OpiniónSeguridad

El viaje seguro a la nube

Por Mikel Salazar, Director de Servicios de Seguridad de DXC Technology en España y Portugal.

Según Gartner, más del 80% de las grandes compañías incrementarán de manera sustancial la inversión en infraestructuras y servicios cloud en el próximo año. En España, se prevén 1.600 millones de euros, lo que representa un 600% más con respecto a dos años atrás. A menudo, la transición hacia la nube se trata de un viaje inesperado en el que los primeros pasos suelen ser improvisados y desestructurados, dejando la seguridad a un lado en favor de la funcionalidad. Esto puede hacer que este viaje desemboque en resultados devastadores y catastróficos llevando a casos de pérdida de negocio y provocando un daño reputacional irreparable. Es público el creciente volumen de ataques dirigidos a la nube: casos sonados como el de Tesla, donde una mala configuración del orquestador de los contenedores en la nube facilitó que los recursos de su infraestructura fueran utilizados en operaciones de minado de criptomonedas. Otro ejemplo destacado fue la exposición de los datos de clientes que sufrió FedEx, a raíz de una mala configuración en sus buckets de almacenamiento.

Es importante conocer los principales retos a los que nos enfrentamos en este cambio de paradigma, para poder mitigar los riesgos asociados que derivan de su adopción:

Desaparición de los perímetros de seguridad clásicos. La información pasa a estar almacenada y tratada en ubicaciones que ya no están bajo el control directo de cada compañía. Por otro lado, el uso de aplicaciones y servicios de terceros está muy generalizado, la movilidad de los usuarios que acceden es heterogénea.

Incremento de la superficie de ataque y aparición de nuevas amenazas. La dispersión de la información en la nube supone una exposición externa total. Frente al modelo tradicional, ahora cada interacción de cada servicio basado en la nube supone una posibilidad de ser víctima de un ataque. Este aumento de la superficie lleva consigo la aparición de nuevas fuentes de amenazas y métodos de ataque. Vectores tales como las interfaces API, la configuración insegura de los elementos que conforman la infraestructura de la nube, los movimientos laterales… En cuanto a los objetivos de ataque más habituales, suelen estar relacionados con el robo de identidades, secuestro de cuentas y la exfiltración de información.

Responsabilidad entre proveedores y consumidores. Implantación del modelo de responsabilidad compartida y su reflejo en los contratos, en el que se define la responsabilidad de la seguridad de cada capa para cada uno de los modelos de arquitectura en nube (IaaS, PaaS y SaaS).

La transición hacia la nube es a veces un viaje inesperado en el que los primeros pasos suelen improvisarse   

Presión regulatoria. Estándares de obligado cumplimiento como GDPR, HIPAA o PCI DSS adquieren un papel protagonista. El tratamiento de esta información en servicios basados en la nube la hace mucho más susceptible de ser extraída aumentando el riesgo de incumplimiento y con él la probabilidad de sufrir grandes penalizaciones económicas y daños reputacionales.

Falta de visibilidad y gobierno de la actividad en la nube. El uso de aplicaciones basadas en la nube en muchas ocasiones es desconocido y no autorizado por parte de las compañías, generando flujos de información descontrolados.

Falta de concienciación por la gran mayoría de usuarios, que acceden a estos servicios como clientes alojando información sensible, compartiendo o publicando datos privados o sensibles sujetos a estándares de cumplimiento en muchas ocasiones.

Sanitización de la información. La garantía y certeza del borrado seguro, irrevocable e inequívoco de los datos cuando se eliminan recursos en la nube que ya no se necesitan y que alojan información.

La comprensión de esta nueva dimensión de la seguridad es trascendental a la hora de poder afrontar la transición a la nube con garantías. El objetivo para lograr esto no solo pasa por superar esos primeros pasos desatinados sino por alcanzar niveles de madurez optimizados en los que el riesgo esté totalmente definido y gestionado, en el que la visibilidad sea total y permita la protección proactiva e inteligente, y en el que existan una serie de controles técnicos cohesionados que no solo protegen, sino que se retroalimentan permitiendo que los niveles de seguridad mejoren constantemente. Los servicios de Seguridad de DXC ayudan a nuestros clientes a abordar este viaje a la nube de manera segura y con garantías, diseñando de manera personalizada una hoja de ruta alineada con la estrategia de negocio y ofreciendo servicios de seguridad gestionados desde nuestro SOC local en Madrid, conectado con la inteligencia de la red global de 16 SOC de DXC repartidos en los diferentes continentes.

Nos debemos centrar en lo que es realmente importante para el negocio: datos y la información son los principales actores, sin olvidar a las aplicaciones que los alojan, los usuarios que acceden a ellas y las interacciones que se producen con terceros:

  1. Protección de los servicios creados y/o gestionados en la nube, así como la información almacenada y tratada en ella. Los datos es el nuevo perímetro.
  2. Punto de partida seguro: disponer de un entorno on premise vulnerable y pretender extenderlo a la nube puede servir de vector de ataque hacia el nuevo entorno.
  3. Servicios de control de identidad y acceso (IAM), con una monitorización continua facilitando la gobernabilidad y proporcionando contexto.

La consecución de estos niveles optimizados es posible gracias a nuestros servicios de Cloud Security, que permiten el diseño y desarrollo de un itinerario de seguridad que variará en función del punto de partida en el que nos encontremos. Es el nivel estratégico que primero debemos atender mediante una evaluación de los niveles existentes de madurez, cumplimiento y riesgo, que permitirá definir las referencias y las capacidades de seguridad a alcanzar para los entornos de nube a lo largo de toda la organización. Este diagnóstico inicial es clave para la confección de una hoja de ruta y permitirá priorizar la inversión necesaria asegurando un viaje seguro a la nube.

Computing 782