La nube se ha convertido en la elección de infraestructura por defecto para las organizaciones que buscan innovar y transformarse. Sin embargo, a pesar de los beneficios que ofrece, muchas organizaciones aún son víctimas de ataques. La migración masiva a la nube y las numerosas opciones de infraestructura como servicio (IaaS) y plataforma como servicio (PaaS) han creado una gran complejidad para los equipos de TI y seguridad. Con innumerables políticas y configuraciones, además de la falta de visibilidad, asegurar la nube se ha convertido en una pesadilla.
Según un estudio reciente de LogicMonitor, casi el 50% de las organizaciones esperan que el 95% de sus cargas de trabajo críticas se ejecuten en la nube en los próximos 10 años. Sin embargo, el 44% de las organizaciones considera que la complejidad de la nube es su principal barrera para establecer una seguridad sólida. Esto significa que una gran cantidad de datos sensibles se protegen con una seguridad menos que ideal.
Existen muchas razones por las cuales la seguridad en la nube es más compleja y sutil que la seguridad basada en perímetros. La constante innovación, que genera nuevas características a diario, y el panorama de amenazas en constante cambio son solo algunas de las complejidades. El marco para la seguridad en la nube se conoce como el modelo de responsabilidad compartida, que establece que el proveedor es responsable de la seguridad de la nube en sí misma, como el almacenamiento y las bases de datos.
Lograr el cumplimiento en la nube es fundamental. El cumplimiento aborda las amenazas y riesgos anticipados que las organizaciones deben proteger sus datos, y como tal, no cumplir no es una opción. Además, no cumplir con las regulaciones como PCI, GDPR y CCPA puede resultar en multas elevadas y acciones legales.
Es comprensible que muchas organizaciones asuman que si cumplen con las regulaciones, están protegidas en la nube. Sin embargo, la realidad es que a pesar de cumplir continuamente con las regulaciones, muchas organizaciones aún son víctimas de ataques. De hecho, esto sucede todo el tiempo; muchos de los mayores hackeos en la nube en los últimos años ocurrieron en sistemas que cumplían completamente con todas las reglas, regulaciones y recomendaciones requeridas.
Entonces, ¿cómo llegamos a esta situación? ¿Por qué cumplir no es suficiente? Como se mencionó anteriormente, el cumplimiento se ocupa de las amenazas anticipadas, las que conocemos. Pero los atacantes no necesariamente siguen el camino más transitado, ellos ven más allá del cumplimiento para localizar las debilidades. Aprovechan las vulnerabilidades de configuración causadas por configuraciones débiles y mal configuradas en la nube, al igual que la explotación de vulnerabilidades de aplicaciones debido a descuidos y errores en el código.
Los atacantes no necesitan explotar debilidades a nivel de aplicación o infraestructura para causar daño a una organización en entornos basados en la nube. Todo lo que necesitan hacer es localizar una configuración incorrecta o una que esté técnicamente configurada correctamente pero que sea inherentemente débil. Entonces, si bien el cumplimiento puede ser suficiente para marcar todas las casillas de la lista de configuraciones de seguridad, no es suficiente para ver tu nube desde la perspectiva de un atacante.
En conclusión, asegurar la nube es un desafío complejo debido a la constante innovación, el panorama de amenazas en constante cambio y la necesidad de cumplir con las regulaciones. El cumplimiento no es suficiente para garantizar la seguridad en la nube, ya que los atacantes pueden aprovechar las debilidades de configuración. Por lo tanto, las organizaciones deben adoptar un enfoque integral de seguridad en la nube que vaya más allá del cumplimiento y tenga en cuenta las posibles vulnerabilidades y amenazas no anticipadas.
