas menos complejos, con arquitecturas de nube más simples y poca presión por nuevas funciones, las comprobaciones manuales periódicas pueden ser suficientes.
- A medida que las pilas se vuelven más conectadas y complejas y los procesos manuales no se pueden escalar, los desarrolladores pueden crear scripts automatizados para corroborar problemas de configuración comunes y conocidos. Aunque esto puede funcionar en situaciones en las que la complejidad y la conectividad son limitadas, si se crea accidentalmente una vulnerabilidad, un pirata informático podría explotarla antes de ejecutar un análisis.
- En organizaciones muy complejas con una alta probabilidad de error de conformación, un enfoque de monitoreo constante puede ser prudente para controlar, continuamente, las configuraciones de la nube.
En la actualidad, muchas corporaciones que se mudan a la nube, buscan soluciones para garantizar su protección. Y, a pesar de que muchos proveedores ofrecen plataformas que monitorearán constantemente sus propios sistemas, en busca de problemas de configuración incorrecta, estas soluciones, generalmente, no funcionan bien para arquitecturas híbridas o multinube.
Dado que cada sistema implementa las cosas de diferente forma y usa su propia terminología, una solución de terceros diseñada para supervisar múltiples nubes puede ser una opción más viable.
Independientemente de cómo elija una organización protegerse de las vulnerabilidades de seguridad en la nube, las que adoptan una infraestructura moderna y procesos de desarrollo de aplicaciones más flexibles, también deben adoptar posturas de seguridad más modernas.
Esperamos que usted y su empresa estén protegiendo adecuadamente un activo tan importante, como lo es su información y la de sus clientes.
Fuentes de Consulta:
¿Qué es la seguridad en la nube? (s/f). ¿Qué es la seguridad en la nube? Kapersky. Recuperado de: https://www.kaspersky.es/resource-center/definitions/what-is-cloud-security
Frazzeto, A. (Marzo 18, 2022). 3 factors impacting your cloud security. CIO. Recuperado de: https://www.cio.com/article/306112/3-factors-impacting-your-cloud-security.html
Macor, D. (Septiembre 9, 2020). ¿Los negocios en la nube están listos para protegerse? Segurilatam. Recuperado de:
https://www.segurilatam.com/tecnologias-y-servicios/ciberseguridad/seguridad-en-la-nube-los-negocios-en-la-nube-estan-listos-para-protegerse_20200903.html