Una seguridad a la altura de la nube
- Opinión
La gestión del software y de los servicios cloud a través de toda la infraestructura IT se ha vuelto más compleja, por lo que el primer reto que debe abordar cualquier organización que trabaje con una combinación de soluciones on-premises y cloud es precisamente ese, el de la complejidad del entorno.
La nube es el mayor avance relacionado con la infraestructura IT que hemos vivido en décadas. Las organizaciones son conscientes de los múltiples beneficios que aporta al negocio, impulsando la innovación, la agilidad, la escalabilidad, la competitividad y el ahorro de costes, por lo que prácticamente la totalidad de ellas ya operan en este entorno.
La nube, sin embargo, viene también acompañada de grandes retos, que tienen que ver con una creciente complejidad y, sobre todo, con la seguridad. Para superarlos, con independencia de si se trata de un entorno híbrido, cloud o multicloud, es necesario aplicar una mentalidad y un enfoque totalmente distintos a los de un entorno tradicional.
En mis conversaciones con los clientes, siempre detecto una gran preocupación por los costes de la seguridad en la nube. A todos ellos les digo que invertir más en seguridad no significa necesariamente incrementar los costes. No cumplir con la regulación, perder reputación, poner en peligro los datos o tener más activos tecnológicos de los necesarios, que pueden convertirse en la puerta de entrada de los ciberdelincuentes al sistema, puede salir mucho más caro.
Superando la complejidad y la falta de seguridad en la nube
La gestión del software y de los servicios cloud a través de toda la infraestructura IT se ha vuelto más compleja, por lo que el primer reto que debe abordar cualquier organización que trabaje con una combinación de soluciones on-premises y cloud es precisamente ese, el de la complejidad del entorno. En este punto, aplicar una estrategia SAM resulta vital para mantener bajo control las tecnologías y servicios cloud disponibles, prescindiendo de todo aquello que no sea necesario. Esto proporciona un doble beneficio. Por una parte, tal como estamos demostrando en Crayon, es posible reducir el gasto en IT en hasta un 30%. Por otra, facilita una visibilidad completa sobre los activos tecnológicos, algo clave a la hora de abordar el segundo gran desafío de las organizaciones en la nube, el de la seguridad.
Ante un panorama de amenazas completamente nuevo y en rápida evolución, para permanecer protegidos en un entorno cloud es necesario que las organizaciones construyan sus estrategias de ciberseguridad sobre unos cimientos sólidos. Además, la nueva realidad implica cambiar el modelo seguido hasta el momento. Diferentes analistas apuntan a que las empresas siguen, en estos momentos, realizando un gasto excesivo en seguridad on-premises e insuficiente en seguridad cloud. Quizá esto se debe a que los servicios de ciberseguridad disponibles en el mercado no están evolucionando al ritmo que deberían, o quizá a que los profesionales de seguridad no cuentan con los conocimientos o los recursos suficientes para afrontar el nuevo escenario. Sea como fuere, con prácticamente la totalidad de las organizaciones operando en la nube, esta realidad debe cambiar.
Solo una infraestructura cloud segura proporcionará una base fiable a la hora de desplegar nuevos servicios sin comprometer la integridad o la seguridad de los datos. Para garantizar y mantener la resiliencia en entornos complejos y dinámicos con múltiples niveles, las empresas deben actualizar sus metodologías, procesos, tecnologías y alianzas de seguridad. El primer paso para ello, y la base de la ciberseguridad cloud, es garantizar un buen estado de la seguridad. Esto, por sí solo, ya supone una protección frente a la práctica totalidad de los ataques.
Un buen estado de la seguridad en la nube
Hablar de cloud supone tener en cuenta distintos entornos con diferentes formas y tamaños, lo que implica la necesidad de crear y mantener un nivel de protección adecuado para cada uno de ellos. Por otra parte, aunque existen muchas soluciones en el mercado para proteger entornos híbridos y multicloud, con frecuencia no se integran entre sí, e incluyen funciones que se solapan. Esto supone una carga adicional en las tareas de gestión, desarrollo y mantenimiento de los equipos de seguridad. Además, se hace necesario adquirir competencias en diferentes tecnologías.
Todo ello puede abordarse estableciendo y monitorizando unas líneas básicas de seguridad, que permitan comprobar las desviaciones y reaccionar correctamente ante ellas, manteniendo un buen estado de la seguridad.
Disponer de un estado de ciberseguridad actualizado, en el que se dejan al descubierto los puntos fuertes y débiles de la infraestructura, resulta crucial para que la estrategia de ciberseguridad de la organización sea exitosa. Sin disponer de esta visión resultará complicado identificar las herramientas y los procesos adecuados para que la compañía permanezca protegida frente las amenazas actuales, y tampoco será posible valorar correctamente a los proveedores de seguridad.
En la nube, el estado de seguridad de cualquier organización comienza diseñando las “reglas de juego” que debe contener la arquitectura de seguridad y las configuraciones detalladas que se implementarán en los servicios y recursos cloud. Las soluciones de seguridad están ahí para agregar capas de protección, detectar desviaciones en el entorno con respecto a la arquitectura de seguridad y amenazas que pueden impactar en las configuraciones de los recursos, así como también identificar vulnerabilidades en el entorno. La postura de seguridad en la nube no es algo fácil de diseñar, pero cuando se consigue suele ser fácil de mantener y es altamente escalable si se implementa correctamente.
Tradicionalmente, cuando se habla de postura de seguridad, los equipos responsables de la seguridad piensan en la defensa perimetral y en la gestión de vulnerabilidades. El desafío con este enfoque son los entornos heterogéneos y dinámicos que vienen con la escalabilidad y la facilidad de uso que ofrecen las plataformas en la nube. Por ello, lo recomendable es enfocarse en lo siguiente:
· Saber dónde se encuentran los activos.
· Saber de qué tipo de activos se dispone.
· Saber cómo se configuran, protegen y se accede a los activos.
No contar con estas capacidades puede dar lugar a errores de configuración y a vulnerabilidades desatendidas, lo que acabará por convertirse en nuevas brechas de seguridad. Además, los entornos en la nube suelen presentar una mayor tasa de exposición, lo que significa que el riesgo de que alguien pueda llegar a áreas más importantes del entorno es más elevado.
A la hora de proteger un entorno en la nube es preciso orientarse hacia soluciones de seguridad nativas cloud. De forma predeterminada pueden ofrecer beneficios instantáneos propios de la interoperabilidad; una gestión del ciclo de vida parcialmente externalizada e integraciones que permitirán una detección y respuesta más rápidas y, en ocasiones, incluso parcheo.
Las herramientas de seguridad cloud-native permiten, además, liberar más recursos para realizar un verdadero trabajo de seguridad. Puesto que tales herramientas suelen estar “integradas” en el entorno, la labor del equipo se enfocará en mejorar las configuraciones, las reglas para las respuestas automatizadas y en la implementación de las políticas de seguridad, en lugar de invertir tiempo en integraciones y posibles conectores personalizados.
En resumen, mejorar el estado de seguridad en la nube a través de soluciones nativas cloud permite la escalabilidad y elimina la necesidad de integraciones y partes más específicas del mantenimiento de la tecnología. Al fin y al cabo, la principal preocupación debería ser que la línea de base de la seguridad permanezca intacta y poder mejorarla con el tiempo, detectando posibles vulnerabilidades y amenazas, y dándoles respuesta de manera eficaz. Sin embargo, para lograrlo, el equipo deberá centrarse en obtener una buena arquitectura de seguridad, desglosada en las políticas y configuraciones que se implementarán en la nube.
Por José Manuel Bernal, director de servicios de Crayon