Llegamos a ustedes gracias a:



Reportajes y análisis

Los riesgos no visibles de las nubes paralelas

[05/12/2017] Ocurre en todas las compañías. Los empleados encuentran un nuevo servicio en línea que les agrada y que los hace más productivos. Crean cuentas gratuitas o de bajo costo en los dispositivos que usan para trabajar, y logran que todos sus amigos y colegas se les unan. El nuevo servicio de nube es muy bueno. La interfaz es muy sencilla de usar, viene con aplicaciones móviles, y se esparce como un incendio.

Las malas noticias son que esas aplicaciones y servicios de nube sin autorización se vuelven parte de la TI paralela o shadow TI de la organización, pasando por encima del área de TI, del cumplimiento de las regulaciones, y de las áreas de adquisición. La aplicación podría incumplir con las regulaciones de la industria o exponer a la compañía a riesgos significativos de seguridad. Sin embargo, como es algo tan arraigado, es demasiado difícil lograr que los usuarios dejen de usar estas aplicaciones y servicios.

¿Qué tan riesgosos son los servicios de nube paralelos?

De acuerdo a un reporte del uso de la nube publicado en septiembre por Netskope Inc., los empleados de una corporación promedio usan 1.022 servicios de nube distintos, y más del 90% no son de grado empresarial, lo que significa que no ofrecen las funciones de administración, seguridad y cumplimiento regulatorio que las compañías necesitan. Por ejemplo, el 67% de los servicios de nube no especifican que el cliente es el propietario de los datos en sus términos de servicios, y más del 80% no cifra los datos en reposo.

Una encuesta a 900 trabajadores del conocimiento publicada también en septiembre por Harmon.ie encontró que el 48% de los encuestados admitió haber usado aplicaciones no autorizadas por su área de TI, incluyendo aplicaciones para tomar notas, administrar proyectos y compartir archivos.

Optiv Security, Inc. provee evaluación de riesgo de los servicios de nube en la cual se monitorea el uso de la web por parte de una compañía durante un determinado periodo de tiempo, y después se reporta a las compañías respecto a las aplicaciones de nube que están usando. "Literalmente, encontramos miles de aplicaciones que están siendo usadas en una organización, afirma John Tuner, director senior de seguridad de nube. Con frecuencia es un shock muy grande para el área de TI. Y frecuentemente es un shock muy grande cuando proveemos los detalles no solo de las miles de aplicaciones, sino del uso de las mismas, la cantidad de datos que entran y salen, y el tipo de datos que entran y salen.

Tratar de clausurarlas simplemente lleva a los usuarios a la clandestinidad, y el problema simplemente empeora -o existe tanto rechazo por parte de las unidades del negocio, que esa iniciativa es abandonada. "En la mayoría de casos, los beneficios en productividad frecuentemente son las prioridades de la organización, afirma Turner. "Si ellos realizan un bloqueo, el equipo que lo hace recibirá cuatro o cinco solicitudes semanalmente para desbloquear nuevas aplicaciones. En muchos casos, los bloqueos son desautorizados por alguien que se encuentra por encima del área de seguridad. Existe una proliferación de soluciones de nube para casi cualquier problema que enfrenta una compañía en casi cualquier industria, afirma Álvaro Hoyos, CISO en OneLogin, Inc. "Si alguno de sus equipos tiene alguna dificultad, probablemente existe una solución disponible para ellos.

Es un gran problema y solo está empeorando, afirma David Holmes, evangelista de investigación de amenazas en F5 Networks, Inc. "Cada pequeño servicio que pueda imaginarse está haciéndose disponible en la nube, señala. "Es muy fácil sacar su tarjeta corporativa Amex.

El reto de la identidad, seguridad y protección de datos en un mundo de nube

Primero empieza con las identidades de usuario. Cuando los empleados se inscriben en servicios por cuenta propia, usualmente crean una cuenta de usuario nueva y personal. "Por mucho tiempo, todas estas aplicaciones de nube se estaban apoyando en su propio sistema de identificación y autenticación basado en el nombre y contraseña de usuario, afirma François Lasnier, vicepresidente senior de autenticación en Gemalto. "Si deseaba inscribirse en Salesforce.com, tenía que crear una cuenta dentro de Salesforce.com. Básicamente, se trataba de colocar el sistema de identidad dentro de estas aplicaciones de nube.

Hoy en día, los servicios más populares ofrecen estándares basados en el provisionamiento y administración de usuarios, usualmente usando Security Assertion Markup Language (SAML), afirma. Otro estándar que está adquiriendo una mayor adopción es OpenID. "Eso está ayudando, porque permite el surgimiento de soluciones de acceso que realmente pueden encargarse de la mayoría de sus obstáculos en la adopción de la nube, afirma.

Aunque la mayoría de las aplicaciones de nube más populares que le brindan servicio al mercado corporativo ofrecen soporte a estos estándares, las compañías pequeñas nuevas o servicios centrados en el consumidor podrían no hacerlo. Los proveedores de aplicaciones más pequeños también podrían estar haciendo un trabajo insuficiente a la hora de proteger los datos de los usuarios de los hackers. "La seguridad podría no ser la prioridad, afirma Mark McArdle, CTO de eSentire, Inc. "O ellos saben que deben hacer las cosas apropiadamente, pero podrían no tener el entendimiento de lo que implica 'apropiadamente'.

Cuando los empleados se inscriben en estos productos, es común que no hagan preguntas importantes. "¿Qué están haciendo los servicios de nube respecto a la higiene de las actualizaciones?, afirma McArdle. "¿Cómo están monitoreando su propia infraestructura? Estas son preguntas que un usuario final nunca va a hacer, a no ser que este sea un profesional de la ciberseguridad.

La falta de administración de la identidad deriva directamente en problemas de protección de los datos. Cuando los empleados crean cuentas personales de usuario, las cuentas no son retiradas automáticamente cuando estos dejan de trabajar para la compañía. Por ejemplo, si ellos instalan una cuenta con una compañía de uso compartido de archivos para intercambiar documentos con otros empleados o socios de negocio, esa información ahora se encuentra más allá del control de sus empleadores.

"El empleado cuenta con esta información donde sea que esté, incluso si deja de trabajar para la empresa, afirma Erik Brown, CTO en GigaTrust Corp. "Excelente para el empleado, pero un riesgo de seguridad para la compañía, Además, no existen controles respecto a las personas con las que el empleado comparte la información.

Las empresas originalmente construyeron sus arquitecturas sin tener en mente a los servicios de nube, afirma Jim Reavis, CEO en la Cloud Security Alliance. "Hemos construido una arquitectura un tanto rígida que depende de flujos de información moviéndose a través de firewalls y redes corporativas, así como por dispositivos de detección de intrusión y portales web, afirma. "Los servicios de nube -tanto los autorizados como los no autorizados- requieren que entienda que necesita una perspectiva virtual del mundo.

Por ejemplo, un sistema de prevención de pérdida de datos (DLP) que monitorea el tráfico interno tradicional de sistemas de correo electrónico sería inútil al enfrentarse a los sistemas de correo electrónico de nube. De hecho, el correo electrónico basado en la web fue la fuente independiente más grande de incumplimiento de políticas de DLP según Netskope, representando el 42% de los incumplimientos. Le siguieron los servicios de almacenamiento de nube con 30% y las herramientas de colaboración con 10%.

Y entonces ahí está el problema de cumplimiento de las regulaciones

De acuerdo con Netskope, menos de un cuarto de los servicios de nube usado por las empresas se encuentran en cumplimiento con la Regulación de Protección General de Datos (GDRP) de la Unión Europea, que entra en vigor en la primavera [septentrional] del próximo año. Incluso aquellos que obtuvieron una calificación alta por su preparación para la GDRP aún tienen problemas significativos. Por ejemplo, el 57% no brinda soporte al cifrado de datos en reposo, y más del 80% replica datos en centros de datos geográficamente dispersos.

La amenaza del malware proveniente del servicio de nube

Los proveedores de servicios de nube inseguros y sin autorización no solo presentan el riesgo de que los datos corporativos estén siendo compartidos fuera de la empresa. También puede crear un canal que puede ser aprovechado por los atacantes. Un servicio web comprometido podría actualizar el software en las maquinas del usuario con una versión maliciosa, dado que frecuentemente las actualizaciones transitan sin una revisión de seguridad.

Eso es justo lo que sucedió este verano con una compañía ucraniana de software de impuestos, afirma McArdle de eSentire. La aplicación infectada instaló el malware Petya. Este primero atacó a bancos ucranianos, compañías de electricidad, agencias del gobierno, aeropuertos y equipo de monitoreo de radiación dentro de la planta de energía Chernóbil y después se esparció a otros países y sectores de negocio.

Algunas aplicaciones de nube son operadas por equipos pequeños, pero podrían ser usadas ampliamente en una industria en particular, afirma. "Podría encontrar una compañía nueva de 50 personas con un servicio de nube alojado en AWS, afirma. "Atacar ese único servicio se convierte en algo extremadamente valioso. Esto no es solo algo teórico. Esta ya está sucediendo. Los malos tienen imaginación. Son innovadores malvados y la creatividad que emplean en sus ataques no debe ser subestimada.

Existen otras formas en las que los atacantes también pueden sacar provecho de los sistemas de nube. McAfee encuestó a mil profesionales de TI antes de la conferencia RSA de este año, y el 52% afirmó haber rastreado un incidente de malware hasta una aplicación de nube como Dropbox. En general, el 65% afirmó que las aplicaciones de nube no autorizadas interfieren con la seguridad.

De acuerdo con Netskope, el problema de seguridad más común que se relaciona a los servicios de nube fueron las backdoors, que constituyeron el 27% de todo el malware detectado, seguido por el ransomware con un 9%, JavaScript, malware de Mac, macros maliciosos de Microsoft Office y explotaciones de PDF.

Cómo asegurar el acceso a la nube

El método más común que usan las compañías para tener el control del esparcimiento de la nube es por medio de agentes de acceso seguro a la nube (CASBs) y sistemas de registro único (SSO). Skyhigh, Netskope, Forcepoint, Okta y otros agentes de seguridad de acceso a la nube permiten a las compañías administrar las cuentas de usuarios y el acceso a muchas de las aplicaciones de nube más populares para negocios. IBM, Microsoft, VMware y Cisco también ofrecen soluciones de CASB. La mayoría también incluye alguna forma de portal de usuario con registro único donde los empleados pueden acceder fácilmente todos sus servicios en la web.

Los usuarios se benefician de un registro único y centralizado para todos sus servicios de nube, así no necesitan tener que recordar cientos de contraseñas distintas -o, pero aún, usar la misma contraseña en todos lados. "Las empresas deberían emplear tecnología de registro único que alerte cuando el acceso a la información confidencial requiera de un segundo paso en términos de capacidades de autenticación, y cuando surja un inicio de sesión federado, afirma Darrell Long, vicepresidente senior de gestión de productos de CA Security en CA Technologies. "También es imperativo que las empresas reflexionen sobre cómo administrarán los datos y credenciales de inicio de sesión en el caso de que un empleado ya no trabaje para la compañía. Necesitan denegar cualquier acceso futuro mientras siguen brindando una manera de revisar diariamente la administración de extremo a extremo de esa identidad.

Tener instaurado un sistema de registro único también puede ayudar a reducir el número de aplicaciones no autorizadas en las que los empleados se registran, afirma Holmes de F5. "Si es un nuevo empleado, se registra y puede ver todos los servicios, podrá decir, 'ah, puedo ver que deberíamos usar Box y no Dropbox', afirma.

Como resultado, las compañías no deberían esperar para desplegar una solución de registro único, añade él. "Mientras más rápido pueda desplegarla y hacerla funcionar, mayor será el éxito que tendrá la organización, afirma.