[25/03/2021] Una encuesta reciente de BetterCloud encontró que, en promedio, las empresas utilizan 80 aplicaciones diferentes de terceros en la nube para colaborar, comunicarse, desarrollar, administrar contratos y funciones de recursos humanos, autorizar firmas y respaldar funciones empresariales que procesan y almacenan datos confidenciales. Estos tipos de aplicaciones se conocen como SaaS (software como servicio).
Las organizaciones también están desarrollando aplicaciones y negocios completos en plataformas (PaaS o plataforma como servicio) e infraestructuras (IaaS o infraestructura como servicio) públicas. En el 2020, el 76% de las empresas ejecutó sus aplicaciones en Amazon Web Servers (AWS) y un 63% lo hizo en Microsoft Azure.
Todos estos servicios de nube pública son necesarios y productivos, e incluso prometen un entorno más seguro que los centros de datos tradicionales, señala Michael Johnson, actual asesor y ex CISO de Capital One. Sin embargo, también traen riesgos particulares para los datos confidenciales que se procesan y almacenan en estas nubes, y la mayoría de esos riesgos son causados por errores del cliente en la configuración y administración de esos servicios.
Johnson guio a Capital One a lo largo de un incidente público en el 2019 que expuso 80 millones de registros personales. El atacante se aprovechó de un entorno de nube de terceros mal configurado. Johnson y su equipo contuvieron la filtración y ayudaron a que el ladrón de datos fuera arrestado rápidamente antes de que los datos fueran explotados gracias a un sólido plan de respuesta, transparencia con la junta y el equipo ejecutivo, y relaciones preexistentes con la policía.
Tener un plan de respuesta que aborda los riesgos de colocar datos confidenciales en la nube debería ser parte de cualquier política de seguridad de la nube. Para comenzar con las políticas de protección de datos para el uso de la nube pública, es importante saber cómo se pueden exponer o robar los datos de los servicios públicos en nubes de terceros.
Cómo es que los datos son vulnerables en la nube
Las violaciones o filtraciones de datos en servicios en la nube de terceros se producen principalmente debido a una configuración incorrecta y un control de cambios inadecuado, como permisos excesivos, credenciales predeterminadas, cubos de AWS S3 mal configurados, y controles de seguridad en la nube deshabilitados, de acuerdo con el informe anual de la Cloud Security Alliance (CSA). Esto implica una falta de estrategia o arquitectura de seguridad para la nube, que es la siguiente razón más común que causa que los datos se vean comprometidos, seguida de una gestión de claves e identidades insuficiente, según el informe. Las amenazas internas están más abajo en la lista, seguidas de APIs inseguras, fallas estructurales y visibilidad limitada de las actividades de la nube y los controles de seguridad.
"Debido al trabajo remoto, SaaS se ha convertido en un enfoque importante para nosotros en el 2021”, comenta Jim Reavis, CEO de CSA. "Estamos viendo un crecimiento fenomenal en la adopción de la nube pública, pero con las prisas, las organizaciones se olvidan de asegurar la red perimetral en la nube. Por ejemplo, las personas están reutilizando sus credenciales en varios servicios en la nube, por lo que ahora los ataques de relleno de credenciales están aumentando”.
Para mayo del 2020, el uso de Cisco WebEx había aumentado en un 600%, Zoom en un 350%, Microsoft Teams en un 300% y Slack en un 200%, de acuerdo con una encuesta de McAfee. En la prisa inicial por respaldar el trabajo remoto, Reavis identifica muchas fallas que pueden conducir a la filtración de datos: los equipos de TI no protegieron los contenedores de almacenamiento en la nube, no implementaron prácticas seguras para los desarrolladores, ni coordinaron los programas de identidad y acceso. Incluso algunos codificaron de forma fija credenciales de aplicaciones que los delincuentes encuentran en los repositorios. "Estas son cosas bastante básicas”, agrega.
Seguir estas buenas prácticas reducirá significativamente el riesgo que conlleva almacenar o procesar datos en la nube.
1. Haga un inventario del uso de la nube
La mejor manera de combatir las amenazas a los datos en la nube, es tomar el control del uso de las aplicaciones en la nube y realizar evaluaciones de riesgo en las etapas de planificación de cualquier iniciativa nueva que involucre servicios de nube pública, aconseja Ian Poynter, un CISO fraccional para empresas grandes y medianas.
El consenso entre los CISOs es que las instancias en la nube de los usuarios no siempre están autorizadas, y rara vez se monitorean de manera efectiva para datos expuestos. "Por ese motivo es que los CISOs debe ser parte del equipo ejecutivo”, asegura Poynter. "Necesitan la ventaja de saber lo que está sucediendo y, también, crear un entorno de colaboración donde los gerentes de las unidades de negocio quieran acercarse a ellos, compartir su nuevo proyecto o producto, y luego hacer que evalúen los productos en la nube que buscan para respaldarlos”.
En una empresa, cuenta que llegó a alertar a la contabilidad sobre qué aplicaciones y plataformas en la nube de terceros estaban aprobadas para el reembolso. Si las unidades de negocio o los usuarios individuales compraron fuera de los servicios aprobados sin aprobación previa, su solicitud de reembolso era rechazada.
Esta fue una forma manual pero efectiva de hacer cumplir las listas blancas de aplicaciones en la nube. Las listas de permisos y denegaciones de aplicaciones en la nube también son controles técnicos sólidos que generalmente se implementan en puntos finales controlados por la empresa, o mediante técnicas de confianza cero, como el aislamiento del navegador para controlar la sesión remota entre el usuario, la empresa y la aplicación en la nube.
2. Opte por ser nativo de la nube en cuanto a seguridad
Johnson sugiere aprovechar las ofertas de seguridad nativas de la nube en aplicaciones y servicios de nube maduros en los que su organización se ha estandarizado. Por ejemplo, él sugiere AWS Inspector para evaluar el cumplimiento de la configuración de las aplicaciones en uso y Amazon GuardDuty para detectar actividad maliciosa y comportamiento no autorizado. Haga las averiguaciones necesarias respecto a la reputación del proveedor de la nube, señala, y evite los negocios pequeños. "Los proveedores más grandes suelen obtener mejores calificaciones en la protección de datos y los controles de visibilidad”.
La seguridad nativa difiere entre los modelos de servicios. Los proveedores de IaaS y PaaS ofrecen herramientas de seguridad y configuración para las aplicaciones que los compradores crean en su infraestructura o plataformas. Estas se proporcionan de forma nativa o a través de terceros mediante el pago de una tarifa. En el caso de las aplicaciones SaaS, como DocuSign, Slack o Box, la seguridad es principalmente nativa. Por ejemplo, Microsoft 356 ofrece auditoría avanzada para Exchange, SharePoint e instancias de Azure de Active Directory (entre otras ofertas de seguridad).
Una mirada hacia la empresa en la nube de Box permite vislumbrar cómo se procesan los datos confidenciales dentro y fuera de los proveedores externos. Box administra múltiples aplicaciones para respaldar el flujo de trabajo, contratos digitales, recursos humanos, reuniones de Zoom, almacenamiento de datos históricos, carga y otras funciones de recursos humanos. Las nubes dentro de nubes surgen cuando los usuarios pueden conectar Box a otros servicios en la nube, como Facebook Workplace, con capacidades completas de transferencia de datos a través de Box Shuttle.
A medida que más aplicaciones surgen en el universo de Box, los conjuntos de herramientas de seguridad y cumplimiento integrados para sus usuarios son diferenciadores críticos, asegura Alok Ojha, vicepresidente de productos de seguridad, privacidad y cumplimiento de Box. Ojha señala a Content Cloud como un lugar en el que los usuarios de Box pueden lograr una seguridad constante en diferentes flujos de trabajo y visibilidad para estar al tanto de qué archivos y datos se tramitan en la aplicación, junto con quién accede a los datos y con qué fines.
Otra herramienta nativa, Box Shield, se puede configurar para buscar y clasificar datos confidenciales, aplicar controles adecuados a los datos clasificados, reducir el riesgo de amenazas internas y de malware, comprender qué requisitos normativos están asociados con los datos y garantizar una pista de auditoría para los reguladores. También recomienda un enfoque renovado en la gestión de identidad y acceso (IAM), particularmente el uso de autenticación multifactor para usuarios y socios externos en lugar de contraseñas reutilizables.
3. Proteja los datos en la capa de datos
Arti Raman, fundadora y CEO de la empresa de protección de datos Titaniam, advierte contra la dependencia excesiva de los controles de identidad y acceso para protegerse contra las filtraciones de datos, y argumenta que los controles también deben centrarse directamente en los datos que se procesan y almacenan en nubes públicas. Pero la protección de datos desde el punto final hasta la empresa y la nube es notoriamente difícil, y debe ser lo suficientemente flexible como para cruzar todos estos límites y aún más para proteger los datos a lo largo de su ciclo de vida.
"Creemos que el cifrado y la protección de datos deben permanecer presentes cuando los datos se indexan, buscan, agregan, consultan o se manipulan, manteniendo los datos en uso en un formato protegido de forma adaptativa sin restringir ninguna funcionalidad”, señala. "Esto incluye técnicas de cifrado tradicionales, así como nuevas técnicas de búsqueda que utilizan el cifrado tradicional para alcanzar los estándares de cumplimiento”.
Una política de eliminación de datos también es importante, agrega Ojha de Box. Los datos que ya no necesitan permanecer en la infraestructura y las aplicaciones en la nube de terceros deben ser eliminados, preferiblemente de forma automática, según los requisitos empresariales y normativos establecidos para esos datos.
Basado en el artículo de Deb Radcliff (CSO) y editado por CIO Perú