A principios de 2014, Oracle estrenó “Cloud Odyssey: A Hero’s Quest” – una película de ciencia ficción sobre el heroico viaje de un hombre ordinario que adopta la nube. Si bien la película se desarrolla en el futuro, el nombre de la película alude a la historia épica de Homero, “La Odisea”, que hace la crónica del viaje de Odiseo, el rey de Ítaca, de regreso a casa de la Guerra de Troya.
Como Odiseo, las organizaciones de TI que se preparan para adoptar las soluciones de nube deben tener una estrategia y un plan de batalla para asegurar la nube. Los héroes de la nube de hoy – los CIOs y el personal de TI que se aventuran valientemente a la nube – deben implementar controles para asegurar la información privada y las aplicaciones contra el posible asedio de los usuarios maliciosos y los hackers. Eso explica por qué se prevé que el mercado de servicios de seguridad para la nube alcance los $3,100 millones de dólares para 2015.
Si bien la Guerra de Troya de Homero se peleó para determinar el futuro del comercio entre los Helesponto, conocidos hoy como los Dardanelos, la guerra cibernética de hoy determinará el futuro del comercio electrónico y de los servicios de TI en la nube. En la Ilíada el bien más valioso eran los metales preciosos y las joyas; hoy nuestro bien más valioso son los datos de los clientes, la información financiera y la propiedad intelectual. De hecho, hay lecciones de la antigua Troya que pueden aplicarse en la actualidad para asegurar la nube.
Cuidado con los Regalos con Griegos en su Interior
Después de darse cuenta de que las murallas de Troya no podían traspasarse, Odiseo construyó un caballo gigante, ocultando a los atacantes en su interior, como un regalo de victoria para los troyanos. Éstos aceptaron el regalo y llevaron el caballo dentro de las murallas de Troya sólo para despertarse y descubrir que la ciudad estaba siendo saqueada. Este caso es equivalente a los modernos ataques de phishing a través del correo electrónico.
Actualmente utilizamos el término “Troyano” para describir el código malicioso que obtiene acceso privilegiado a un sistema o aplicación. Los investigadores de la Universidad de Wisconsin han mostrado cómo el software en una parte de la nube puede utilizarse para espiar a los habitantes de otra parte del mundo. Para detectarlo, las organizaciones pueden usar software de gestión de acceso, que puede identificar las actividades anómalas y el software de control de acceso privilegiado para manejar las cuentas administrativas y a los súper usuarios de los sistemas y aplicaciones. Al aplicar el acceso adaptable, las organizaciones pueden reducir considerablemente su superficie de ataque con un ROI de 106 por ciento en 12 meses.
Proteja el Talón de Aquiles
Aquiles, el máximo héroe de la guerra, es famoso por ser invulnerable, excepto por el talón. Para muchos sistemas y aplicaciones en la nube, las contraseñas son el talón de Aquiles. 80 por ciento de los ataques se dirigen a las contraseñas débiles y ese es un problema pues 40 por ciento de los usuarios no utiliza contraseñas robustas. Las contraseñas son una causa y blanco frecuentes cuando las bases de datos se comprometen porque las contraseñas que se hurtan pueden ser utilizadas en futuros ataques. De acuerdo con mi estimación de múltiples fuentes, hasta ahora se han robado más de 60 millones de contraseñas de las aplicaciones de nube. La debilidad se agrava por la transmisión de contraseñas en texto legible detrás del firewall donde suponemos que están seguras. Este problema puede resolverse fácilmente con algunos controles sencillos como cambiar regularmente la contraseña, políticas para implementar contraseñas robustas, autenticación mediante el uso de múltiples factores y reforzar la autenticación. De acuerdo con Verizon, 76 por ciento de las intrusiones a las redes se aprovechan de las credenciales débiles o que han sido robadas.
Preste Atención a las Advertencias de Cassandra
Casandra, la princesa de Troya, advirtió a los troyanos de no introducir el caballo a la ciudad, y fue ignorada. El término Casandra se ha vuelto una metáfora cuando no se creen o se ignoran las advertencias válidas, y muchos profesionales de la seguridad conocen esa sensación. En muchos ciberataques la evidencia estaba a plena vista sólo para perderse en las minucias de los datos. Por ejemplo, en 96 por ciento de las brechas la organización que ha sido víctima fue notificada del ataque por un tercero. Pero, a pesar de estas estadísticas, 35 por ciento de las organizaciones que adoptan aplicaciones SaaS no evalúan la seguridad de las aplicaciones. Con algunas soluciones sencillas, las organizaciones pueden recuperar el control. La combinación de Oracle Audit Vault y Database Firewall pueden reunir eventos de auditoría de las bases de datos, de las aplicaciones y de los sistemas para ofrecer una vista compuesta de los eventos de auditoría. Esta vista compuesta puede aumentar la visibilidad y la respuesta a la actividad maliciosa.
Proteja las Joyas de la Corona
Después de la caída de Troya, los ejércitos griegos saquearon la ciudad. Hoy, el incentivo de los atacantes cibernéticos es económico. Los hackers toman los datos que pudieran ser de valor económico como los números de tarjetas de crédito y de seguridad social así como la propiedad intelectual. La seguridad perimetral ya no es suficiente. Para la mayoría de las organizaciones, 66 por ciento de los datos más valiosos reside en las bases de datos. A pesar de esto, un estudio reciente de PWC demostró que 53 por ciento de las organizaciones no cifra las bases de datos. Al mismo tiempo, 43 por ciento de los ataques más serios son ataques de SQL Injection dirigidos a las bases de datos relacionales. Esa es una receta para el desastre. La solución de Oracle es una suite completa de seguridad de bases de datos con soluciones preventivas, de investigación y administrativas para asegurar sus bienes más valiosos. De acuerdo con una reciente previsión de Gartner, el cifrado puede reducir el costo de la seguridad de la nube en 30 por ciento.
No Bote Miles de Barcos
La Guerra de Troya inició cuando Paris de Troya se robó a Elena, la esposa de Menelao, quien era el rey de Esparta. Elena era famosa por su belleza, tanto que su “rostro botó a miles de barcos”. Hoy ese tipo de exceso está fuera de toda cuestión. Si el costo de asegurar la nube pesa más que los beneficios económicos obtenidos, el caso de negocio será un fracaso. La seguridad de la nube requiere un buen gobierno de identidad y acceso y seguridad de la base de datos.
La moraleja de esta historia es que el éxito del viaje de TI a la nube depende de una seguridad confiable. La buena noticia es que 97 por ciento de los riesgos para la seguridad pueden prevenirse y con algunos controles aplicados adecuadamente, los entornos de nube pueden hacerse más seguros que las torres de Ilión.
Por: Rex Wang, Vice Presidente de Marketing de Productos en Oracle