El decálogo de riesgos de los entornos cloud
El rápido ritmo de cambio, el mal uso de los recursos consumidos o las variaciones regulatorias, algunos de los desafíos concretos que se suelen pasar por alto.
S21sec, compañía de servicios de ciberseguridad, ha elaborado un decálogo donde recoge y analiza los riesgos concretos asociados a los entornos de servicios en la nube: un conjunto de amenazas que se han tener muy en cuenta.
“Las tecnologías cloud proporcionan sin duda muchos beneficios a los negocios actuales, ya sea en términos de inversión como en términos de mantenimiento”, destaca Jorge Hurtado, vicepresidente de Servicios Gestionados de S21sec. “No obstante, se trata de entornos siempre disponibles y ‘abiertos’, por tanto susceptibles de ser atacados en cualquier momento y a los que es imprescindible sumar también un grupo de riesgos asociados a su propio ecosistema”.
Los expertos dividen en tres los tipos las amenazas vinculadas al cloud: amenazas internas, amenazas externas – ambas comunes con otros entornos tecnológicos- y los riesgos asociadas específicamente al cloud. Estas últimas, que son habitualmente las menos consideradas, pueden ser debidas al propio proveedor del entorno cloud o directamente a los servicios ofertados.
A continuación se incluye un decálogo donde todos estos riesgos están contemplados:
1. Amenazas internas: insiders, errores de uso, falta de concienciación y conocimiento.
2. Amenazas externas: campañas dirigidas, malware, grupos de amenazas persistentes avanzadas (APTs) o hacktivistas.
Y entre las amenazas específicas vinculadas al cloud, los expertos desgranan los siguientes puntos:
3. Servicios de soporte: Los servicios cloud están siempre disponibles, ¿está el service desk preparado para controlarlos?
4. Ritmo de cambio: El cloud es un entorno que siempre está cambiando y transformándose. ¿es posible adaptarse a su ritmo?
5. Nuevos elementos: Las aplicaciones cloud usan nuevos elementos de comunicación. ¿Sabe la empresa controlarlos?
6. Nubes diferentes: Es posible consumir servicios de distintas nubes en la misma infraestructura, ¿sabe la compañía cómo interactúan?
7. Uso de recursos: En estos entornos se paga por recurso consumido, ¿es posible evitar el mal uso?
8. Microservicios: El cloud proporciona acceso a contenedores y microservicios, ¿es posible asegurar esta tecnología?
9. Cambios regulatorios: Estas variaciones se dan con frecuencia, ¿es posible adaptar los procesos rápidamente para actualizarse?
10. Control de políticas: Diferentes políticas afectan a las aplicaciones, ¿se hallan bajo control?
Los expertos de S21sec destacan que hay que considerar todo este conjunto de riesgos al diseñar la estrategia cuando se opta por soluciones cloud. En esta tarea es necesario apoyarse en marcos de trabajo (como los controles CIS o el marco internacional NIST), así como elementos de seguridad (tanto nativos del cloud como de terceros) y tácticas específicas.
En una segunda fase de diseño, además, los expertos subrayan que abordar el 100% de los vectores de seguridad es muy caro, y puede afectar a la operación del negocio cuando no es necesario para cubrir los requisitos. Por tanto, es esencial considerar la especificidad del negocio en esta fase de diseño y desplegar herramientas para auditar el cumplimiento y confirmar que se cuidan todos los requisitos establecidos.
Por último, los expertos destacan que al existir tantos elementos a tener en cuenta, la monitorización es un pilar fundamental: tener una visibilidad global de los entornos cloud minimizará los tiempos de detección y respuesta.
El cambio de paradigma que supone el cloud aumenta la superficie de exposición de los activos digitales con valor de negocio ante las amenazas y suma nuevos desafíos vinculados a la tecnología. “Tener un partner sólido en el que apoyarse puede ayudar a superar el reto de la falta de experiencia en la gestión de todo este conjunto de riesgos y permitir que la compañía se centre sólo en su negocio”, concluye Hurtado.