Los principales desafíos de seguridad al adoptar servicios en la nube
La popularidad de los servicios en la nube ha aumentado exponencialmente en los últimos años. Las perspectivas de ahorro en gastos operativos y de capital han sido importantes fuerzas impulsoras para influir en las empresas para que adopten servicios en la nube. La escalabilidad y la elasticidad también son impulsores clave que alientan a las empresas a migrar a la nube. Sin embargo, migrar a la nube conlleva muchos desafíos. La seguridad es una gran preocupación para las organizaciones que desean migrar a la nube.
Seguridad de datos
Los datos de una organización se encuentran entre sus activos más valiosos. Por lo tanto, la seguridad de los datos juega un papel importante para muchas organizaciones cuando se trasladan a la nube. Los proveedores de servicios en la nube (CSP) mantienen en secreto la ubicación exacta de sus centros de datos. Si bien esta es una práctica recomendada reconocida en seguridad física, muchos clientes potenciales se sienten incómodos con el almacenamiento de datos en la nube por temor a no saber la ubicación de sus datos.
La soberanía de datos también juega un papel importante en esto. Las organizaciones quieren evitar complicaciones legales que podrían hacer que sus datos sean inaccesibles para ellas. El cumplimiento de regulaciones como GDPR también es una preocupación clave para las organizaciones. La violación de GDPR puede atraer fuertes sanciones financieras, que la mayoría de las organizaciones quieren evitar. Hay muchas otras regulaciones cuyas violaciones son igualmente costosas. Por esta razón, muchas organizaciones prefieren almacenar datos confidenciales como los que contienen información de identificación personal (PII) en las instalaciones.
Los sistemas de prevención de pérdida de datos (DLP) son fundamentales para una organización. La eliminación accidental de datos puede ocurrir por parte de la organización. El Acuerdo de nivel de servicio (SLA) podría dictar que el CSP debe facilitar la restauración de los sistemas y la información cuando ocurran tales incidentes. Si el CSP no puede cumplir con el SLA, el cliente podría sufrir grandes pérdidas. Las organizaciones también quieren estar seguras de la seguridad de sus copias de seguridad. En caso de pérdida o corrupción de datos, las organizaciones querrían restaurar los datos dentro de su objetivo de tiempo de recuperación (RTO) y su objetivo de tiempo de recuperación (RPO).
Riesgos de nubes múltiples
Muchas empresas utilizan software y servicios de diferentes proveedores para diferentes casos de uso. Cuando estas empresas deciden migrar a la nube, a veces los casos de uso las obligan a adoptar un modelo de múltiples nubes. Según una encuesta de 2021, el 98 % de los profesionales de seguridad que trabajan en entornos de múltiples nubes dijeron que el modelo aumenta los riesgos de seguridad. Quienes respondieron a la misma encuesta indicaron que es difícil encontrar profesionales de seguridad en la nube que sean expertos en todos los entornos de nube operados por los diferentes CSP.
Esta posibilidad de mayores riesgos debido a la adopción de un modelo de múltiples nubes lleva a las organizaciones a comprometer algunos de los beneficios de la nube al apegarse a un CSP. Las organizaciones con poco apetito por el riesgo no se arriesgarán eligiendo una opción de proveedor de múltiples nubes. Las empresas con un apetito por el riesgo relativamente mayor consideran los beneficios y aceptan el riesgo.
Realizar la diligencia debida
Elegir un CSP sobre otro no siempre es una decisión fácil. Algunos proveedores pueden dificultar que una organización migre a otro proveedor. Las organizaciones deben realizar una investigación adecuada antes de elegir un CSP para asegurarse de que comprenden los términos y condiciones del uso de los servicios en la nube de ese CSP en particular.
El fracaso de la diligencia debida también podría frustrar los esfuerzos de respuesta a incidentes en el caso de un ataque. La mayoría de los CSP operan con un modelo de responsabilidad compartida cuando se trata de manejar la seguridad en la nube. Es fundamental que los clientes de la nube entiendan sus funciones y las funciones del CSP en el modelo. Los ataques cibernéticos son inevitables y se deben implementar planes adecuados de respuesta a incidentes. Los clientes de la nube deben asegurarse de que el proveedor que elijan pueda respaldar de manera efectiva los esfuerzos de respuesta a incidentes.
Las vulnerabilidades tecnológicas compartidas también son una consideración importante de diligencia debida.
Al evaluar una opción de nube pública, un cliente debe comprender que la nube pública utiliza multiusuario para la rentabilidad. Los consumidores de la nube también deben asegurarse de que el CSP utilice un enfoque de defensa en profundidad para proteger la carga de trabajo de cada cliente. La falta de seguridad en capas permitiría a un atacante comprometer a otros clientes después de atacar con éxito a un cliente.
Ataques en la nube
Ataques de denegación de servicio
Los ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS) pueden paralizar las operaciones comerciales. Las organizaciones que ejecutan servicios críticos en la nube podrían verse gravemente afectadas por un ataque de este tipo. Las organizaciones deben estar interesadas en eliminar los puntos únicos de falla al aprovisionar cargas de trabajo para minimizar el riesgo de ataques DoS.
API inseguras
La mayoría de las tareas de administración de la nube se ejecutan a través de llamadas de la interfaz de programación de aplicaciones (API). Estas tareas incluyen el aprovisionamiento, la gestión, la orquestación y la supervisión de las cargas de trabajo. No se puede subestimar la importancia de las API seguras, ya que la seguridad y la disponibilidad de los servicios generales en la nube dependen de estas API. La falta de autenticación efectiva, control de acceso y monitoreo de las API puede causar infracciones masivas y ataques desastrosos.
Desastres naturales
La posibilidad de un desastre natural, aunque no es una preocupación de ataque, también es un evento de interrupción del servicio. Si un acto de la naturaleza destruye los centros de datos de un CSP, la interrupción de las empresas que utilizan ese centro de datos es monumental. Los CSP tienen una alta redundancia para sus centros de datos, pero el riesgo siempre existe.
Conclusión
Migrar a la nube es una decisión comercial importante y no debe emprenderse sin primero comprender completamente las implicaciones de riesgo. Sin embargo, como muchas organizaciones que han migrado a la nube o han sido concebidas completamente en la nube, cuando se considera cuidadosamente, la nube puede ser un magnífico facilitador de negocios.