El mundo está lleno de opciones y las posibilidades de los proveedores de servicios en la nube es una muestra de ello. Cada vez más, las empresas reparten su actividad entre varios servicios en la nube cuando descargan cargas de trabajo en infraestructuras de nube pública. Pero esa elección conlleva un gran quebradero de cabeza para la seguridad, porque hace que su infraestructura sea más difícil de ver y controlar.
Según un reciente estudio de 451 Research, el 98 % de las empresas han adoptado ya una estrategia de infraestructura multicloud y lo hacen por varias razones. La primera que podría venir a la mente (redundancia y recuperación ante desastres) es la menos extendida, con un 21 %. En cambio, las empresas se centran más en la soberanía de los datos (la necesidad de mantener determinados datos dentro de sus fronteras nacionales) y la optimización de costes, que son los principales impulsores del multicloud para alrededor de cuatro de cada diez empresas.
La falta de conocimientos de seguridad es un problema
Las soluciones en la nube pueden ayudar a las organizaciones a gestionar más eficazmente los costes y la ubicación de los datos, pero asegurar estas infraestructuras fragmentadas requiere cierta madurez. Por desgracia, las estrategias en la nube son a menudo inmaduras y crecen orgánicamente como la maleza.
La computación en la nube puede ofrecer importantes ventajas a las empresas en términos de escalabilidad, rentabilidad y flexibilidad. Pero la capacidad de aprovechar plenamente sus beneficios depende a menudo de que la organización posea los conocimientos necesarios en materia de seguridad y colaboración. Sin esa experiencia, las empresas pueden tener dificultades para aplicar medidas suficientemente sólidas para salvaguardar adecuadamente la información sensible, dejándolas vulnerables a las infracciones y a las violaciones de las normativas, por ejemplo.
Además, la gestión de los riesgos inherentes a los entornos cloud exige una supervisión y adaptación continuas, lo que requiere una estrecha colaboración entre los equipos de TI, seguridad y operaciones. Los retos de integración que a menudo se plantean entre los sistemas en la nube y on-premises subrayan aún más la importancia de la colaboración entre estas distintas funciones.
Este crecimiento orgánico de la nube suele poner en aprietos a los encargados de proteger la organización. A medida que se amplía el horizonte digital, los equipos de seguridad, nube y operaciones tienen que redefinir su papel, no solo como protectores, sino como arquitectos de una nueva era, en la que la adopción de la nube y el éxito son compañeros inseparables para ayudar a integrar la confianza digital en las iniciativas en la nube.
La preocupación por la seguridad en la nube puede agravar los retos a los que se enfrentan los departamentos de seguridad, y las competencias suelen ser un factor a tener en cuenta. En abril de 2023, las vacantes de empleo en ciberseguridad ascendían a 3,5 millones, según el observatorio del sector Cybersecurity Ventures, lo que supone un aumento del 350 % en una década.
En las primeras etapas de la adopción de la nube pública, se ayudaba a muchas organizaciones que luchaban por crear la postura de seguridad adecuada en su zona de aterrizaje en la nube. Esto se debía a una serie de factores críticos. Las habilidades, un enfoque de plataforma unificada y la alineación de las partes interesadas fueron algunas de las áreas más importantes a la hora de conseguir una base de seguridad más sólida.
Así, las organizaciones que no se preparan y colaboran con las partes interesadas adecuadas para los proyectos en la nube, a menudo se vuelven vulnerables a una postura de mayor riesgo.
Reparto de responsabilidades
Incluso ahora, casi dos décadas después de que AWS diera origen al mercado moderno de la nube, algunas empresas siguen luchando por comprender el modelo de seguridad compartida que rige la nube.
La clave para crear resiliencia en la nube pública pasa por que los clientes comprendan su responsabilidad compartida en materia de seguridad, cuál es la responsabilidad del proveedor de la nube frente al papel del cliente en la protección de los datos, las aplicaciones y las capas del sistema operativo. Dentro de la extensión de la nube, incluso el error humano más pequeño puede proyectar una sombra de inseguridad, lo que subraya la importancia crítica de la vigilancia y la educación para salvaguardar los patrimonios digitales de las organizaciones.
Oracle y KPMG descubrieron que, aunque más del 95 % de los CISO afirmaron estar familiarizados con el término, solo el 8 % dijo comprenderlo completamente para todo tipo de servicios en la nube. Si a esto le añadimos los entornos multicloud en los que residen, el resultado puede ser desastroso.
A menudo, si una organización es nueva en la nube, es más vulnerable a configurar mal su topología de red, o tal vez a configurar mal un bucket S3 abierto al público. Esos errores humanos conducen a una superficie de ataque muy vulnerable.
Para ver ejemplos de estos errores de configuración, basta con echar un vistazo a los titulares. Entre ellos, uno de Toyota, que ha expuesto repetidamente los datos de sus clientes en el almacenamiento en la nube que no deberían haber sido visibles. También son comunes otros errores de configuración, desde permisos excesivos hasta puertos de red abiertos sin restricciones, el uso de credenciales predeterminadas y redes en la nube que no están debidamente segmentadas.
Crear una estrategia defensiva por capas que incluya la seguridad por diseño y contar con una plataforma unificada de ciberseguridad puede ayudar a afrontar los retos que presenta la nube.
José de la Cruz
Director técnico de Trend Micro Iberia
