La rápida adopción de los servicios de computación en la nube ha dado a las empresas una falsa sensación de seguridad en lo que respecta a la protección de sus datos.
La nube ha permitido a las empresas lanzar y escalar operaciones globalizadas a velocidades que antes se consideraban inimaginables al limitar la inversión en recursos, aumentar las comunicaciones globales y proporcionar desde servicios de computación hasta aplicaciones completamente funcionales como servicio. Como resultado de esta explosión tecnológica, han proliferado nuevas amenazas en línea, superando el desarrollo de soluciones de seguridad necesarias para combatirlas.
Nuevas amenazas y la aparición de la computación en la nube
Después de la aparición de "Web 2.0" a mediados de la década de 2000, la computación en la nube y el poder de la virtualización dieron lugar a cualquier cosa imaginable "como servicio". Esto incluyó desde recursos brutos (IaaS) hasta aplicaciones nativas de la nube completamente funcionales entregadas como un servicio en la nube (SaaS).
Naturalmente, surgieron nuevos proveedores de soluciones de seguridad y los existentes tuvieron que adaptarse. Los datos han pasado de soluciones locales a la nube, requiriendo nuevas soluciones de gobernanza y protección. La infraestructura es gestionada por proveedores de servicios, lo que requiere que ambas partes hagan su debida diligencia. Las aplicaciones nativas de la nube requieren nuevos tipos de cortafuegos y configuraciones de políticas de seguridad.
La lista continúa. Como resultado, el mercado de ciberseguridad en la nube está creciendo rápidamente. En 2016, el tamaño del mercado de seguridad en la nube se valoró en menos de 5 mil millones de dólares, según Grand View Research. Para 2022, se espera que esa cifra alcance los 13 mil millones de dólares, según MarketWatch.
En 2018, la empresa promedio experimentó más de 30 amenazas de seguridad relacionadas con la nube al mes, según McAfee, un aumento del 27.7% respecto al año anterior. Esto incluye amenazas de actores externos, amenazas internas y usuarios privilegiados.
Riesgos de la computación en la nube
Control de acceso y amenazas internas
El control de acceso basado en la nube se refiere a la gestión de usuarios autorizados para acceder a sistemas y datos basados en la nube de forma remota. Esto se ha convertido en un problema enorme ya que los servicios basados en la nube se operan y acceden globalmente. Como resultado, las empresas deben rastrear quién accede a qué información, gestionar identidades y privilegios de usuario, y monitorear actividades sospechosas. Las operaciones exitosas de control de acceso necesitan combinar soluciones enfocadas en la autenticación y la gestión de identidades.
Las empresas que utilizan servicios en la nube deben gestionar consistentemente el acceso a la información almacenada en la nube, especialmente si esa información se considera sensible. Los datos sensibles deben ser cifrados, y las claves criptográficas deben almacenarse de manera segura mientras las claves de cifrado se rotan.
Deben manejar la gestión del ciclo de vida de los usuarios autorizados. El software de gestión de acceso privilegiado ayuda a asignar permisos a sistemas específicos a partes aprobadas. Por el contrario, las identidades deben ser desprovisionadas después de la terminación del acceso, comportamientos sospechosos o incidentes de seguridad.
Si bien las claves de seguridad y la gestión de acceso pueden parecer obvias, puede ser fácil para las personas etiquetar incorrectamente los datos u olvidar proteger la información. Así es como Facebook filtró millones de números de teléfono en agosto. La empresa dejó archivos que contenían datos sensibles en un servidor que no estaba protegido por contraseña, y mucho menos cifrado. Requerir autenticación multifactor para la mayoría de los puntos de acceso es una solución fácil; sin embargo, esto puede no ser ideal para todos.
Errores de configuración y violaciones de datos
El reciente incidente de Facebook probablemente fue el resultado de servidores antiguos que fueron mal gestionados y olvidados. Sin embargo, muchas violaciones de datos más grandes resultan de la mala configuración de los mecanismos de seguridad. Los hackers y otros ciberdelincuentes utilizan estas malas configuraciones para escalar sus privilegios y acceder a datos sensibles e información privada.
Eso es exactamente lo que le sucedió a Capital One en julio de 2019. Un ex empleado de AWS aprovechó un cortafuegos de aplicaciones web mal configurado para obtener una escalada de privilegios. Como resultado, se liberó información sensible relacionada con más de 100 millones de personas en los Estados Unidos y alrededor de 6 millones de canadienses.
A principios de este año, McAfee entrevistó a 1,000 empresas sobre errores de configuración. Descubrieron que el 99% de los errores de configuración pasan desapercibidos. A pesar de que las empresas informan un promedio de 37 incidentes de errores de configuración al mes, los datos del mundo real de McAfee sugieren que el número está más cerca de 3,500 incidentes al mes.
Si bien la responsabilidad recae en última instancia en quienes utilizan servicios en la nube, garantizar una configuración adecuada es posible utilizando soluciones como gestión de políticas de seguridad de red y software general de gestión de configuración. Muchos de estos son nativos de la nube y están diseñados para identificar errores de configuración comunes y hacer cumplir estrictas políticas de seguridad en la nube.
Integraciones y seguridad de API
Los proveedores de servicios en la nube generalmente entregan interfaces de programación de aplicaciones (APIs) a sus clientes para gestionar e interactuar con sus servicios. Sin estas, sus clientes no podrían usar, gestionar o monitorear ningún servicio en la nube. También pueden usar una interfaz basada en software para servir el mismo propósito.
Estas APIs pueden ser de acceso público y proporcionar direcciones IP a partes fuera de la red segura de una empresa. Eso las convierte en un objetivo fácilmente identificable y una prioridad de seguridad importante. Al igual que el software, pueden contener vulnerabilidades.
Por ejemplo, se descubrió una vulnerabilidad con el nivel de severidad más alto posible en la API REST de Cisco este agosto. El error permitió a los hackers explotar una serie de varios routers de Cisco ya que fácilmente eludieron la autenticación y pudieron obtener control total sobre el dispositivo.
Fallos en aplicaciones nativas de la nube
Las vulnerabilidades de las aplicaciones pueden exponer a las empresas a cualquier número de amenazas de seguridad. Las aplicaciones nativas de la nube siguen siendo vulnerables a las mismas amenazas que las aplicaciones tradicionales, así como a nuevas debido a la mayor superficie de ataque inherente a la nube.
Las empresas que entregan aplicaciones impulsadas por proveedores de infraestructura de terceros deben asegurarse de que su aplicación esté libre de vulnerabilidades, que sus APIs de gestión sean seguras y que los mecanismos estén configurados adecuadamente.
Sin políticas de seguridad adecuadas, los hackers pueden explotar vulnerabilidades del sistema para robar información, bloquear aplicaciones o controlar dispositivos. Una vez comprometida, una aplicación vulnerable puede liberar información confidencial almacenada o integrada en ella.
Otra tendencia emergente en la computación en la nube, las aplicaciones basadas en contenedores, pueden convertirse en grandes objetivos próximamente. Afortunadamente, como escribí el mes pasado, el mercado de seguridad de contenedores está expandiéndose y evolucionando rápidamente para ayudar a abordar problemas relacionados con contenedores con todo, desde detección de anomalías basada en IA hasta la aplicación de políticas de seguridad distribuidas a nivel de aplicación.
Cumplimiento continuo
Por último, pero no menos importante, está el cumplimiento en la nube. Es una amenaza tanto para la seguridad de un negocio como para su bolsillo, sin mencionar a los clientes que confían en las empresas para proteger sus datos.
Según McAfee, el 21% de todos los archivos en la nube contienen datos sensibles. Es por eso que regiones, países y estados han tomado medidas para proteger la privacidad de sus ciudadanos. Debido a las regulaciones de privacidad de datos en la nube, los datos sensibles pueden necesitar ser manejados de manera diferente en varias jurisdicciones.
Estas regulaciones incluyen el Reglamento General de Protección de Datos (GDPR) en la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA) que entra en vigor el 1 de enero de 2020. Las leyes de protección al consumidor relacionadas con los datos en la nube requieren cosas como control de acceso, portabilidad de datos, cifrado en reposo y consentimiento del cliente. Muchas también requieren que las empresas entreguen la información que han recopilado sobre los consumidores cuando se les solicite.
Afortunadamente, las soluciones de cumplimiento en la nube están diseñadas para garantizar que se cumplan todos los requisitos relevantes de protección al consumidor. Estos productos identifican recursos en entornos de nube y TI, centralizan la gobernanza, evalúan el riesgo y hacen cumplir políticas alineadas con regulaciones gubernamentales e industriales.
Las soluciones de privacidad de datos y seguridad centrada en datos han aumentado en popularidad. Las herramientas de privacidad de datos se utilizan típicamente para asegurar la visibilidad de la información sensible y su entregabilidad a los clientes. Las herramientas de seguridad centrada en datos están diseñadas para ayudar a descubrir datos sensibles mientras auditan continuamente bases de datos e investigan recursos en busca de información sensible que pueda estar expuesta.
El uso de estas herramientas ayuda a las empresas a evitar sanciones severas como la multa de 50 millones de euros que Google tuvo que pagar a la Unión Europea por no cumplir con las obligaciones del GDPR. Google podría haber evitado estas multas informando adecuadamente a los consumidores sobre cómo se utiliza su información y brindando más transparencia sobre sus políticas de consentimiento de datos.
Si bien hay muchos riesgos asociados con la computación en la nube, no va a desaparecer. Las empresas deberían aceptar en general la idea de que la transformación digital ha entrado en una nueva era de computación en la nube y relaciones con los consumidores gobernadas por datos, privacidad y transparencia.
Los líderes empresariales que gestionan información en línea deben educarse continuamente sobre las amenazas emergentes y las regulaciones. Si fallan, no lograrán asegurar la información de sus clientes, lo que resultará en multas considerables y, peor aún, en la pérdida de la confianza de los clientes.
¿Quieres aprender más sobre Herramientas de Gestión de Configuración? Explora los productos de Gestión de Configuración.
Aaron Walker
Aaron has been researching security, cloud, and emerging technologies with G2 for more than half a decade. Over that time he's outlined, defined, and maintained a large portion of G2's taxonomy related to cybersecurity, infrastructure, development, and IT management markets. Aaron utilizes his relationships with vendors, subject-matter expertise, and familiarity with G2 data to help buyers and businesses better understand emerging challenges, solutions, and technologies. In his free time, Aaron enjoys photography, design, Chicago sports and lizards.
