Seguridad en la nube: ¿mito o realidad?

Distintas encuestas (Las 11 principales amenazas en la nube según CSA, Informe de seguridad cloud [ISC2]) revelan que la seguridad en la nube y la protección de datos sensibles siguen siendo las principales causas de preocupación, aunque el número de incidencias reales es menor de lo que cabría esperar. Hasta aquí sin sorpresas. Lo interesante es que se detecta un exceso de confianza que puede promover aún más las causas de riesgo. De hecho, se concluye que las principales causas de riesgo vienen por accesos no autorizados y configuraciones TIC incorrectas.

Prioridad en proteger el dato como uno de los activos más preciados

Los datos han pasado a ser un elemento crítico de negocio. El trabajo en remoto, la expansión del social media, la cantidad de nuevas fuentes de información y el increíble incremento de dispositivos conectados hace que una incidencia en los centros de datos afecte de forma definitiva al negocio.

Es además un elemento indispensable para sobrevivir en el competitivo mundo de hoy en día. La cantidad de datos ahora disponible va a ayudar a conocer mejor a los clientes y sus necesidades y, por tanto, a aportarles más valor que la competencia. Es lógico que haya reticencia en confiar tal activo a un tercero sin la certeza de que van a existir las máximas medidas de seguridad y protección.

Los proveedores en la nube deben garantizar que solo quién (o qué) proceda pueda acceder a lo que requiera en el momento que corresponda.

Reflexionemos: ¿realmente tiene posibilidades hoy un proveedor en la nube que no disponga de la capacidad adecuada de protección, detección temprana de amenazas y rápida respuesta en caso de riesgo detectado? La respuesta es no. Y aquí está el punto de partida para responder a la pregunta que da título a este articulo: ¿la seguridad en la nube es realidad o ficción?

Seguridad en la nube – ¿Realidad o ficción?

Seguimos siendo reticentes a la idea de confiar a un tercero nuestro bien más preciado: los datos. Hay multitud de razones y ejemplos, siendo uno de los más comunes este: “nunca vamos a tener la certeza de que no acceden desconocidos”. ¿Qué pasa si hay una fuga por una credencial de administrador?

Hoy en día se puede afirmar que es más que posible que el dato esté más seguro en un proveedor fiable en la nube que en el centro de datos de la mayoría de los clientes. Nos podemos quedar con una sola de las muchas razones que podría listar: la inversión en seguridad de un proveedor en la nube, de cuya fiabilidad y credibilidad va a depender su negocio, será muchísimo mayor que la de la inmensa mayoría de empresas cliente. ¿La razón? Que el negocio de estas empresas cliente no es la seguridad. 

De modo que puedo afirmar sin temor a equivocarme que sí, que la seguridad en la nube es realidad. Tan solo hay que tener dos factores en cuenta:

1. Que el proveedor elegido cumpla con el requisito de garantizar la absoluta privacidad del dato (a parte de los requisitos genéricos contractuales y de garantía de servicio).
2. Tener muy claro el concepto de responsabilidad compartida y adoptarlo como modelo de garantía de una, ahora si, Seguridad 360º.

La necesidad de entender y asimilar el modelo de responsabilidad compartida

Según la encuesta de (ISC)2, un 68% de los encuestados expone como mayor riesgo de amenaza las configuraciones incorrectas, seguido de un 58% que indica como preocupación los accesos no autorizados. Estos datos encajan con lo expuesto en el estudio de la CSA; las cuatro primeras amenazas en la nube identificadas de un total de once son:

1. La brecha de datos.
2. Malas configuraciones y fallos en el control de cambios.
3. Falta de estrategia y arquitectura de seguridad en la nube.
4. Mala gestión de identidades y accesos.

Según Gartner, hasta 2025, el 90% de las organizaciones que no controlen el uso de la nube pública compartirán datos confidenciales de manera inapropiada. También indica que mientras la mayoría de las empresas seguirán luchando por medir adecuadamente los riesgos de seguridad en la nube, el 99% de los fallos de seguridad en la nube serán culpa del cliente.

Es posible mitigar gran parte de los riesgos y amenazas a los que nos podemos enfrentar con tan solo tener claras estas simples directrices como clientes:

Tener presente que, en última instancia, los datos son nuestra responsabilidad.

• Es un agujero potencial de seguridad el no disponer de una política adecuada de versiones y parches o una gestión controlada de configuraciones.
• Debemos asegurarnos de que nuestro proveedor en la nube puede garantizados la total privacidad de nuestros datos, así como tener la capacidad de proveernos de los recursos que precisemos para cumplir con nuestra parte de responsabilidad.

Un ejemplo, si decidimos contratar un entorno PaaS para mantener nuestra estructura de base de datos, nos querremos asegurar de que el proveedor cumple con su parte de responsabilidad:

• La infraestructura de sistema operativo, almacenamiento y comunicaciones cumple con todos los requisitos de seguridad requeridos (aislamiento entre inquilinos, protección contra DDoS, enlaces cifrados, etc..)
• Que la base de datos está al día de versiones y parches

Entonces viene la parte de responsabilidad del cliente. Este deberá asegurarse de que la base de datos:

• Disponga de las medidas de seguridad requeridas (cifrado, segregación de funciones, etc..), cosa que en gran parte de los proveedores es opcional con coste.
• Esté correctamente configurada (control de alcance de administradores, gestión de contraseñas, sin configuraciones por defecto, etc..).
• Tenga un diseño adecuado de permisos y control de acceso.

La seguridad de la nube extendida al cliente

En un entorno informático compartido multiinquilino, el proveedor es responsable de la seguridad de la infraestructura en la nube subyacente (como las instalaciones del centro de datos y los sistemas de hardware y software) y el cliente (o inquilino en particular) es responsable de proteger las cargas de trabajo y configurar los servicios (como los recursos informáticos, la red, el almacenamiento y la base de datos) de manera segura.

En función del servicio contratado, el nivel de responsabilidad variará. En un modelo SaaS, el proveedor se responsabiliza de toda la parte de plataforma e infraestructura, mientras que el cliente lo hace de la parte de configuración y uso seguro de la aplicación. En un modelo PaaS, el proveedor es responsable de la parte de infraestructura, el cliente de todo lo relativo a la aplicación y la configuración y seguridad de los servicios de plataforma (servidores de aplicación, bases de datos, etc.). En un modelo IaaS, el proveedor se responsabiliza de asegurar todo aquello que está en capas inferiores al sistema operativo (red, almacenamiento, infraestructura, hardware, etc.), mientras que el cliente es el responsable de configurar la seguridad de su plataforma (sistema operativo, servidores de aplicación, bases de datos, etc.), aplicaciones y el acceso a sus datos (siempre y cuando no tenga contratado algún tipo de servicio de mantenimiento/administración global).

Conclusión

Los clientes, aún con cierto exceso de confianza, son conscientes de que tienen trabajo pendiente de puertas adentro. Y un primer paso necesario es tener bien claro el modelo de responsabilidad compartida.

Está claro que la seguridad en la nube y la protección de datos sensibles siguen siendo las principales causas de preocupación con la confirmación, respaldada por encuestas e incidencias reportadas, de que las principales causas de riesgo vienen por accesos no autorizados y configuraciones TIC incorrectas.

Para evolucionar en el concepto de Seguridad Cloud y poder mitigar los riesgos identificados, los clientes tendrán que aceptar que el enfoque tradicional de seguridad TIC es obsoleto. Promoviendo la concienciación y adopción de mejores prácticas tendrán que centrarse en el desarrollo de mejores sistemas de gestión de configuraciones, entornos de autenticación y apoyarse en herramientas propias del proveedor Cloud.