Por Álvaro Santa María, IBM Security Director en Latinoamérica
Después del ataque masivo a SolarWinds que impactó empresas de todo el mundo, ha surgido un debate sobre la seguridad en la nube, y si la nube pública puede ser o no una opción más segura que un enfoque de nube híbrida.
En vez de debatir sobre qué enfoque de la nube es más seguro, la pregunta que deberíamos hacernos es: ¿para qué modelo necesitamos diseñar la seguridad? Como Director de IBM Security en Latinoamérica, creo que los líderes de tecnología deberían estar diseñando para la forma en que los negocios están trabajando hoy en día, en lugar de encasillarse en un modelo de computación sobre el otro.
El incidente de SolarWinds, por ejemplo, aprovechó la amplia cadena de proveedores de tecnología en que las empresas están confiando en la actualidad. El desafío de la seguridad de esta cadena de suministro ha existido durante décadas, pero también es sólo un factor que contribuye a un problema aún mayor que enfrentan los equipos de seguridad hoy en día: la complejidad.
En otras palabras, el mayor desafío de seguridad que enfrentamos hoy en día no es inherente a las tecnologías mismas, sino más bien a las estrategias y tecnologías desconectadas que se utilizan para asegurarlas.
La complejidad es enemiga de la seguridad
Los entornos de nube híbrida han surgido como un enfoque importante para los gobiernos y las empresas, públicas o privadas, que tienen datos críticos y regulados que necesitan proteger. De hecho, en un estudio reciente de Forrester Research, el 85% de los responsables de las decisiones tecnológicas concordaron en que la infraestructura local en sus instalaciones (on-premise) es fundamental para sus estrategias de nube híbrida.
Sin embargo, la adopción ad hoc de tecnologías en la nube ha creado un “escenario agreste” de recursos de TI dispersos para asegurar, con brechas en la visibilidad y la propagación de datos a través de múltiples herramientas, la nube y la infraestructura on-premise. Este problema sólo se ha agravado por el despliegue apresurado de nuevas herramientas y recursos en la nube para adaptarse al trabajo remoto en medio de la pandemia mundial.
Desafortunadamente, este enfoque desconectado se refleja en gran parte de las herramientas de seguridad que han surgido para proteger los entornos de nube actuales. Hemos llegado al punto en que las grandes empresas a menudo están utilizando 50-100 herramientas de seguridad distintas de docenas de proveedores diferentes.
El problema aquí no son los recursos en la nube, o las herramientas de seguridad en sí, sino el hecho de que las diversas piezas no están siendo conectadas con un único enfoque singular, creando puntos ciegos de seguridad y complejidad como resultado.
Un “modelo de nube híbrida” bien ejecutado combina parte de los sistemas on-premise existentes de una empresa con una mezcla de recursos de nube pública y recursos como servicio, y los trata como uno. A su vez, la seguridad también debe rediseñarse con un único punto de control que proporcione una visión holística de las amenazas y mitigue la complejidad.
Conectando la seguridad a través de las nubes
En el mundo de la nube híbrida, tanto la seguridad como la privacidad de los datos se convierten en una responsabilidad compartida entre los propietarios de datos, los usuarios y los proveedores.
En última instancia, muchos de los riesgos de seguridad que se están presentando en los entornos cloud son el resultado de un error humano, combinado con la falta de visibilidad centralizada para encontrar y solucionar estos problemas antes de que sean perjudiciales. Las configuraciones erróneas de la nube se citaron como una de las principales causas de filtraciones de datos estudiadas en el reporte Cost of a Data Breach de IBM y el Instituto Ponemon, correspondiendo a casi 1 de cada 5 de las filtraciones de datos analizadas.
Problemáticas adicionales pueden surgir debido al mal manejo de los datos. La innovación de más rápido crecimiento para hacerles frente se llama Computación Confidencial. En este momento, la mayoría de los proveedores de nube prometen que no accederán a sus datos (ellos pueden, por supuesto, ser obligados a romper esa promesa por una orden judicial u otros medios). Esto también significa, por otra parte, que los actores de amenazas podrían usar ese mismo acceso para sus propios fines infames. La Computación Confidencial asegura que el proveedor de tecnología en la nube es técnicamente incapaz de acceder a los datos, haciendo igualmente difícil que los ciberdelincuentes puedan acceder a ellos.
Comprender cómo los atacantes se filtran en la nube también es clave para la evolución de los protocolos de seguridad. Según un análisis de IBM sobre incidentes de seguridad en la nube, la vía más común es a través de aplicaciones basadas en la nube. De hecho, la utilización remota de aplicaciones en la nube representó el 45% de los incidentes de seguridad relacionados con la nube que fueron analizados por los equipos de respuesta a incidentes de IBM X-Force durante el año pasado.
Con estos desafíos en mente, aquí hay algunos principios guía a considerar para ayudar a diseñar la seguridad para la era de la nube híbrida:
- Unificar la estrategia. Diseñar una estrategia integral de seguridad en la nube que abarque toda la organización, desde desarrolladores de aplicaciones, hasta equipos de TI y de seguridad. Además, designar políticas claras para los recursos de nube nuevos y existentes.
- Elegir la arquitectura abierta. Identificar los datos más sensibles y asegurarse que los controles de privacidad adecuados estén en su lugar, incluso hasta el nivel de hardware. Considerar los seguros técnicos como en la Computación Confidencial y mantener una clave propia, esto hace que ni siquiera el proveedor de nube puede acceder a los datos.
- Tener un enfoque abierto. Asegurarse que las tecnologías de seguridad funcionan de forma eficaz a través de entornos de nube híbrida (incluyendo on-premise y múltiples nubes). Cuando sea posible, aprovechar tecnologías y estándares abiertos que permitan mayor interoperabilidad y puedan reducir la complejidad.
- Automatizar la seguridad. Implementar la Inteligencia Artificial y la automatización para una mayor velocidad y precisión al responder a las amenazas, en lugar de depender únicamente de las reacciones manuales.
Mejorar la seguridad en la nube para la nueva normalidad es posible, pero tenemos que dejar de lado previas suposiciones. Una clara imagen de los retos de seguridad basado en las políticas y los tipos de amenazas dirigidas a entornos de nube ayudarán con dar el giro hacia esta nueva frontera. Cuando se hace bien, la nube híbrida puede hacer que la seguridad sea más rápida, escalable y más adaptable.