Entrevista
Cloud Computing
Ciberseguridad
Especial CSO Seguridad cloud

"Hay una falsa sensación de seguridad en la nube y muchas empresas creen que con ir de la mano de un proveedor ya es suficiente"

El experto en ciberseguridad, Tomás Isasia, repasa los principales hitos y desafíos de la seguridad en la nube.

Tomás Isasia
Play

Mario Moreno/ Imagen: Juan Márquez

¿Cuál es el estado de madurez de las migraciones a la nube y de la ciberseguridad en este entorno?

El nivel de madurez depende del proveedor y del cliente. Los hay muy maduros porque llevan mucho bagaje. Entonces, la migración suele ser relativamente sencilla. La ciberseguridad es fundamental, es una base sobre la que descansan la mayoría de productos cloud. Hay que tener en cuenta que la nube es el ordenador de otro, entonces hay que tener mucha confianza en ese tercero en al que das los datos para que no los pierda y los mantenga seguros.

 

Aquí entra en juego un ecosistema de proveedores, infraestructura propia y los propios recursos humanos.

La forma de ver la ciberseguridad en los últimos años ha cambiado mucho. Hay que tener en cuenta que la nube ha venido a dar un servicio profesional de apoyo al core de los negocios. Para la mayoría de las compañías los sistemas de información son de apoyo, no basan su negocio en ellos. Las más grandes se pueden permitir departamentos internos de informática y otras, más pequeñas, no. Lo mejor para ellas es externalizar esos servicios a profesionales TI.

 

Antes de la pandemia se repetía el mantra de que la ciberseguridad era una barrera para la migración a la nube. Parece que ya no se habla en estos términos, pero sí que sigue habiendo muchos desafíos y riesgos en cuanto a la seguridad en la nube. ¿Cuáles son los principales?

Uno de los riesgos más concretos que podemos encontrar es el de la suplantación de identidad. Otro gran desafío es la elevación de privilegios. No todo el mundo debe tener acceso a las mismas cosas. Luego está la manipulación de los datos. Si yo los dejo en un proveedor de Internet, ¿quién me asegura que esa información no va a ser manipulada? ¿Y si ese proveedor de nube sufre una brecha o un ataque?  ¿Qué pasa con tus datos? ¿Están cifrados? Dentro del ecosistema de la nube hay que saber quién hace cada acción. Otros problemas pueden pasar por la denegación de servicio. Se están viendo constantemente ataques de este tipo a grandes proveedores de Internet. Si se cae tu proveedor cae tu negocio. ¿Cuánto tiempo puedes aguantar sin que tu negocio esté funcionando? Y, por supuesto, hay márgenes legislativos distintos para varias geografías. Es importante la localización de los datos.

 

 

"La mayor debilidad que hay en seguridad sigue siendo el factor humano"

 

 

Dentro de este escenario, ¿las empresas han depositado la confianza de sus negocios, e incluso su reputación, en la nube?

Hay muchas que sí, y otras que están dudosas. Hay que tener en cuenta, como he dicho antes, que no todos los proveedores de nube ni todos los clientes son iguales. Cuando vas a hacer este salto tienes que plantearte muy bien con quién.

 

¿Se deriva demasiada responsabilidad a los proveedores?

Sí, al final, muchos de los proveedores de nube lo son de hardware, pero los datos son de las empresas. La responsabilidad compartida consiste en que delegas ese riesgo para que ellos lo guarden, pero hay que asegurar de que cumplen con las diligencias adecuadas. Cuando hay una fuga de datos, ¿quién tiene la culpa? Puede haber diferentes errores. Lo cierto es que el daño se le hace a la empresa, que es a la que vulneran su información.

 

Por ello, ¿cree que existe una falsa sensación de seguridad en la nube?

Sí, porque muchas empresas se piensan que solo es necesario contratar un servicio en la nube y poner ahí sus datos, delegando la seguridad. No se preocupan de saber si el servicio que están contratando es el que realmente necesitan. Muchas veces no cuentan ni con servicios de backup. El ‘yo pensaba qué…’ no vale. Sí, hay una falsa sensación de seguridad. Todo depende de lo que preocupen tus datos, y hay a veces que se le dan menos importancia de lo que la gente cree.

 

Diversos estudios cifran en un 53% a las compañías de todo el mundo que utilizan contraseñas débiles. Y el 44% posibilita la reutilización de claves. Por último, el 62% tiene recursos de acceso público en la nube. ¿Cómo valora estos datos?

La mayor vulnerabilidad que hay en seguridad sigue siendo el interfaz que hay entre la silla y el teclado; es decir, el humano. Este tiende a utilizar cosas fáciles y la seguridad, muchas veces, es incómoda. Por ello, ¿quién no reutiliza sus contraseñas? Además, con la potencia de cálculo que hay y el advenimiento de la computación cuántica, el paradigma humano-contraseña tiene que cambiar en algún momento. Y, luego, hay gente a la que realmente no le importa. Sobre todo si no está cómoda en el trabajo. La concienciación es un ámbito muy difícil.

 

 

"Cuando vas a dar el salto a la nube tienes que plantearte muy bien con quién"

 

 

Otra cosa que ha comentado anteriormente pasa por la escalada de privilegios. El mismo informe dice que casi todas las identidades en la nube son permisivas y que muchas empresas conceden privilegios que nunca se han llegado a utilizar.

Hay que decir no a todo por si acaso, la cultura zero trust. Y si algo es necesario para el trabajo de un empleado hay que gestionarlo de tal forma que se permita durante el tiempo que dure esa actividad. Hace falta mucha gestión de usuarios, de sus privilegios y permisos. Cuando alguien entra nuevo en una empresa, hay una persona que se dedica de dar todos los accesos necesarios para que esa persona pueda trabajar. Pero cuando alguien se cambia de departamento o de empresa, ¿quién le comunica al departamento de sistemas que esa persona ha abandonado su puesto? Aquí entran también en juego las políticas corporativas. Cuando se hacen auditorías a estos servicios muchas veces se descubre oro.

 

Hay, además, una gran demanda de talento en seguridad…

No es que falte talento, lo hay, pero las condiciones laborales que se ofrecen no son competitivas. En España, a nivel de ciberseguridad, que es un trabajo que se puede hacer de forma remota, no hay salarios acordes al mercado global. Hay que valorar a los expertos y hay que pagarlos. No se puede vender el mantra de que falta talento. Hay que ser muy cuidadosos con estos temas.

 

Por último, a nivel europeo se está buscando ganar soberanía cloud con el proyecto Gaia-X. ¿Cómo ve el panorama a nivel continental y legislativo?

El problema es que hay empresas que son más grandes y que tienen mucho más poder que algunos estados. Desde el punto de vista político, muchas veces se quieren sacar la foto y no se entiende lo que se está legislando. Están poniendo puertas al campo. Intentar conseguir el liderazgo en la nube se está enfocando desde una perspectiva que no es correcta. Está bien buscar la soberanía, y no sé la fórmula correcta, pero hay que tener en cuenta las transacciones globales de datos entre nubes. Esto es una lucha de países contra empresas multinacionales.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper