En 2022, alrededor del 95% de los fallos de seguridad en la nube ocurrir谩n por errores de los clientes

Evite que los delincuentes sean quienes descubran las tareas que no se cumplieron.

Cloud Computing (Computaci贸n en la Nube) es la entrega de soluciones bajo demanda que van desde aplicaciones en la red, hasta el almacenamiento y capacidad de procesamiento de la informaci贸n. Su uso permite a las empresas ahorrar dinero, tiempo y esfuerzo, contando con servicios de terceros a trav茅s de la web seg煤n sus necesidades particulares.

Sin embargo, hacer uso del servicio de la nube tambi茅n trae consigo retos en cuanto a la seguridad de los sistemas y sus activos. La mayor parte de las problem谩ticas en la nube tienen lugar debido al desconocimiento, por parte de los usuarios, respecto a sus esquemas y a la confusi贸n existente sobre el Modelo de Responsabilidad Compartida de Seguridad (SRM, por sus siglas en ingl茅s) con el que funciona.

Al contrario de lo que se cree, la responsabilidad principal de la protecci贸n de los datos corporativos en la nube no corresponde al proveedor del servicio, sino al propio cliente. Las empresas no solo deben preocuparse por el riesgo de perder datos o la propiedad intelectual de la informaci贸n, sino tambi茅n por la eliminaci贸n o modificaci贸n de sus recursos alojados externamente. 

Una empresa que trabaja con su informaci贸n en la nube consigue importantes beneficios en t茅rminos de seguridad; sin embargo, esta labor no depende de solo una de las partes. Los proveedores de este tipo de servicio se suscriben a un SRM de seguridad globalmente aceptado, que establece que su responsabilidad se limita al cuidado de aspectos f铆sicos, infraestructura, red y digitalizaci贸n. Por su parte, el cliente es quien debe garantizar la seguridad del acceso y la identidad de los usuarios que acceden a la informaci贸n, as铆 como el resguardo de los datos que se almacenan.

Seg煤n inform贸 Gartner recientemente, para el pr贸ximo a帽o, se proyecta que al menos el 95% de los fallos de seguridad en la nube ser谩n culpa del cliente. Son much铆simas las compa帽铆as que a煤n no han comprendido el SRM y el alto nivel de riesgo en seguridad que esto representa.

En una encuesta realizada por Oracle y KPMG en el 2020, sobre el grado de comprensi贸n de las organizaciones que usan los servicios en la nube, la gran mayor铆a manifest贸 estar familiarizada con el t茅rmino de Modelo de Responsabilidad Compartida de Seguridad. No obstante, solo el 8% afirm贸 que entend铆a realmente el SRM para cada tipo de servicio en la nube. La falta de claridad al respecto hace que muchas empresas pasen por alto varias de las responsabilidades que tienen dentro de la nube.

Una soluci贸n efectiva para este problema es partir de una formaci贸n en las organizaciones orientada a un cambio cultural en el que todas las partes implicadas discutan sobre el tema de ciberseguridad. Entender qu茅 es la nube y qu茅 requisitos de protecci贸n est谩n bajo la responsabilidad de la compa帽铆a resulta decisivo antes de realizar la migraci贸n del negocio. Evite que los delincuentes sean quienes descubran las tareas que no se cumplieron.

Un conocido caso de incumplimiento de responsabilidades en la nube fue la violaci贸n de datos del banco Capital One en 2019. En dicha ocasi贸n, una err贸nea configuraci贸n de un firewall en el proceso de integraci贸n de las soluciones de la nube, permiti贸 el robo de informaci贸n de tarjetas de cr茅dito de m谩s de 100 millones de clientes. La conclusi贸n fue que el holding financiero, y no los proveedores de servicio de la nube, fue el responsable por la p茅rdida monetaria y el tiempo invertido en arreglar ese error, ya que la adecuada integraci贸n a la nube estaba entre sus obligaciones, seg煤n el SRM.

Si su empresa se encuentra entre aquellas que desean evitar este tipo de inconvenientes con la seguridad en los servicios de las nubes, respondiendo debidamente a sus obligaciones, recomiendo entender las responsabilidades de su empresa al contratar este tipo de servicios, gestionar esta responsabilidad y adem谩s, recurrir a las pruebas de seguridad para el pronto hallazgo de vulnerabilidades. Son diversas las t茅cnicas de evaluaci贸n autom谩ticas y manuales que se pueden implementar, ya sea que usted aloje sus activos en AWS, GCP, Azure, o cualquier otra nube. La continua penetraci贸n en sus infraestructuras, permitir谩 analizar la arquitectura y la integridad de sus controles de seguridad, para luego determinar qu茅 ha de ser corregido y remodelado, y a partir de all铆 poder garantizar la seguridad de sus activos.

Felipe G贸mez, Partner & LATAM Manager de Fluid Attacks

Acerca de Fluid Attacks



Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.