Llegamos a ustedes gracias a:



Reportajes y análisis

5 principales retos de seguridad en la nube híbrida

[12/01/2022] Para un número cada vez mayor de organizaciones, los entornos de TI abarcan una mezcla de servicios de nube pública, nubes privadas e infraestructura local, siendo esta última una parte cada vez más pequeña de la mezcla.

En los últimos dos años se ha producido un importante aumento en el uso de los servicios en la nube, y la tendencia no muestra signos de desaceleración. Un informe de abril del 2021 de la empresa de investigación Gartner prevé que el gasto mundial en servicios de nube pública crecerá un 23% este año.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Las tecnologías emergentes, como la contenedorización, la virtualización y la computación de borde se están convirtiendo en la corriente principal y están impulsando el gasto en la nube, según el informe. El software como servicio (SaaS) sigue siendo el mayor segmento del mercado.

En lugar de desplegar un solo tipo de servicio en la nube, las empresas están optando por una combinación para cumplir sus objetivos empresariales. El modelo de nube híbrida puede ofrecer una flexibilidad sin precedentes a las empresas. Pueden aumentar o reducir la capacidad según sea necesario, y mover los datos y las cargas de trabajo desde y hacia cualquier número de servicios en la nube. La nube híbrida también presenta riesgos de ciberseguridad que, si no se abordan, pueden provocar pérdidas importantes.

A continuación, se presentan los cinco principales retos a los que se enfrentan los líderes y equipos de seguridad con el modelo de nube híbrida y cómo pueden abordarlos.

1. Mayor complejidad, menor visibilidad

A medida que las empresas despliegan más servicios de nube pública y añaden capacidades de nube privada, sus entornos de TI se vuelven mucho más complejos desde el punto de vista de la gestión y la seguridad. Si no toman medidas para supervisar el uso de los servicios, pierden visibilidad de lo que ocurre en este entorno.

Un entorno híbrido introduce naturalmente más complejidad; hay muchas más "ventanas y puertas" que cerrar, y más mantenimiento de la seguridad -parches, etc.- que realizar", comenta Chris Kanaracus, director de investigación de infraestructura/servicios de nube dedicada e híbrida en la firma de investigación International Data Corp. (IDC). "Hemos visto tantas historias de alto perfil en los medios de comunicación sobre fugas de datos causadas por errores humanos, como cubos de almacenamiento mal configurados en las nubes públicas".

La Cloud Security Alliance (CSA), una organización que define normas, certificaciones y mejores prácticas para ayudar a garantizar un entorno de computación en la nube seguro, citó la mala configuración y el control de cambios inadecuado, así como la visibilidad limitada del uso de la nube como algunas de las principales amenazas para la computación en la nube en el 2020.

La preponderancia de los servicios en la nube requerirá a menudo un cambio en la forma en que las organizaciones abordan la seguridad. "Si bien la elección de un entorno de nube híbrida puede ofrecer a las organizaciones opciones y flexibilidad, también significa que los líderes de TI deben reevaluar sus prácticas de seguridad y considerar cómo pueden necesitar ser adaptadas", señala Mandy Andress, el CISO de Elastic, un proveedor de productos de búsqueda en línea. "El dicho 'no puede asegurar lo que no puede ver' es especialmente cierto en las arquitecturas de nube híbrida". "Mezclar nubes o infraestructuras públicas y privadas puede incrementar la complejidad y aumentar el riesgo de una organización, lo que hace que la visibilidad y el control sean primordiales para asegurar un sistema distribuido".

2. Déficit de conocimientos y habilidades

La grave escasez de competencias en ciberseguridad está bien documentada. Muchas organizaciones se esfuerzan por encontrar personas para cubrir una serie de funciones, pero identificar y contratar a profesionales de la seguridad que también entiendan la nube lleva el reto a otro nivel. Esta brecha de conocimientos sobre la seguridad en la nube puede dejar a las empresas expuestas al riesgo, por lo que necesitan encontrar formas de cerrar la brecha antes de que sea demasiado tarde.

Una forma es ofrecer formación interna y externa. Se necesita un esfuerzo concertado entre las líneas de negocio, el liderazgo y el equipo de ciberseguridad, la formación y los recursos humanos para desarrollar un plan de estudios y rutas de formación multimodal para el crecimiento continuo de las habilidades para apoyar un complejo entorno de nube híbrida, señala Vikram Kunchala, líder de la nube cibernética de asesoramiento financiero y riesgo y director de la consultora Deloitte.

"Es vital tener en cuenta que la mayoría de las organizaciones no tecnológicas y los proveedores de servicios no relacionados con la nube compiten por la misma reserva de talento en la nube", afirma Kunchala. "Como tal, la contratación es un reto y [las empresas] no deben confiar únicamente en ella como opción. El desarrollo de programas de formación para mejorar las habilidades de los empleados actuales puede ayudar en esta área".

Una sólida gobernanza es otro componente clave en un entorno de nube híbrida, afirma Kunchala. Tener una matriz de responsabilidad bien definida y modelos operativos, puede aliviar las preocupaciones y permitir una gobernanza eficaz. "Las métricas de monitoreo proporcionan visibilidad sobre la eficacia de varios equipos de seguridad y la efectividad de los controles implementados", señala.

Los CISOs y otros líderes de seguridad "necesitan considerar la eficiencia de sus recursos humanos y el uso de sus habilidades", agrega Andress. "En un entorno de nube híbrida, los equipos de seguridad podrían tener que aprender las funciones de seguridad de dos [o más] servicios en la nube".

3. Cambiando las responsabilidades de seguridad

La responsabilidad de establecer controles en torno a la seguridad del perímetro, la infraestructura y la virtualización se desplaza progresivamente a los proveedores de la nube en un ecosistema de nube pública, por lo que comprender el cambiante modelo de responsabilidad compartida de la seguridad es vital, afirma Kunchala. "Las organizaciones intentan extender los controles de seguridad de la nube privada y la pila tecnológica a las nubes públicas, lo que no funciona en algunos casos", afirma. "No tener una [matriz de asignación de responsabilidades] y/o un modelo operativo claramente definidos en un ecosistema de nube híbrida, deja espacio para amenazas no mitigadas y capacidades no abordadas que impiden a la organización escalar y cumplir con los objetivos de negocio".

A pesar de la importancia de conocer y seguir el modelo de responsabilidad compartida que conlleva el uso de los servicios en la nube, no es algo que hagan todas las empresas. "El modelo de responsabilidad compartida que utilizan las empresas de la nube pública es algo que muchas empresas todavía se esfuerzan por tener en cuenta", afirma Kanaracus.

4. Desajustes en la protección de la red

La seguridad de la red es un área clave en la que las organizaciones siguen teniendo problemas, ya que las herramientas de los proveedores existentes que soportan la nube privada pueden no ser adecuadas para las nubes públicas, señala Kunchala. "Las organizaciones aprovechan los contenedores para la transición y la gestión sin problemas a través de la nube híbrida, y no entender los matices como la malla de servicios y la seguridad de la API [puede] conducir a un compromiso potencial de los contenedores y una mayor explotación".

La mayoría de los proveedores de herramientas de seguridad basadas en la nube pública admiten entornos de nube privada, agrega Kunchala. "Pero las herramientas tradicionales de los proveedores creadas específicamente para las instalaciones o la nube privada pueden no extenderse, o proporcionar características completas para la nube pública", sostiene. "El análisis de los proveedores es clave y debe realizarse una vez que se hayan identificado todos los requisitos y casos de uso".

5. Capacidades de registro y supervisión dispersas

En un entorno de nube híbrida, las fuentes de registro están dispersas entre los sistemas locales, los sistemas de nube pública, las herramientas de los proveedores y los servicios nativos de la nube, señala Kunchala. "Es fundamental identificar la telemetría de registros [y] construir métricas para la supervisión". Las organizaciones necesitan indicadores clave de rendimiento (KPI) para las métricas de nivel operacional y funcional y los indicadores clave de riesgo (KRI) para los informes ejecutivos, anota.

"Sin embargo, la maduración de las capacidades de registro y supervisión es un viaje de uno a dos años, que requiere una serie de pasos y herramientas para procesar los registros y correlacionarlos a través de múltiples fuentes para llegar a métricas definidas", señala Kunchala. El objetivo final es desarrollar paneles de información personalizados para atender a los ejecutivos, para ayudarles a entender el riesgo residual y el impacto de los servicios en la nube, anota. Mientras tanto, los equipos operativos obtendrán una visibilidad completa de las amenazas persistentes avanzadas en todo el panorama.

También parte de este informe: