La utilización de herramientas en la nube y en la nube híbrida ha reducido los costos de las empresas de forma inédita y estimulado su crecimiento en todo el mundo.
Diversos estudios revelan que la nube ha llegado para quedarse, lo que torna importante el análisis de las medidas más eficientes para controlar y reducir riesgos, tales como amenazas de invasión, ataques, fuga de información sensible e indisponibilidad de servicios.
La seguridad en la nube es el principal motivo de preocupación de los gestores de TI en el mundo. Las estimaciones indican que más del 70% de ellos no confía en las técnicas tradicionales de protección de los datos.
Además de ello, la Cloud Security Alliance (CSA) revela que solo el 16% de las organizaciones posee políticas y controles completamente implementados para utilizar la nube.
La propia CSA afirma que el 80% de las empresas con más de 5,000 empleados no consigue informar cuántas aplicaciones en la nube son utilizadas por sus profesionales.
El modelo de nube adoptado también interfiere en el control de la infraestructura, las aplicaciones y el banco de datos. Según el informe Threat Report, del Crowd Research Partners, el 62% de las personas considera más difícil detectar y proteger las amenazas internas que los ataques externos.
La situación es aún más compleja, pues las principales fallas ocurren por responsabilidad de los propios usuarios, siendo que solo el 38% de las organizaciones posee una política de seguridad con reglas y responsabilidades definidas para la protección de los datos.
Las situaciones de riesgo todavía aparecen con mucha frecuencia, ya que muchas empresas consideran que la seguridad de los datos en la nube es responsabilidad del proveedor, o que las medidas de control de acceso limitadas a usuarios así como las claves y la criptografía de transmisión de datos protegen los datos almacenados o procesados en servidores en la nube.
Casi siempre por falta de inversiones o debido a la ausencia de profesionales capacitados, la seguridad es relegada a una prioridad menor, y los responsables creen que el análisis esporádico de logs o los casos reportados por los usuarios son suficientes para las medidas de contención de pérdidas o incidentes.
Una implementación efectiva de políticas para la protección y controles de acceso considera las siguientes acciones:
[box]
- Mapeo de los servicios utilizados por los usuarios de forma independiente
- Criterio en la oferta de acceso privilegiado
- Implementación de control de sesión autenticada con expiración por tiempo y por inactividad
- Gestión de identidades integrado con los procesos de Recursos Humanos y terceros
- Identificación del tipo de acceso, lugar, hora y perfil para evitar comportamientos perjudiciales y posibles brechas en los controles
- Protección de los datos almacenados y transmitidos por medio de criptografía para evitar la exposición de los datos no solo en la transmisión sino también en su almacenamiento.
[/box]
De acuerdo con el informe de amenazas del Crowd Research Partners, el 47% de las empresas no tiene condiciones para detectar ataques internos o no consigue medir el tiempo de detección, siendo que el 43% afirma que el tiempo de respuesta a incidentes es de hasta una semana.
Como es imposible protegerse de amenazas no identificadas, debe implementarse el monitoreo activo de seguridad, por medio de soluciones de Data Loss Prevention (DLP – Prevención de la Pérdida de Datos), Security Information and Event Management (SIEM – Seguridad de la Información y Gestión de Eventos) y Secure Enterprise Content Management (SECM – Gestión de Contenido de Empresas Seguras), entre otras, para el éxito en la detección y protección de las informaciones.
Mejor aún si la solución es integrada con monitoreo de infraestructura, movimiento de datos y aplicaciones, considerando el contexto y el comportamiento usual de todos los usuarios involucrados.
Las consideraciones de este texto no tienen la pretensión de agotar el tema de seguridad en la nube. Existen muchos otros puntos importantes a considerarse, desde la infraestructura hasta los criterios de desarrollo de aplicaciones para Cloud, que poseen características distintas del modelo tradicional de TI.
Por esta razón, (ISC)² junto con la CSA (Cloud Security Alliance) desarrolló la certificación CCSP – Certified Cloud Security Professional, que trae un valor inestimable a los profesionales que quieren y necesitan profundizar en este conocimiento.
Por Kleber Melo, Presidente del Consejo Consultivo de (ISC)² para América Latina