Ciberseguridad y cloud: ¿son compatibles?

  • Reportajes

Desayuno Cloud

Indudables son las ventajas que el cloud ha traído a la industria, pero también genera grandes retos. Si sumamos la movilidad a la deslocalización de los datos y las aplicaciones como consecuencia de utilizar servicios en la nube, ¿podemos garantizar que cada usuario sólo accede a lo que debe? ¿Qué lo hace desde donde debe? ¿Con el dispositivo adecuado?

Estas y otras preguntas se han planteado en desayuno de IT Digital Seguridad sobre Ciberseguridad y cloud, en el que participan Bosco Espinosa de los Monteros, preventa de Kaspersky Lab; José de la Cruz, Director Técnico de Trend Micro; Eusebio Nieva, Director Técnico de Check Point para España y Portugal; Carlos Barbero, Identity, Access and Security de Micro Focus; y Rubén Muñoz, Iberia Country Lead Security Advisory Services de DXC.

Este contenido fue publicado en el número de Noviembre de la Revista IT Digital Security, cuyo tema de portada se centró en la Seguridad Endpoint. Aún estás a tiempo de descárgarte la revista.

También puedes leer...

La nueva Mafia

El riesgo de los altavoces inteligentes

Los cinco grandes mitos de las Brechas de Seguridad

Consideraciones para la creación de un SOC

Cómo utilizar la Dark Web para la inteligenciad de amenazas

El desayuno se iniciaba con algunas cifras aportadas por Juan Ramón Melara, moderador del evento junto con Rosalía Arroyo por parte de IT Digital Security: El 41% de las cargas de trabajo empresariales ya se están ejecutando en la nube, y se espera que el porcentaje se incremente hasta el 60% para el próximo año; según un estudio de IDC, el 87% usuarios cloud ya han adoptado una estrategia de nube híbrida, y que el gasto va a pasar del 37% en 2016 al 47% en 2018. Los datos indican, según Juan Ramón Melara, que el cloud es una realidad más tangible, y que la seguridad ha pasado de ser una barrera a un habilitador de la nube.

Para Bosco Espinosa de los Monteros la seguridad “no era tanto un stopper como una incertidumbre”, y añadía el directivo que se dependía totalmente de los proveedores de los servicios, que no había un gran conocimiento las medidas a adoptar y que la legislación no estaba clara. A día de hoy, sin embargo, no sólo se ve una oferta más madura, sino también más conocimiento.

José de la Cruz ha asegurado que la nube “nos ha aportado mucha flexibilidad”, pero siempre existía el riesgo de la seguridad. Y cree el ejecutivo que actualmente la tecnología está lo suficientemente madura para que una compañía se plantee el paso a la nube, “donde además tenemos medidas de seguridad más inmediatas de las que podemos tener en nuestras instalaciones”.

El director Técnico de Check Point para España y Portugal, Eusebio Nieva, decía en su intervención inicial que la seguridad tradicional también tiene que seguir a las operaciones que se están haciendo en la nube. “La seguridad tiene que tener una continuidad, y eso es lo que estamos ofreciendo los fabricantes, no dejar que la nube vaya sola”.

Para Carlos Barbero un punto importante es mantener el control de los usuarios, la gestión de contraseñas... Ahora se pueden implementar los sistemas de seguridad locales en la nube y existen normativas que están regulando todo este mercado. Decía Bardero que las empresas son muy conscientes de que el uso de Dropbox es extenso, pero que las normativas están forzando ciertas limitaciones.

“Históricamente se ha visto seguridad pomo un stopper, no sólo para cloud sino para otras muchas tecnologías”, decía Rubén Muñoz. Añadía el directivo que en realidad la seguridad es una necesidad para cualquier ámbito de la visa empresarial, pero que el cloud ha sido una ampliación del horizonte de posibles problemas, “y esos posibles problemas dentro del cloud implican otra vez al eslabón más débil de la cadena, que es el usuario”.

Seguridad híbrida

Una de las preguntas planteadas en el desayuno es si una vez que hablamos de cloud y seguridad, esta cambia dependiendo del tipo de cloud: pública, privada o híbrida. Para el director de preventa de Kaspersky Lab, una vez que el recurso es accesible desde el exterior da igual. La única diferencia, explicaba Bosco Espinosa de los Monteros, es quién pone las medidas de seguridad; si es privada las tienes que poner la empresa, y si es pública las tiene que poner el proveedor.

“Lo que un cliente tiene que hacer claramente es escoger el proveedor de servicios adecuado y leerse muy bien el contrato para ver qué medias de seguridad están aplicando”, decía el ejecutivo de Kaspersky. Y no es un consejo que deba echarse en saco roto, ya que como recordaba el directivo, “la obligación de proteger el dato es del propietario del dato, no es del proveedor que está dando el servicio”, añadía Espinosa de los Monteros antes de plantear que la adopción de la nube debe ser muy medida.

Rubén Muñoz, que diferenciaba entre tendencia y moda cuando habla de la nube, se mostró de acuerdo, y aseguraba que “no tenemos que caer en la moda de pasar al cloud”, añadiendo, que no cree que la elección de la nube dependa de la seguridad, sino del modelo de negocio que tenga el cliente. “La problemática que hay es que parece que hay una moda que dicta que dentro de la transformación digital se tiene que pasar al cloud con una cierta obligación. Yo creo que la elección principal es qué necesita tu modelo de negocio y luego veremos cómo securizar eso”.

Es prácticamente imposible hablar de seguridad y que la GDPR no entre en escena. La nueva regulación de protección de datos será de obligado cumplimiento el próximo 25 de mayo y su impacto en la seguridad del cloud se deja sentir, entre otras cosas, en el proveedor que un cliente ha de escoger. Para el Iberia Country Lead Security Advisory Services de DXC, la oferta de los proveedores de servicios cloud está madurando; “antes nadie preguntaba dónde estaban los datos, y ahora se pregunta dónde están y dónde se procesan… Se avanza en las preguntas porque hay un marco regulatorio que te está obligando como cliente a hacer frente a un problema que antes no preocupaba”.

Los marcos regulatorios están impactando en la manera de acceder a la nube, planteaba Eusebio Nieva. Para el directivo la seguridad es un control y éste es mucho mayor en una nube híbrida o propia, pero al mismo tiempo, a día de hoy existe una oferta mucho mayor de servicios de seguridad que equipara la que ofrece cualquier propuesta, “por lo que esas fronteras se están difuminando y las empresas se están planteando el acceso al cloud de otra manera”.

Para el ejecutivo de Micro Focus la seguridad en la nube es una constante que “dependerá de donde esté ubicado el objeto y del nivel de acceso”. Y recuerda que ese objeto puede estar en la nube o en una plataforma privada; “si tengo el riesgo de que un usuario utiliza sus credenciales para acceder a Office 365 sin ningún tipo de control y alguien hace una campaña de phishing y se ve afectado, no se está poniendo en peligro el correo en la nube, sino toda la organización. Por eso digo que la seguridad tiene que ser una constante”.

El nuevo paradigma de la seguridad

Planteado por Juan Ramón Melara a qué se enfrenta la seguridad más allá de la GDPR, José de la Cruz aseguró que desde el punto de vista de seguridad es muy importante contar con la flexibilidad. Explicaba el directivo que el cliente puede estar en la nube, en la nube híbrida –que es lo que está cobrando más fuerza precisamente por eses tema de la flexibilidad, pero podría darse el caso de que una solución estuviese completamente onpremise, “y lo que tenemos que proporcionar a nuestros clientes es la flexibildad para que su solución de seguridad pueda adaptarse a cualquier entorno para que esté siempre protegido”.

Para Eusebio Nieva, la adopción de la nube, de las nuevas tecnologías, de la movilidad… lo que está haciendo es cambiar los paradigmas de seguridad. Aseguraba el ejecutivo de Check Point que el paradigma del perímetro se está modificando, pero que no se trata de que no exista, sino de que lo estamos ampliando. “Bien hecha y bien entendida, la nube puede solucionar algunos problemas de seguridad tradicionales, pero claro, hay que aplicar tecnología”, aseguraba Nieva.

Carlos Barbero planteaba que las compañías sólo ven la nube como un ahorro de costes, pero añade que al final es importante entender que hay ahorro de costes pero que se tienen que extender las medidas de seguridad que se van un poco del perímetro. Y que “si las credenciales de tu CEO están en internet no creas que al final van a ir dueño del servicio cloud. Normalmente van a ir al responsable de seguridad de tu compañía”.

Para Rubén Muñoz el hándicap es el de “meter a terceros en el camino de tu securización”. Y es que, si al final se opta por un proveedor de servicios cloud, tiene que haber un nivel de confianza. “No es tan sencillo poner tecnología de protección en el cloud. Porque hay proveedores que intentan monopolizar hasta cierto punto la capacidad de securizar su servicio cloud”.

Seguridad intrínseca

Durante el desayuno el directivo de Kaspersky Labs propuso hacer una comparativa de lo que es la implantación del cloud con lo que ocurrió hace un tiempo con los dispositivos móviles para no cometer los mismos errores. “Coloquemos primero la seguridad intrínseca, no intentemos luego colocar un parche, porque vemos que eso no funciona”, dice Bosco Espinosa de los Monteros, añadiendo que si se va a ir al cloud hay que hacer un plan y un estudio serio de lo que se quiere y cómo se quiere. “Está claro que los proveedores tienen cada vez más madurez y que las ofertas son más estándares, pero no se trata de ir al cloud porque es más barato, sino de ver todo lo que implica y lo que me cuesta”, aseguraba el directivo.

 “A día de hoy todos sabemos los peligros de ir a la nube”, recordaba Nieva, asegurando que en algunos de los experimentos realizados por Check Point en la nube “desde el mismo momentos que das de alta un servicio, aunque no haga nada, empiezan a atacarte. Es ponerle en marcha, poner una dirección IP y empezar a recibir ataques”.

Que el mercado de la seguridad vaya por detrás de los ciberdelincuentes es, en opinión de Rubén Muños, una percepción errónea, “y se tendría que dar más valor al trabajo que se está realizando”.

Nieva añadía que la inmensa mayoría de los ataques, por no decir todos, “podrían haberse evitado con tecnologías existentes”, pero que el problema es que muchos casos la usabilidad y seguridad no vana de la mano y, a día de hoy, el usuario tiene demasiado poder frente a la seguridad. Decía el directivo de Check Point que no hay que dejar que los usuarios hagan todo lo que quieren hacer, o bajo todas las condiciones que quieran hacerlo.

Bosco Espinosa remarca que se da prioridad a que el usuario se sienta cómodo, a que la interfaz sea amigable… y no le decimos que es su responsabilidad pinchar en un enlace malicioso. La concienciación y formación del empleado en materia de seguridad se pone sobre la mesa, sobre todo cuando Eusebio Nieva recuerda que durante el ataque de Wannacry las empresas de seguridad no se vieron afectadas porque sus empleados tienen más conciencia.

La responsabilidad del empleado, del usuario, es tan reducida que si se dejara que fueran ellos los encargados de implementar los parches de seguridad, “algunos no lo harían en meses”, decía Bosco Espinosa.

“Wannacy puso de manifiesto la ineficiencia de los sistemas de parcheado actuales. En muchos casos, por motivos de continuidad de negocios, o que la aplicación no sea compatible… a veces no se puede instalar porque no es compatible”, decía José de la Cruz, añadiendo que se tienen que buscar métodos alternativos, como puede ser parcheado virtual, que ayude a protegerse de ese tipo de amenazas.

El ejecutivo de Trend Micro también habla de concienciación, algo que considera fundamental porque “al fin y al cabo el usuario es el último firewall y si no tiene un mínimo de concienciación más tarde o más temprano nos la va a liar”. Y eso llevó a José de la Cruz al siguiente punto, que es la visibilidad; “si yo he aprendido algo es que lo más importante para mí es la visibilidad, saber qué está pasando en mi red; me importa menos que tener un ataque y una serie de equipos infectado siempre que sepa cuáles son y qué red tengo que cortar. Creo que lo peor que puede pasar desde el punto de vista de seguridad es no tener visibilidad de lo que ha pasado, por dónde han entrado”

Shadow IT

Aunque la palabra está de moda, para Rubén Muñoz, el shadow It es simplemente “el uso incorrecto de la infraestructura IT de las empresas. Esto se llama ahora Shadow IT, pero ocurre desde que hay un PC en una mesa”. Decía el ejecutivo de Micro Focus que el problema es que alguien ha decidido que el usuario sea administrador de la máquina y tenga esos permisos.

Para Eusebio Nieva, el shadow IT tiene dos vertientes. Por un lado, el uso totalmente incorrecto, y por otro la adaptabilidad de los sistemas de TI tradicional a las necesidades de los usuarios. Y es que muchos usuarios han utilizado servicio cloud considerados como Shadow It, porque la empresa no se los proporcional de manera instantánea o de manera legal. El problema termina siendo del responsable de TI, primero por no haber cortado todos esos caminos, y segundo por no proporcionar una solución. En todo caso el ejecuto de Check Point aseguraba que “el shadow it es una evolución natural de las necesidades de los usuarios. La empresa debe ser sensible a todas esas modalidades de trabajo y dar a los usuarios lo que necesitan”.

Rubén Muñoz prefiere dar una vuelta a ese enfoque y plantea que la empresa sí que ha puesto a disposición del empleado unas herramientas, plataformas o servicios controlados y securizados que no convencen al usuario porque no le permiten hacer ciertas cosas.

En todo caso, ahora se han dado cuenta, están empezando a tomar medidas. Para José de la Cruz, la buena noticia es que ya hay soluciones que ya contemplan estos retos de shadow”, dice el ejecutivo refiriéndose al CASB (Cloud Access Security Manager)

Seguridad Cloud

Al término del desayuno se pide a cada fabricante una reflexión sobre al reto de la seguridad Cloud. Para Bosco Espinosa de los Monteros, “el mundo cloud da muchos dolores de cabeza pro también muchas facilidades”, y recordaba que no sólo se trata de securizar la nube, sino de apoyarnos en ella para mejorar la protección y hacer que el mundo cloud pueda ser mejor.

Haciendo hincapié en lo que se ha hablado, José de la Cruz dijo que el cloud manifiesta muchas ventajas, y que las soluciones de seguridad que la protejan tienen que ser lo mismo: escalables, flexibles. “Y hago siempre mucho hincapié en estos tres puntos cuando hablo de seguridad: una solución de seguridad que se precie tiene que proporcionarnos visibilidad, control, y flexibilidad”.

Eusebio Nieva explicó que en Check Point se está incidiendo mucho en que todas las tecnologías y servicios que se consumen como parte de la nube tienen que tener las mismas características de seguridad que las que se utilizan comúnmente en un entorno más privado, y además no hacer perder ninguna de las características beneficiosas que da la nube. Además “para nosotros las tecnologías de seguridad tienen que ser preventivas, siempre, porque nos han demostrado que son fundamentales para las amenazas que están viniendo, y que en la nube van a ser las mismas”.

“En Micro Focus entendemos que la nube es una evolución natural, pero sí es importante todo lo que tiene que ver con la gestión de identidad, la gestión del acceso, la trazabilidad, y sobre todo la seguridad en sí misma: qué hacen los usuarios, dónde va y qué es lo que está pasando”, dijo Carlos Barbero

Rubén Muñoz explicó que desde DXC Technology “lo que estamos haciendo es asesorar todo ese paso previo de selección de proveedores de cloud y las mejores medidas de seguridad para acompañar a ese proveedor. Ahí es donde aportamos valor. En ese paso de acompañamiento de cloud y posterior gestión”.