[16/12/2020] La TI empresarial ha adoptado el modelo multi-nube, con encuestas que muestran que casi todas las organizaciones ahora utilizan múltiples proveedores de nubes, así como numerosas soluciones basadas en la nube.
De hecho, la firma de analistas IDC espera que más del 90% de las empresas de todo el mundo tengan múltiples nubes públicas para el año 2022. El informe "2020 State of the Cloud" de Flexera, un proveedor de soluciones de gestión de TI, encontró que el 93% de las empresas tienen una estrategia de multi-nube -en comparación con el 81% de hace dos años- con los encuestados utilizando ahora una media de 2,2 nubes públicas y 2,2 nubes privadas.
Pero la creciente combinación de nubes públicas y privadas, así como de aplicaciones de software como servicio dentro de la empresa típica también ha dado lugar a crecientes preocupaciones de seguridad. Alrededor del 83% de las empresas encuestadas por Flexera mencionaron la seguridad como un desafío, por delante de las preocupaciones sobre la gestión del gasto en la nube (enumeradas por el 82%) y el gobierno (citadas por el 79%).
"El desafío que la multi-nube presenta a los equipos de seguridad sigue creciendo. El número de servicios que se están lanzando, las nuevas formas de interactuar, la interconexión de servicios y sistemas, todo eso sigue avanzando y todo eso añade nuevas complejidades al modelo de seguridad de la empresa", señala Randy Armknecht, director general y líder de tecnologías emergentes y prácticas globales en la nube de la empresa de consultoría Protiviti.
El alto nivel de preocupación por la seguridad del entorno multi-nube no es sorprendente, ya que los CISO han visto cómo el alcance de lo que deben proteger se ha desplazado desde la infraestructura confinada dentro de la empresa a una malla de recursos informáticos repartidos entre varios proveedores que ofrecen diferentes niveles tanto de servicios como de garantías de seguridad. Este vasto e ilimitado entorno crea una mayor superficie para los ataques de malware, las infracciones de datos, las violaciones de la conformidad/regulación y los problemas de resistencia. Es debido a esta complejidad añadida que la multi-nube se está convirtiendo en un vector de ataque, señala Sai Gadia, socio de la práctica de Riesgo Tecnológico de KPMG. "Y si hay alguna laguna en su gente clásica, proceso o tecnología, entonces los malos actores están buscando explotar eso".
Complejidad compuesta
La pila típica de infraestructura y soluciones de TI de las empresas hoy en día incluye no solo despliegues de nubes públicas y privadas, sino también un promedio de 288 ofertas de SaaS diferentes, según el informe 2020 SaaS Trends del proveedor de tecnología Blissfully. (Eso es además de las tecnologías heredadas en muchos casos, también).
Estos diversos elementos tienen diferentes requisitos de seguridad, así como diferentes niveles y tipos de capacidades de seguridad incorporadas. Los distintos proveedores de nubes tienen herramientas diferentes, a menudo utilizan términos diferentes para la misma clase de herramientas, y tienen posiciones diferentes en sus responsabilidades de seguridad. Todo esto hace que los proveedores de servicios de seguridad en la nube tengan que crear un conjunto cohesivo que documente si las características de seguridad proporcionadas por la nube son adecuadas, si se necesita más seguridad y dónde y qué medidas de seguridad adicionales se justifican.
"La nube se suponía que iba a hacer nuestras vidas más simples, y lo hace de muchas maneras; proporciona muchos beneficios. Pero desde el punto de vista de la seguridad, añade mucha complejidad porque hay mucho que hacer", comenta Garrett Bekker, analista de investigación senior del canal de seguridad de la información en 451 Research, una parte de S&P Global Market Intelligence.
Los encuestados en la encuesta del Informe sobre las amenazas a la nube de 2020 de Oracle y KPMG citaron la complejidad como un reto significativo, ya que el 70% de los encuestados dijeron que se necesitan demasiadas herramientas especializadas para asegurar sus huellas en la nube pública, y el 78% destacaron la necesidad de variar las políticas y procedimientos de seguridad entre sus aplicaciones residentes en la nube y las de las instalaciones.
Esto ha llevado al surgimiento de otro enemigo familiar de la seguridad: la falta de visibilidad.
"¿Cómo se toma toda la información dispar de los diferentes proveedores y se formula una única perspectiva de gestión?", pregunta Ed Moyle, socio fundador de Security Curve y desarrollador principal de Managing Security Impacts in a Multicloud Environment (Gestión de los impactos de seguridad en un entorno multi-nube) de la asociación de gobierno de TI, ISACA.
El desafío de la visibilidad es multicapa, señala Kathy Wang, CISO en Very Good Security y una reconocida líder de pensamiento de seguridad. Por ejemplo, algunos equipos de seguridad de la empresa no tienen conocimiento de todos los despliegues de la nube de la organización (especialmente cuando se tienen en cuenta las ofertas de SaaS compradas directamente por las unidades de negocio). Incluso cuando lo hacen, muchos tienen dificultades para supervisar todas las distintas implementaciones de la nube para detectar problemas. Y otros luchan con la compilación y la comprensión de todos los datos de las herramientas de gestión de incidentes.
Desarrollo de una estrategia
El diseño de una estrategia de seguridad multi-nube comienza con la identificación de todas las nubes utilizadas por la empresa, asegurándose de que la empresa tiene un sólido programa de gobierno de datos para guiar las decisiones de seguridad relacionadas con la nube, y desplegando las herramientas adecuadas en los lugares correctos para hacer valer los niveles apropiados de controles.
"La empresa debe alinear sus herramientas, procesos, capacidades de monitoreo, mentalidad operacional y muchos otros elementos de su plan de seguridad para considerar que múltiples proveedores están en juego", anota ISACA en su documento Managing Security Impacts in a Multicloud Environment.
Gadia dice que los CISO se están moviendo en esa dirección, señalando que la encuesta de Oracle-KPMG muestra que las organizaciones tienen más arquitectos de seguridad en la nube que arquitectos de seguridad. Aún así, Gadia dice que muchos equipos de seguridad tienen que ir más allá para añadir personal que tenga todas las habilidades necesarias para crear una arquitectura de nube segura.
A continuación, se describen tres pasos clave para una mayor seguridad en la multi-nube.
Cuide sus aplicaciones y datos. La importancia de la seguridad de las aplicaciones en un entorno multi-nube no puede ser subestimada. "Ahora, más que nunca, es fundamental contar con un enfoque robusto y sólido para endurecer y asegurar las aplicaciones", afirma Ramsés Gallego, director internacional de seguridad, riesgo y gobierno de Micro Focus y embajador del capítulo de ISACA en Barcelona. Esto significa no solo asegurar que el código esté libre de errores, sino que cualquier aplicación de biblioteca que pueda estar utilizando esté actualizada y no tenga vulnerabilidades, añade.
Gallego añade que "la gestión de datos, la minimización de datos y, lo que es más importante, la anonimización y el cifrado de datos son pilares fundamentales de la 'catedral' que las empresas quieren construir. Al igual que en la ingeniería civil, los cimientos tienen que ser sólidos como una roca y, como indican algunos reglamentos, es imperativo que se elija la estrategia adecuada para el enmascaramiento y la ocultación de los datos (tokenización, encriptación, etc.)".
Emplee las herramientas adecuadas. Ensamblar la mezcla apropiada de herramientas y tecnologías para la mezcla única de soluciones de nube de cada organización requiere trabajo, señala Wang, dadas las variaciones de las características de seguridad incorporadas en las diferentes ofertas de nube. Por lo tanto, los CISO se ven obligados a determinar con gran detalle qué soluciones funcionan y dónde, y a seleccionar soluciones que puedan abarcar todo su entorno de nubes para crear un único panel de vidrio en la escena de la seguridad.
Por ello, los expertos citan la necesidad de tecnologías como los agentes de seguridad de acceso a la nube (CASB), software que la empresa se coloca entre ella y los proveedores de servicios de la nube para consolidar y hacer cumplir medidas de seguridad como la autenticación, la asignación de credenciales, la elaboración de perfiles de dispositivos, el cifrado y la detección de malware.
Los expertos también recomiendan la gestión de la postura de seguridad en la nube (CSPM), una tecnología más reciente que evalúa el entorno de la nube de una empresa en función de sus requisitos de seguridad para hacer cumplir de forma continua las configuraciones de la nube.
"Los CASB siguen siendo relevantes pero muy centrados en el SaaS, mientras que la CSPM se centra más ampliamente en todos los modelos de servicios en la nube (IaaS, PaaS, SaaS)", señala Juan Pérez-Etchegoyen, investigador y copresidente del Grupo de Trabajo de Seguridad de ERP en la organización comercial sin ánimo de lucro, Cloud Security Alliance (CSA).
Hornee la seguridad en. Los líderes en seguridad también aconsejan a los CISO que adopten la confianza cero y que avancen hacia la implementación de las tecnologías que apoyan el modelo de seguridad de confianza cero, un modelo que asume que las conexiones no son dignas de confianza, a menos y hasta que puedan demostrar que son de confianza.
"En un modelo de seguridad de confianza cero, la seguridad de los activos de la nube no depende de la confianza de los usuarios y los dispositivos dentro de la red extendida; en su lugar, la confianza cero depende de los menores privilegios/acceso sobre la base de la necesidad de conocer solamente", señala Gadia. "Cada usuario y dispositivo es verificado antes de que se le conceda acceso a los recursos del entorno de la nube -en todos los servicios, proveedores de nubes y plataformas que se utilizan".
Moyle dice que este cambio de mentalidad de ver todo como poco fiable hasta que se verifique, ayuda a los equipos de seguridad a proteger la empresa tanto contra los despliegues de nube sancionados como contra la Shadow TI, así como contra los proveedores de nube cuya propia seguridad integrada no es tan robusta como la organización requiere.
"Esto no quiere decir que estos otros proveedores no tengan una buena seguridad -absolutamente podrían- es solo que se está asumiendo que el entorno es hostil y por lo tanto se diseña para eso", sostiene Moyle.
Por último, según los expertos, los CISO que buscan mejorar la postura de seguridad de su entorno multi-nube también necesitan asegurarse de que disponen de procesos que respalden sus normas de seguridad, completando así el enfoque tradicional de personas-proceso tecnológico que durante mucho tiempo ha dominado la seguridad.
Para ello es necesario que todos los interesados de la empresa colaboren para equilibrar las necesidades comerciales, los objetivos de seguridad y las obligaciones de cumplimiento.
"Es necesario que haya una conversación estratégica de alto nivel sobre cómo hacemos la gestión de riesgos para la nube y cómo la naturaleza del desarrollo de la nube dentro de nuestra organización afecta a la forma en que tomamos decisiones de riesgo con la tecnología", señala Fernando Montenegro, analista principal de investigación del equipo de seguridad de la información de 451 Research, añadiendo que ve más CISOs y sus equipos trabajando en colaboración con los desarrolladores y otras partes interesadas al principio de los ciclos del proyecto para garantizar que la seguridad sea considerada desde el principio.
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú