Llegamos a ustedes gracias a:



Reportajes y análisis

Desafíos de seguridad de las multinubes

Y cómo construir una estrategia

[23/11/2018] Un robo de datos o una alerta de intrusión harán que los equipos de seguridad actúen a toda velocidad, a medida que luchan por contener el daño y determinar la causa.

Esa tarea era lo suficientemente desafiante incluso cuando TI ejecutaba todas sus operaciones en su propia infraestructura, pero se ha vuelto cada vez más compleja a medida que las organizaciones han trasladado más de sus cargas de trabajo primero a la nube y luego a varias proveedoras de nube.

El reporte de RightScale titulado 2018 State of the Cloud Report, encontró que el 77% de los 997 profesionales de tecnología que respondieron afirma que la seguridad en la nube es un desafío, y el 29% afirma que es un desafío significativo.

Los expertos en seguridad expresan no estar sorprendidos, especialmente considerando que el 81% de los encuestados en la encuesta de RightScale están empleando una estrategia de multinubes.

"Los ambientes de multinubes se suman a la complejidad en cuanto a la forma en que implementan y gobiernan los controles de seguridad, afirma Ron Lefferts, director gerente y líder global de la Technology Consulting Practice en Protiviti, una empresa de consultoría de gestión.

Él y otros líderes de seguridad sostienen que las organizaciones actúan con inteligencia al mantener la seguridad en mente mientras mueven más cargas de trabajo a la nube.

Retos de la seguridad para las multinubes

Pero también deben reconocer que el ambiente de multinubes implica desafíos adicionales que deben abordarse como parte de una estrategia de seguridad integral.

"En este mundo de multinubes, todo se trata de coordinación -a nivel contractual, tecnológico y humano, afirma Christos K. Dimitriadis, director y expresidente del directorio de ISACA, una asociación profesional centrada en la gobernanza de TI. "Actualmente, si ocurre un incidente, debe asegurarse de que todas las entidades estén coordinadas, que trabajen juntas para identificar una infracción, que realicen un análisis y que se desarrollen planes de mejora para que los controles sean aún más efectivos.

Aquí tenemos tres factores que, según indican los expertos en seguridad, complican las estrategias de seguridad para entornos de multinubes.

Complejidad incrementada.Coordinar las políticas de seguridad, procesos y respuestas en múltiples proveedoras de nube, así como en una red de puntos de conexión muy extensa, agrega capas de complejidad.

"Uno tiene extensiones de su centro de datos en múltiples lugares del mundo, afirma Juan Perez-Etchegoyen, investigador y copresidente del ERP Security Working Group de la Cloud Security Alliance (CSA), una organización sin fines de lucro. "Y luego tiene que cumplir con las regulaciones de todos los países o áreas con las que está tratando. Tenemos un número tan grande, y un número cada vez más grande, de regulaciones que impulsan los controles y el mecanismo que las empresas necesitan implementar, y todo eso aumenta la complejidad de cómo protegemos los datos.

Falta de visibilidad.Las organizaciones de TI a menudo no conocen todos los servicios en la nube que utilizan los empleados, quienes pueden eludir fácilmente a las áreas de TI de la empresa para comprar por su cuenta ofertas de software como servicio u otros servicios basados en la nube.

"Por lo tanto, estamos tratando de proteger los datos, estamos tratando de proteger el servicio, y estamos tratando de proteger el negocio, sin tener una comprensión clara de la ubicación de los datos, afirma Dimitriadis.

Nuevas amenazas.Los líderes de la seguridad empresarial también deben reconocer que el surgimiento de los ambientes multinubes podría dar lugar a nuevas amenazas, afirma Jeff Spivey, fundador y CEO de la consultora Security Risk Management Inc.

"Estamos creando algo donde todavía no conocemos todas las vulnerabilidades, y podríamos descubrirlas a medida que avanzamos, afirma.

Crear una estrategia de multinubes

Junto con el crecimiento del ambiente de multinubes, han surgido una serie de prácticas de seguridad más recomendables, afirman los expertos en seguridad, y existen varios pasos críticos que todas las organizaciones deben tomar a medida que desarrollan sus propias estrategias de seguridad.

Esto comienza con la identificación de todas las nubes donde residen los datos y la garantía de que la organización tenga un programa de gestión de datos sólido que "cuente con una imagen completa de los datos, y todos los servicios y activos de TI relacionados con la información, indica Dimitriadis.

Dimitriadis -quien además de su puesto en ISACA es también jefe de seguridad de la información, cumplimiento de la información y protección de la propiedad intelectual de INTRALOT Group, una proveedor y operadora de soluciones de juegos- reconoce que estas recomendaciones de seguridad no solo se ofrecen para ambientes de multinubes.

Sin embargo, afirma que tener implementadas tales medidas fundamentales se vuelve más importante a medida que los datos se mueven a la nube, y se extienden a través de diferentes plataformas de nube.

Las estadísticas señalan las razones por las que es tan importante contar con una sólida base de seguridad: el 2018 Cloud Threat Report de KPMG y Oracle, que encuestó a 450 profesionales de ciberseguridad y TI, informa que el 90% de las empresas clasifican la mitad de sus datos basados en la nube como confidenciales.

El informe también encontró que el 82% de los encuestados muestra preocupación frente a la posibilidad de que los empleados no sigan las políticas de seguridad en la nube, y el 38% tiene problemas para detectar y responder a incidentes de seguridad en la nube.

Para contrarrestar estas situaciones, las empresas deben clasificar la información para crear estratosferas de seguridad, afirma Ramsés Gallego, líder de ISACA, así como estratega y evangelista en la Office of the CTO en Symantec. Esta medida reconoce que no todos los datos requieren el mismo nivel de confianza y verificación para acceder o bloquear.

Los expertos en seguridad también recomiendan que las empresas implementen otras medidas de seguridad convencionales como capas fundamentales necesarias para proteger los ambientes de multinubes. Además de una política de clasificación de datos, Gallego recomienda el uso de soluciones de encriptación y administración de identidad y acceso (IAM, por sus siglas en inglés), como la autenticación de dos factores.

Luego, las empresas deben estandarizar sus políticas y arquitectura para garantizar una aplicación consistente y automatizar todo lo posible para ayudar a limitar las desviaciones de esos estándares de seguridad, afirma Sailesh Gadia, socio de la firma Emerging Technology Risk Services de KPMG, quien lidera la práctica de consultoría de riesgo de nube de la firma.

"El nivel de esfuerzo que una empresa pone debe depender del riesgo y la confidencialidad de los datos. Entonces, si está utilizando la nube para el almacenamiento/procesamiento de datos no confidenciales, no necesita el mismo enfoque de seguridad que una nube que contiene las joyas de la corona, afirma Gadia.

También señala que la estandarización y la automatización crean eficiencias, que no solo reducen los costos totales, sino que también permiten que los líderes de seguridad dirijan más recursos a tareas de mayor valor.

Según los expertos, dichos elementos fundamentales deben formar parte de una estrategia más amplia y cohesiva, señalando que a las empresas les va bien cuando adoptan un marco para la gobernanza del trabajo de seguridad. Los marcos comunes incluyen a NIST del National Institute of Standards and Technology; Control Objectives for Information Related Technology (COBIT) de ISACA; la ISO 27000 Series; y la Cloud Control Matrix (CCM) de la Cloud Security Alliance.

Establecer las expectativas de los proveedores

El marco de trabajo seleccionado debe guiar no solo a la empresa sino también a los proveedores, afirma Dimitriadis.

"Lo que debemos hacer es incorporarlos en los acuerdos con los proveedores de nube. Entonces podrá crear controles alrededor de los datos y servicios que está tratando de proteger, explica.

Los expertos en seguridad afirman que las negociaciones con los proveedores de nube y los acuerdos subsiguientes sobre los servicios deben abordar el tipo de aislamiento de datos que se proporcionará, dónde se almacenarán los datos y quiénes pueden acceder al proveedor, y cómo deben responder los proveedores si surgen problemas -incluyendo cómo cooperarán y se coordinarán con los otros proveedores de nube que le brindan servicios a la empresa.

"Sea específico acerca de cuáles son las expectativas y cómo se medirán, agrega Spivey. "Tiene que haber una comprensión clara de qué servicios está recibiendo de cada proveedor y si tienen la habilidad y la capacidad para administrarlo y gobernarlo.

Pero no les conceda demasiada autoridad de seguridad a los proveedores de nube, afirma Gallego.

Los proveedores de servicios en la nube a menudo venden sus servicios al resaltar el trabajo que realizan en nombre de los clientes empresariales, y si bien ese trabajo incluye servicios de seguridad, Gallego señala que "eso no es suficiente. Están en el negocio de la nube, no están en el negocio de la seguridad.

Por lo tanto, él afirma que los líderes de la seguridad empresarial deben formular sus planes de seguridad a un nivel detallado -"quién tiene acceso a qué, cuándo y cómo, afirma, y luego enviarlo a cada proveedor de nube para ayudar a hacer que se cumplan esos planes.

Agrega: "Los proveedores de nube necesitan ganarse nuestra confianza.

Emplear tecnologías emergentes

Sin embargo, según los expertos en seguridad, a pesar de ser esenciales, las políticas, la gobernanza e incluso las medidas convencionales de seguridad, como la autenticación de dos factores, no son suficientes para manejar las complejidades que conlleva la distribución de las cargas de trabajo en varias nubes.

Las empresas deben adoptar las tecnologías emergentes diseñadas para permitir que los equipos de seguridad empresarial administren y apliquen mejor sus estrategias de seguridad multinube.

Gallego y otros apuntan a soluciones como los corredores de seguridad de acceso a la nube (CASB, por sus siglas en inglés), el software local que la empresa coloca entre sí y los proveedores de servicios de nube para consolidar y aplicar medidas de seguridad como la autenticación, el mapeo de credenciales, el perfilado de dispositivos, el cifrado y la detección de malware.

También enumeran las tecnologías de inteligencia artificial que aprenden y luego analizan el tráfico de la red para detectar con mayor precisión las anomalías que requieren atención humana, limitando así el número de incidentes benignos que los recursos deben investigar y, en cambio, redirigiendo esos recursos hacia los incidentes con mayor probabilidad de presentar problemas.

Y citan el uso continuado de la automatización como una tecnología crítica para optimizar la seguridad en un ambiente de multinubes. Como señala Spivey: "Aquellas organizaciones que tienen éxito son aquellas que automatizan muchas de las piezas y se concentran en la gobernanza y la gestión.

Además, Spivey y otros afirman que, aunque las tecnologías exactas utilizadas para proteger los datos en multinubes, como los CASB, pueden ser exclusivas para ambientes de multinubes, enfatizan que el principio de seguridad general sigue el enfoque de larga data de direccionamiento de personas, procesos y tecnología para formular la mejor estrategia.

"Estamos hablando de diferentes tecnologías, diferentes contextos, un poco más de concentración en los datos, pero tiene que implementar los mismos conceptos, afirma Perez-Etchegoyen, quien también es CTO de Onapsis. "El enfoque técnico será diferente para un ambiente de multinubes, pero la estrategia general será la misma.