Cuando las organizaciones deciden trasladar sus datos a la nube, muchas asumen que la responsabilidad de asegurar esos datos se traslada también al proveedor de la nube. A primera vista, esta suposición no es del todo irrazonable. Después de todo, al transferir información sensible a un entorno de terceros, se pierde cierto grado de control sobre dónde se almacena y cómo se protege. Sin embargo, en realidad esto no es así.

Por ejemplo, Amazon Web Services (AWS) es uno de los principales proveedores de servicios en la nube bajo demanda, con más de un millón de clientes en todo el mundo. En cuanto a la seguridad de los datos, AWS, al igual que la mayoría de los proveedores, opera bajo un modelo de Responsabilidad Compartida de Seguridad. Esto significa que asegura ciertas capas de infraestructura y seguridad de software, pero el cliente es en última instancia responsable de cómo se utiliza y se accede a los datos.

A diferencia de los sistemas en el lugar, que tienen una estructura jerárquica y una red periférica que limpia y analiza los datos que se transmiten, AWS permite que cada instancia se comunique con Internet en caso de una configuración incorrecta o ajustes de seguridad insuficientes. La estructura de las aplicaciones expuestas requiere que las empresas refuercen los controles de seguridad existentes. Esto incluye la actualización continua de las configuraciones de seguridad con parches suficientes y dinámicos, configuraciones de firewall sólidas, implementaciones adecuadas de seguridad de red y, lo más importante, monitoreo de las configuraciones de seguridad de AWS.

Desafortunadamente, a pesar de que proveedores como AWS proporcionan amplia información sobre las mejores prácticas para la seguridad en la nube, el volumen de filtraciones de datos relacionadas con AWS sigue creciendo. ¿El principal culpable? El error humano por parte del cliente. De hecho, Gartner predice que, para 2020, el 95% de los incidentes de seguridad en la nube serán culpa del cliente.

En los últimos meses, clientes destacados de AWS como World Wrestling Entertainment (WWE) y Verizon han expuesto la información personal de millones de clientes al configurar incorrectamente sus repositorios de la nube de Amazon S3. Estos incidentes no son anomalías. Hace cuatro años, la firma de seguridad Rapid7 destacó el problema en una encuesta de más de 12,000 buckets de Amazon S3. Esta investigación encontró que casi uno de cada seis se dejó accesible al público, exponiendo más de 126 mil millones de archivos, muchos de los cuales contenían información sensible.

A pesar de este creciente volumen de exposiciones de datos de alto perfil, la popularidad de los servicios en la nube no muestra signos de desaceleración y es fácil entender por qué. Las eficiencias y ahorros de costos que ofrecen estos servicios no se pueden ignorar. No solo facilitan la creación rápida de nuevas aplicaciones e instancias de almacenamiento, sino que también permiten a las organizaciones ser flexibles con su capacidad de procesamiento y necesidades de almacenamiento.

Entonces, a medida que la popularidad de la nube continúa creciendo, ¿qué se puede hacer para asegurarse de que los datos almacenados en ella sigan siendo seguros? Muchos sugieren que empresas como AWS pueden ayudar al hacer que sus servicios de seguridad sean más fáciles de usar. Un análisis reciente realizado por la firma de seguridad Detectify encontró que las herramientas de AWS para asignar permisos de acceso a los buckets de S3 y su contenido son incómodas y complejas, especialmente a gran escala. Cuando la diferencia entre proporcionar control total sobre un bucket y acceso de solo lectura es la elección de un menú desplegable sobre otro, no es sorprendente que los errores sean comunes.

Fuente del artículo: IDG