Cómo lograr la armonía en la encrucijada entre la ciberseguridad y la nube

La nube está aceptada universalmente como un cambio inevitable para cualquier empresa que desee completar su transformación digital. Esto puede conducir a un enfoque del tipo "cuanta más nube, mejor", a medida que la empresa busca nuevas formas de captar clientes, aprovechar los datos, aumentar su agilidad, innovar en las aplicaciones y modelos de negocio y reducir los costes de las tecnologías de la información (TI).

Por otra parte, está la verdad ineludible de que cada nuevo paso en el camino de la nube por parte de una empresa –que implica avanzar hacia un entorno más dinámico, flexible y multinube, alejándose de la zona de confort que ofrece una infraestructura cerrada en sus instalaciones– supone añadir una serie de riesgos que pueden afectar al mismo corazón de la compañía, su reputación entre los clientes y el cumplimiento de las normativas de privacidad de los datos y otras regulaciones.

Compartir las responsabilidades de ciberseguridad con los proveedores de servicios en la nube

En lugar de enfocarlo como la contraposición de dos fuerzas, hay una tercera vía en la encrucijada entre la ciberseguridad y la nube: los proveedores de servicios en la nube, el papel que están dispuestos a desempeñar en la seguridad y su nivel de implicación.

En un modelo de SaaS (software como servicio), la frontera se sitúa claramente entre la entrega de una aplicación desde la nube y los datos que el cliente pone en ella. Existe un cierto grado de contacto, pero el cliente no tiene control sobre la seguridad de la nube del proveedor de servicios, aunque puede tomar medidas para proteger sus propios datos y controlar el acceso a ellos. Por su parte, el proveedor de servicios puede imponer medidas de seguridad de los datos y de control de acceso por el bien de sus clientes; pero un cliente sería muy incauto si solo confiara en eso, sin adoptar sus propias medidas de seguridad.

Los mismos problemas de seguridad de los datos están presentes en los modelos de infraestructura como servicio (IaaS), por ejemplo AWS y Azure. La IaaS es más "fundacional" que el SaaS, y por eso el cliente debe aceptar unas responsabilidades más amplias sobre un mayor número de elementos, como por ejemplo las propias aplicaciones, además de los sistemas operativos y el tráfico de la red. Por su naturaleza, estos elementos adicionales tienen una mayor exposición a los ataques maliciosos. Y es necesario proteger algo más que los datos: la reciente evolución de los ataques ha dado lugar a prácticas como el secuestro de recursos informáticos para realizar minería de criptomonedas, o para lanzar nuevos ataques contra la propia empresa afectada o contra objetivos externos.

Claramente, el proceso de toma de decisiones para la adopción de estos y otros modelos de nube debe tener en cuenta las consideraciones de ciberseguridad. Y aunque la suma de éstas siempre será menor que el compromiso "total" que supone gestionar una nube enteramente privada, en el enfoque local (al menos en el modelo de nube privada) no existe margen de confusión sobre las responsabilidades de cada uno. Por este motivo, los modelos de nube bien gestionados requieren no solo una gama adecuada de medidas de seguridad, sino también los medios necesarios para controlar estos entornos sumamente complejos de una forma simplificada, con una respuesta rápida y una visibilidad granular.

¿Qué significa esto para los usuarios?

La transformación estratégica que supone la nube no interesa a los usuarios, que solamente quieren emplear la tecnología para hacer mejor su trabajo. El resultado es que buena parte de las empresas descubren que sus usuarios utilizan la nube más allá de lo deseable. En lugar de seguir las directrices de los departamentos de TI, muchos usuarios encuentran la forma de usar aplicaciones en la nube no autorizadas para la productividad, la colaboración y el almacenamiento de datos. Lo que se conoce como las "TI en la sombra" supone una preocupación importante para los equipos de ciberseguridad, que tienen la responsabilidad de saber dónde se encuentran los datos confidenciales y garantizar su protección.

Tanto si usan las TI en la sombra como si no, los usuarios suponen el punto de entrada más vulnerable del perímetro de una empresa ante una amplia variedad de tipos de ciberriesgos, ataques y malware. Este problema se ha agravado especialmente como resultado de las migraciones a gran escala al teletrabajo provocadas por las restricciones de la COVID-19.

Aunque se trata de un enfoque legítimo, en lugar de limitar a los usuarios a un subconjunto de aplicaciones, dispositivos y políticas de uso previamente definidos, resulta más efectivo para las empresas establecer medidas de seguridad que preserven la integridad de los datos, sin importar dónde se encuentren almacenados y dónde accedan los usuarios a ellos. Además de las medidas de “ciberhigiene” básicas que todas las empresas deberían seguir habitualmente, otras precauciones recomendadas son:

• Implantación de la autenticación multifactor en las cuentas de los usuarios para reducir al mínimo el riesgo de accesos no autorizados.
• Supervisión proactiva continua para tener visibilidad y control sobre todas las aplicaciones SaaS utilizadas, tanto autorizadas como no autorizadas.
• Formación y concienciación a los usuarios sobre los ciberriesgos, así como realización de pruebas periódicas para asegurar que estén en guardia frente a la ingeniería social y los ataques de phishing.
• Instalación de software de detección y respuesta de punto final (EDR) de nueva generación en los dispositivos de los usuarios.
• Aplicación de un cifrado persistente de los datos de la nube (en tránsito y en reposo).

La proactividad es clave

Las medidas descritas anteriormente, junto con los controles operacionales apropiados y la supervisión de la dirección, son esenciales para la adopción de marcos de políticas como el ofrecido por el NIST (Instituto Nacional de Estándares y Tecnología de Estados Unidos) y certificaciones como la norma ISO 27001. Sin embargo, lo que falta en muchos casos es un elemento claramente proactivo que se centre en la detección y mitigación de las ciberamenazas; además de una planificación de la respuesta a los incidentes de violación de la seguridad de los datos y procedimientos para responder de manera efectiva.

Estas prácticas recomendadas no tienen tanto que ver con la adquisición e implementación de las tecnologías adecuadas, sino con implantar una cultura de ciberseguridad sólida. Incluyen:

• Elaboración de inventarios de los activos digitales y sus vulnerabilidades asociadas.
• Realización periódica de pruebas de penetración interna y externa.
• Creación o subcontratación de un Centro de Operaciones de Seguridad (SOC) que pueda aprovechar en tiempo real unos recursos integrales de inteligencia de amenazas.
• Desarrollo de un plan de respuesta a incidentes que sea aplicable a diferentes escenarios.
• Ejecución de simulaciones para evaluar y mejorar el rendimiento de los equipos de ciberseguridad.
• Realización de investigaciones exhaustivas sobre las amenazas y vulnerabilidades más importantes, y aplicación de los conocimientos adquiridos.

Las nuevas normativas sobre la protección de la privacidad de los datos están obligando a las empresas a revisar continuamente los controles y tecnologías que usan para proteger la información crítica. Pero los reguladores, al igual que las empresas que supervisan, se enfrentan permanentemente al reto de seguir el ritmo al siempre cambiante panorama de amenazas actual. Con la adopción de la nube y la transformación digital en un estado tan avanzado, el camino a seguir es aplicar siempre las prácticas recomendadas más recientes, respaldadas por la mejor tecnología y habilidades disponibles, en lugar de esperar a adoptar medidas diseñadas únicamente para asegurar el cumplimiento normativo.

Artículo escrito por Roberto García Esteban, product manager de servicios SaaS de Telefónica Tech.