Llegamos a ustedes gracias a:



Noticias

La nube: Presentan Informe dirigido a legisladores y reguladores

[04/09/2020] Aunque tiene casi 30 años, la computación en nube es todavía una tecnología "nueva" para la mayoría de las organizaciones. La nube promete reducir los costos y aumentar la eficiencia mediante el almacenamiento y la gestión de grandes depósitos de datos y sistemas que, en teoría, son más baratos de mantener y más fáciles de proteger.

Dada la creciente prisa de las organizaciones por pasar a la nube, no es de extrañar que algunos encargados de formular políticas pidan que se regule esta tecnología perturbadora. Por ejemplo, el año pasado, las representantes Katie Porter (D-CA) y Nydia Velázquez (D-NY), instaron al Consejo de Supervisión de la Estabilidad Financiera (FSOC) a considerar los servicios de la nube como elementos esenciales del sistema bancario moderno, y a someterlos a un régimen regulador obligatorio. Sus llamamientos a este tipo de supervisión se produjeron a raíz de una importante violación de datos de Capital One en la que un empleado de la institución financiera pudo robar más de 100 millones de solicitudes de crédito de clientes explotando un firewall mal configurado en las operaciones alojadas en Amazon Web Services (AWS).

Es por eso que la Carnegie Endowment for International Peace publicó un estudio que pretende dar a los legisladores y reguladores una comprensión básica de lo que está sucediendo en la arena de la nube, con un enfoque particular en la seguridad de estas vastas reservas de información. "Cloud Security: A Primer for Policymakers", escrito por Tim Maurer, codirector de la Iniciativa de Políticas Cibernéticas de la Fundación Carnegie y Garrett Hinck, estudiante de doctorado de la Universidad de Columbia y ex asistente de investigación de la Fundación Carnegie, sostiene que "el debate sobre la seguridad en la nube sigue siendo vago, y las implicaciones de las políticas públicas [son] poco comprendidas".

Desde una perspectiva de política pública, "la imagen de una nube oscurece tanto como explica", afirma el informe. "Una imagen más matizada emerge cuando se considera la nube en términos de sus capas, desde los centros de datos físicos y el cableado de la red que forman su base, hasta los entornos de software virtual y las aplicaciones con las que los usuarios cotidianos interactúan".

Riesgo sistémico de seguridad de la nube

Pero, según el documento, el servicio de nube se concentra en manos de unos pocos proveedores, entre ellos AWS, Microsoft Azure y Google Cloud, los llamados proveedores de servicios de nube de "hiperescala", con empresas como Alibaba Cloud y Tencent que desempeñan un papel similar en China. El creciente costo de los ciberataques hace que la mayoría de las empresas no puedan defenderse de forma efectiva, por lo que las organizaciones "es mejor que confíen su seguridad a los equipos de seguridad de estas empresas externas". Sin embargo, esa solución plantea un nuevo problema que es "el riesgo sistémico asociado a un enfoque centralizado".

"Hay muy poca comprensión de lo que es la nube", señala Maurer. "Hay muy poco por ahí que describa lo que es la nube y cómo pensar en la seguridad cibernética".

Las preocupaciones de la política de seguridad de las nubes

Aunque el informe de Carnegie Endowment se mantiene alejado de las recomendaciones de política pública, señala que hay dos preocupaciones políticas clave que deben ser equilibradas. "Al pensar en la seguridad y la nube, hay esencialmente dos desafíos de política pública que tenemos que pensar y separar", indica Maurer.

"El primero es el actual y conocido problema de la inseguridad cibernética. La mayoría de las organizaciones aún luchan por protegerse eficazmente contra los hackers".

Pocas organizaciones pueden rivalizar con el nivel de seguridad "Fort Knox" proporcionado por Google, Amazon o Microsoft, por lo que sería mejor que confiaran la seguridad a estos gigantes. "Para ellos, migrar a la nube puede realmente mejorar su ciberseguridad, porque pueden entonces externalizar y delegar la protección a los equipos de seguridad realmente bien pagados de los principales proveedores de seguridad", indica Maurer. Esas organizaciones aún tendrían que configurar adecuadamente sus configuraciones en la nube para evitar la exposición accidental de los datos, lo cual, según el informe, es uno de los eventos más comunes para interrumpir los servicios en la nube.

Por otra parte, los proveedores de nubes también plantean ese riesgo para el sistema, a saber, que permitir que tantos datos se almacenen en manos de gigantes podría invitar a que se produzcan eventos raros pero catastróficos. El informe cita un estudio del Lloyds de Londres del 2018 que estima que una interrupción de tres a seis días de un importante proveedor de servicios de nube podría causar pérdidas económicas de hasta 15 mil millones de dólares. Además, al igual que Fort Knox, los servicios de nube podrían convertirse en jugosos objetivos para los atacantes debido a la cantidad de riquezas que contienen.

"Un número creciente de responsables políticos en el Congreso, pero también en otros lugares del mundo, están empezando a preocuparse por el hecho de que cuanto más empresas y gobiernos migran a la nube, más concentrado es el riesgo, más sistémico, que supone la migración a la nube", señala Maurer. "Si se produce un incidente importante que afecta a un proveedor de servicios en la nube, entonces podría afectar a toda una industria y tener un impacto más amplio en todo el sector".

La nube es más segura que on-premises

Aun así, el riesgo sistémico no debería eclipsar los beneficios de seguridad de moverse a la nube. "En realidad, estamos a punto de que la gente se preocupe demasiado por el riesgo sistémico, y pierda de vista el hecho de que la migración a la nube puede ayudarnos a resolver el problema actual de la ciberseguridad", anota Maurer. Un CISO le dijo recientemente a Maurer que "migrar a la nube hace a la organización diez veces más segura que lo que su equipo de seguridad podría lograr por sí solo".

Otras preocupaciones planteadas brevemente en el informe se centran en el dominio de los proveedores de nubes americanos en el extranjero. "La seguridad es solo una de las cosas en las que piensan los gobiernos. También hay una cuestión de localización de datos, una cuestión de antimonopolio, una cuestión que muchos de ellos quieren construir sus propias industrias tecnológicas nacionales y por lo tanto están imponiendo leyes que tratan de restringir a los proveedores de servicios de nube principalmente estadounidenses".

Un enfoque de colaboración para la seguridad en la nube

De cara al futuro, la seguridad en la nube se beneficiaría de un enfoque de colaboración entre esos gigantescos proveedores, sostiene Maurer, dado que la competencia vertiginosa entre ellos se interpone en el camino de la protección contra las amenazas que los afectan a todos. "Si nos fijamos en el nivel actual de madurez y cultura en la industria tecnológica, es tan hiper-competitiva que rara vez se hablan entre ellos y rara vez discuten sobre la seguridad que podría afectar a todos ellos", anota.

Aunque críticos de una iniciativa de colaboración en materia de seguridad en la nube podrían plantear inquietudes antimonopolio, existen modelos de enfoques similares en otros sectores, como el financiero y el aeronáutico, señala Maurer. "Si nos fijamos en otras industrias altamente competitivas como la financiera, como la de la aviación, todas ellas han formado consorcios industriales específicos que están diseñados para ayudar a abordar la seguridad, porque reconocen los riesgos de toda la industria y no solo de las empresas individuales".

"En el futuro será mucho más importante que los principales proveedores de servicios de nube se reúnan para compartir y comparar notas... y también para compartir potencialmente datos sobre los agentes de la amenaza que pueden estar dirigiéndose a ellos. Es probable que esto dé más frutos en el futuro que un marco reglamentario, que está por venir", finalizó.