La cautela excesiva frente a la seguridad en la nube parece haberse inclinado al extremo opuesto. Hay una mejor manera de abordarla.
Exagerar los temores sobre la seguridad en la nube puede traducirse en costos considerables por gasto innecesario y oportunidades perdidas, pero subestimar los riesgos tampoco es prudente. En este artículo explicamos por qué conviene adoptar un enfoque mesurado frente a la seguridad en la nube y describimos cómo las organizaciones pueden minimizar el riesgo sin renunciar a oportunidades comerciales.
De la cautela excesiva a la imprudencia
Cuando los grandes proveedores lanzaron sus ofertas de nube pública en la primera década del siglo XXI, las empresas se asomaban con timidez: experimentaban, pero sin apostar del todo por la promesa de la nube. Sin embargo, la presión por incorporar capacidades digitales volvió críticas a las infraestructuras basadas en la nube, y esa presión se intensificó con la llegada de la pandemia. Las organizaciones ajustaron sus estrategias de TI para trasladar una porción cada vez mayor de sus aplicaciones y datos a la infraestructura de nube pública y a sus plataformas.
Usar la nube pública implica alejarse de los modelos tradicionales de ciberseguridad que muchas empresas construyeron a lo largo de los años. Los mecanismos existentes no se diseñaron para garantizar configuraciones seguras en la nube ni para operar con la rapidez necesaria para aprovechar la agilidad y velocidad que la nube promete. Esto significa que las empresas que buscan generar valor desde la nube deben adoptar arquitecturas y procesos de seguridad poco familiares para proteger sus workloads en la nube.
Una vez establecidas las estructuras de seguridad adecuadas, la migración a la nube puede acelerar el valor de negocio, pero las organizaciones deben asegurarse de que sus prácticas de seguridad protejan los datos críticos a la vez que aprovechan la velocidad y agilidad que la nube ofrece.
En las primeras etapas de adopción, es probable que muchas empresas hayan sobreestimado el riesgo. Las brechas de seguridad en la nube acapararon la atención pública y llevaron a algunos CIO a limitar el uso corporativo de servicios cloud. Sin embargo, el imperativo de la transformación digital hizo imposible responder a las dinámicas cambiantes del negocio y del mercado sin recurrir a las plataformas en la nube, así que la cautela cedió ante la presión comercial.
A medida que las organizaciones trasladan más workloads a la nube, las brechas de seguridad siguen siendo un problema. De hecho, el Verizon Data Breach Investigations Report (DBIR) 2021 reveló que la infraestructura en la nube interviene en el 73% de los incidentes de ciberseguridad. Pese a lo que sugieren estos hallazgos, la arquitectura on-premises no es más segura que la nube.
Identificar el problema
La mayoría de las brechas en la nube se originan en errores de configuración, no en ataques que comprometan la infraestructura subyacente. Esto pone de relieve la importancia del modelo de responsabilidad compartida entre el proveedor y sus clientes. Mientras el proveedor se encarga de proteger los componentes que sustentan los servicios cloud que ofrece, el cliente es responsable de cómo los utiliza. Entre las responsabilidades del cliente están configurar correctamente la gestión de identidades y accesos (IAM), los ajustes de almacenamiento y cómputo, el análisis y defensa frente a amenazas, así como proteger las aplicaciones y los datos que procesa y almacena en la nube.
A medida que los proveedores y las soluciones de seguridad cloud maduran y refuerzan la seguridad de la infraestructura, la responsabilidad por las brechas se desplaza al cliente y a su enfoque sobre la seguridad. Las organizaciones acostumbradas a esquemas de outsourcing muy distintos deberán entender la nueva división de responsabilidades y ajustar sus procesos internos en consecuencia.
Brechas en la seguridad
La carrera precipitada hacia la nube, acelerada por la pandemia global, dejó al descubierto deficiencias en la gestión de la seguridad. El imperativo de estar en la nube cuanto antes se impuso por encima de las consideraciones sobre los riesgos de la migración. Como resultado, muchos proyectos de migración y desarrollo no prestaron suficiente atención a las dependencias de seguridad antes del despliegue, lo que obligó a los equipos a regresar para corregir problemas.
Ha existido una desconexión entre los grupos involucrados en el desarrollo y la migración, con poca consistencia en las soluciones de seguridad que cada uno elige. Como consecuencia, los equipos optan por las soluciones que prefieren sin consultar a un grupo central de gobernanza ni coordinarse entre sí.
Estas vulnerabilidades son justamente las que los ciberdelincuentes buscan explotar, con consecuencias potencialmente graves. Es probable que en los próximos años se registren brechas de datos más contundentes y dañinas. Según el 2022 Experian Data Breach Industry Forecast, las grandes instituciones siguen siendo muy vulnerables a los ataques de ciberdelincuentes, y aún queda una cantidad considerable de datos sensibles dentro de las instalaciones de las empresas. Hay que estar preparados.
El punto justo entre la aversión y la tolerancia al riesgo
Una brecha de datos puede arrasar con los ingresos, la eficiencia y la reputación. Pero protegerse no debería paralizar las iniciativas cloud de una organización. La cautela excesiva se traduce en oportunidades perdidas y gasto desperdiciado. En lugar de preocuparse por amenazas infundadas, las organizaciones deben enfocarse en si están usando la nube de forma segura, sobre todo porque muchas de sus prácticas y arquitecturas de seguridad existentes pueden no funcionar igual de bien en la nube. Por ejemplo, las soluciones on-premises que rastrean direcciones IP y otras herramientas tradicionales pierden sentido frente a contenedores con un ciclo de vida de apenas minutos o segundos.
Una estrategia cloud bien planeada, que incluya tácticas proactivas y sistémicas de gestión de riesgos, ayuda a las organizaciones a tomar buenas decisiones sobre su uso de la nube y a manejar su exposición al riesgo sin renunciar a oportunidades de crecimiento.
Medidas para aprovechar oportunidades con seguridad
Medir y gestionar adecuadamente el riesgo en la nube seguirá siendo un desafío para la mayoría de las organizaciones durante los próximos años. Adoptar un enfoque que refuerce la seguridad sin restar los beneficios que la nube aporta requiere un cambio de mentalidad: pasar de preocuparse por la seguridad intrínseca de la nube a asegurarse de que la organización la esté usando de forma segura.
Consigue respaldo desde la alta dirección
Una seguridad cloud exitosa empieza con el respaldo y patrocinio del liderazgo. La estrategia debe encabezarse desde el nivel ejecutivo y nutrirse de aportes de un amplio espectro de funciones, incluyendo dirección organizacional, finanzas, arquitectura de datos, desarrollo de producto, TI, seguridad y QA. Es vital que todos coincidan en la importancia del cómputo en la nube para el negocio y se alineen detrás de una política y un plan adecuados para gestionarlo.
Con una guía ejecutiva clara sobre la estrategia cloud, la organización puede acompañar mucho mejor al negocio y a TI en el análisis de requisitos, la planeación arquitectónica y los procesos flexibles de aceptación de riesgos. Los CIO contarán entonces con un camino claro para orientar el uso de las nubes públicas, incluyendo la naturaleza de los datos que se colocarán allí y las circunstancias de ese uso.
Hay que desincentivar los silos y orientar a los Engineers para que trabajen codo a codo con los profesionales de seguridad. Así, los Engineers aprenden a trabajar de manera segura en la nube y los responsables de seguridad pueden confirmar que se están aplicando las medidas que recomiendan. Al fomentar este tipo de relaciones cercanas desde el inicio, las organizaciones pueden empezar su camino en la nube sobre bases sólidas y sentar las bases para entregar productos de forma rápida y segura.
Define prácticas prudentes de gestión de riesgos
El riesgo siempre está presente al usar servicios de nube pública, y sería temerario pasarlo por alto. El negocio y TI deben mantener conversaciones honestas para determinar qué nivel de riesgo está dispuesta a aceptar la organización. Esas conversaciones deben centrarse en el impacto probable de una brecha de datos, la probabilidad de que ocurra y el costo de la recuperación.
También deben analizar la capacidad del proveedor de nube elegido para sostener ese apetito de riesgo, teniendo presente su historial de interrupciones de servicio y brechas, sus políticas de gestión y protección de datos, y qué tan bien se alinea su enfoque de seguridad con las obligaciones regulatorias y legales de la organización.
No le pierdas el ritmo a la nube
Para finales de 2025, el 90% de las organizaciones que no controlan su uso de la nube pública compartirá datos sensibles de manera indebida. Es una estadística que invita a la reflexión y deja claro lo difícil que resulta seguirle el ritmo al uso de la nube. La mayoría de las organizaciones se exponen a riesgos innecesarios por el nivel de uso no autorizado de la nube pública. Esto se puede evitar con DoiT Cloud Intelligence™, que ofrece las herramientas de gobernanza necesarias para gestionar con éxito tu entorno de nube pública.
Dado que la mayoría de las fallas de seguridad en la nube se deben a errores del cliente, las organizaciones deben aplicar sus políticas de seguridad con rigor, actualizarlas con las lecciones aprendidas y mantener vigentes los estándares de certificación y cumplimiento. Las empresas necesitan saber no solo dónde están sus activos y servicios en la nube, sino también su estado actual. Conviene apoyarse en la automatización para las verificaciones de configuración y seguridad, y dar a los Engineers acceso a servicios de seguridad altamente automatizados a través de APIs para alcanzar la máxima eficiencia.
Dónde está el equilibrio
Es natural preocuparse por la seguridad de los servicios de nube pública, pero exagerar los riesgos puede hacer que las oportunidades pasen de largo. Irse al extremo opuesto y subestimar el riesgo podría ser incluso más peligroso.
Una estrategia de gestión de riesgos bien fundamentada es un elemento vital de la estrategia cloud de cualquier organización, ya que ayuda a identificar dónde tiene sentido usar la nube pública y qué se puede hacer para mitigar los riesgos.
Si te preocupa la postura de tu organización frente a la seguridad en la nube, un socio de confianza como DoiT puede realizar una revisión de seguridad cloud y ofrecer recomendaciones que aseguren un camino seguro y rentable.