S21sec ha elaborado un decálogo donde recoge y analiza los riesgos concretos asociados a los entornos de servicios en la nube: un conjunto de amenazas que se han tener muy en cuenta a la hora de abordar cualquier estrategia cloud. “Las tecnologías cloud proporcionan sin duda muchos beneficios a los negocios actuales, ya sea en términos de inversión como en términos de mantenimiento”, destaca Jorge Hurtado, vicepresidente de Servicios Gestionados de S21sec. “No obstante, se trata de entornos siempre disponibles y ‘abiertos’, por tanto susceptibles de ser atacados en cualquier momento”.
Los expertos dividen en tres los tipos las amenazas vinculadas al cloud: amenazas internas, amenazasexternas – ambas comunes con otros entornos tecnológicos- y los riesgos asociadas específicamente al cloud. Estas últimas, que son habitualmente las menos consideradas, pueden ser debidas al propio proveedor del entorno cloud o directamente a los servicios ofertados. A continuación se incluye un decálogo donde todos estos riesgos están contemplados:
- Amenazas internas: insiders, errores de uso, falta de concienciación y conocimiento.
- Amenazas externas: campañas dirigidas, malware, grupos de amenazas persistentes avanzadas (APTs) o hacktivistas.
Y entre las amenazas específicas vinculadas al cloud, los expertos desgranan los siguientes puntos:
- Servicios de soporte: Los servicios cloud están siempre disponibles, ¿está el service desk preparado para controlarlos?
- Ritmo de cambio: El cloud es un entorno que siempre está cambiando y transformándose. ¿es posible adaptarse a su ritmo?
- Nuevos elementos: Las aplicaciones cloud usan nuevos elementos de comunicación. ¿Sabe la empresa controlarlos?
- Nubes diferentes: Es posible consumir servicios de distintas nubes en la misma infraestructura, ¿sabe la compañía cómo interactúan?
- Uso de recursos: En estos entornos se paga por recurso consumido, ¿es posible evitar el mal uso?
- Microservicios: El cloud proporciona acceso a contenedores y microservicios, ¿es posible asegurar esta tecnología?
- Cambios regulatorios: Estas variaciones se dan con frecuencia, ¿es posible adaptar los procesos rápidamente para actualizarse?
- Control de políticas: Diferentes políticas afectan a las aplicaciones, ¿se hallan bajo control?
Los expertos de S21sec destacan que hay que considerar todo este conjunto de riesgos al diseñar la estrategia cuando se opta por soluciones cloud. En esta tarea es necesario apoyarse en marcos de trabajo (como los controles CIS o el marco internacional NIST), así como elementos de seguridad (tanto nativos del cloud como de terceros) y tácticas específicas.
En una segunda fase de diseño, además, los expertos subrayan que abordar el 100% de los vectores de seguridad es muy caro, y puede afectar a la operación del negocio cuando no es necesario para cubrir los requisitos. Por tanto, es esencial considerar la especificidad del negocio en esta fase de diseño y desplegar herramientas para auditar el cumplimiento y confirmar que se cuidan todos los requisitos establecidos. Por último, tener en cuenta la monitorización es fundamental. La visibilidad global de los entornos cloud minimizará los tiempos de detección y respuesta.
