En los últimos 18 meses el uso de aplicaciones en la nube se ha disparado y una organización de entre 500 y 2.000 empleados utiliza una media 805 aplicaciones en la nube diferentes, según la última edición de Netskope Cloud and Threat Report (julio de 2021). Se trata de un nivel sorprendente de riesgos que los CISO deben asumir, y aunque el reto a priori parece insuperable, ya que los empleados introducen aplicaciones en la nube en modo Shadow IT más rápido de lo que se tarda en bloquearlas, no tiene por qué ser así. He aquí cinco consejos para los CISO que quieren controlar la seguridad en la nube.
1) Colaboración entre áreas para incorporar la seguridad por diseño
Con la proliferación del uso de aplicaciones en la nube, los departamentos de seguridad y de TI corporativos deben colaborar estrechamente para convertir la seguridad en una prioridad.
En este contexto, y para superar las limitaciones de las arquitecturas de protección basadas en dispositivos -a la hora de proteger los datos, las aplicaciones y los usuarios que se encuentran en movimiento fuera de su perímetro- la seguridad debe ser incorporada por diseño. Centrada en los datos, la seguridad por diseño se basa en la no existencia de un perímetro donde los usuarios, los dispositivos y los datos puedan residir de forma segura, y apunta a una protección que llegue dondequiera que estos estén.
Este enfoque, que suele denominarse estrategia SASE (Secure Access Service Edge), sitúa la seguridad en la nube, la hace parte de la arquitectura de TI y ejecuta controles en línea y en tiempo real. Al adoptar este enfoque arquitectónico de seguridad, no es necesario crear y personalizar nuevos controles de seguridad aplicación por aplicación en la nube.
2) Comprender los flujos de datos
Tras entender que los datos no son estáticos, sino que se mueven sin cesar por los servicios en la nube de terceros, los CISOs han de saber dónde residen, conocer sus distintas categorías y comprender el perfil de la aplicación en la nube para decidir qué controles son necesarios.
Una visión de la seguridad centrada en los datos solo tiene sentido desde la perspectiva de que tanto la normativa como los cálculos de riesgo suelen estar centrados en ellos. La visibilidad y la comprensión de los flujos de datos son muy importantes cuando se aborda un modelo de responsabilidad compartida o se evalúa el riesgo de la cadena de suministro. Las organizaciones deben realizar evaluaciones de seguridad continuas en torno a sus flujos de datos.
3) Controlar la seguridad de las APIs
La creciente actividad en la nube ha provocado que para las organizaciones sea urgente evaluar el riesgo de la cadena de suministro y la garantía de sus socios, de cara a asegurar la necesaria comprensión de los flujos de datos (saber exactamente dónde residen los datos y quiénes son sus responsables) pero también para aprovechar al máximo las oportunidades de integración y análisis que ofrece la nube.
Las integraciones en la nube, que suelen basarse en APIs, son cómodas y sencillas de configurar, a la vez que añaden mucho valor. Sin embargo las tecnologías tradicionales de seguridad heredadas no entienden el tráfico basado en llamadas APIs, solo comprenden el leguaje de la web y los protocolos de red tradicionales, por lo que no pueden rastrear o vigilar servicios en la nube, y resultan ineficaces. Hay que proteger los datos en la nube desde la nube.
4) Hacer de la confianza cero una posición por defecto
Con las arquitecturas en la nube que eliminan el concepto de un perímetro seguro alrededor de los datos y las TI de una organización, el Acceso a la Red de Confianza Cero (ZTNA, por sus siglas en inglés), consistente en no conceder acceso a nada para ninguna persona, dispositivo y servicio en la nube sin una serie de credenciales de seguridad autenticadas específicamente asignadas, se vuelve más importante. Los datos son demasiado valiosos como para hacer suposiciones de autenticidad.
Una solución ZTNA marca una diferencia inmediata en el nivel de seguridad inherente a una red tradicional o a una arquitectura en la nube y debería considerarse un componente clave a medida que las organizaciones siguen migrando a un mundo en el que prima la nube.
5) Concienciar y motivar a los trabajadores
Aunque la seguridad de la información sea tenida en cuenta por los empleados, los CISOs deben vigilar los riesgos y amenazas que representa la nube y no confiar en que los trabajadores puedan sortear con éxito los esfuerzos de los actores maliciosos. Solo es necesario un simple error o una mala configuración para que los datos sensibles queden expuestos. Los actores maliciosos se esfuerzan para conseguir que sus trampas sean cada vez más difícil de detectar por un empleado con poca formación en seguridad.
Y es que las credenciales de las aplicaciones en la nube se han convertido el objetivo principal de campañas dirigidas de phishing, alcanzando un 36% en 2020. Los ciberdelincuentes replican marcas y pantallas de inicio e incluso utilizan los mismos servicios en la nube de confianza, es decir, en páginas que están alojadas en su instancia corporativa auténtica del propio servicio en la nube de la organización, y que tienen un aspecto convincente.
Por tanto, es nuestra responsabilidad equipar a los trabajadores para que mantengan la seguridad de los datos. El manido mensaje de «no hacer clic en enlaces sospechosos» ya no es válido. La concienciación es el primer paso, pero el objetivo debe ser la «motivación», es decir, que las personas se sientan responsables de la seguridad, hasta el punto de que cada empleado sea un miembro del equipo de seguridad.
Además de concienciar y motivar, es vital replantearse la estrategia de seguridad. Tanto si la nube entra en la empresa a través de grandes proyectos de transformación empresarial, como si lo hace a través de una aplicación descargada en un dispositivo no gestionado, no es algo que los equipos de seguridad puedan ignorar. Una estrategia SASE -con sólidos principios de confianza cero- es la mejor manera de garantizar que la nube siga siendo una fuerza positiva dentro de una organización, y que no le quite el sueño.
Autor, Neil Thacker
CISO para EMEA de Netskope