La estrategia TI de las grandes empresas ha adoptado el modelo multinube, con encuestas que muestran que casi todas las organizaciones ahora utilizan múltiples proveedores de nubes, así como numerosas soluciones basadas en la nube. De hecho, el informe 2020 State of the Cloud asegura que el 93% de las empresas tienen una estrategia de multinube, en comparación con el 81% de hace dos años.
El alto nivel de preocupación por la seguridad del entorno multinube no es sorprendente, ya que los CISO han visto cómo el alcance de lo que deben proteger se desplaza desde la infraestructura confinada dentro de la empresa a una red de recursos informáticos repartidos entre varios proveedores que ofrecen diferentes niveles tanto de servicios como de garantías de seguridad. Este vasto e ilimitado entorno crea una mayor superficie para los ataques malware, las brechas de datos, las infracciones de cumplimiento/regulación y los problemas de resiliencia. Debido a esta complejidad añadida el modelo multicloud se está convirtiendo en un claro vector de ataque, afirma Sai Gadia, socio de la práctica de riesgo tecnológico de KPMG.
Complejidad compuesta
La típica instalación de infraestructura y soluciones de TI de las empresas hoy en día incluye no sólo despliegues de nubes públicas y privadas, sino también un promedio de 288 ofertas de SaaS diferentes, según el informe 2020 SaaS Trends. Todos ellos con diferentes requisitos de seguridad, así como diferentes niveles y tipos de capacidades de seguridad incorporadas. Además, los proveedores de nube tienen herramientas diferentes, o bien utilizan términos distintos para la misma clase de herramientas e incluso disponen de posiciones diferentes en sus responsabilidades de seguridad.
Todo esto hace que los proveedores de servicios de seguridad en la nube tengan que crear un conjunto cohesivo que documente si las características de seguridad proporcionadas por la nube son adecuadas, o si se necesita más seguridad y dónde y qué medidas de seguridad adicionales se deben implantar.
“La nube se suponía que iba a hacer nuestras vidas más sencillas, y lo hace de muchas maneras; proporciona muchos beneficios. Pero desde el punto de vista de la seguridad, añade mucha complejidad porque hay mucho que hacer”, dice Garrett Bekker, analista de investigación senior del canal de seguridad de la información en 451 Research, que forma parte de S&P Global Market Intelligence.
En este sentido, las respuestas del informe sobre las amenazas a la nube de 2020 de Oracle y KPMG citaron la complejidad como un reto significativo, ya que el 70% de los encuestados dijeron que se necesitan demasiadas herramientas especializadas para asegurar sus posiciones en la nube pública y el 78% destacaron la necesidad de diferenciar las políticas y procedimientos de seguridad entre sus aplicaciones residentes en la nube y las de las propias instalaciones.
“¿Cómo se gestiona toda la información dispar de los diferentes proveedores y se formula una única perspectiva de gestión?”, pregunta Ed Moyle, socio fundador de Security Curve y desarrollador principal de Managing Security Impacts in a Multicloud Environment (Gestión de los impactos de seguridad en un entorno multinube) de la asociación de gobierno de TI, ISACA.
El desafío de la visibilidad es multicapa, dice Kathy Wang, CISO en Very Good Security. Por ejemplo, algunos equipos de seguridad de la empresa no tienen conocimiento de todos los despliegues de la nube de la organización (especialmente cuando se tienen en cuenta las ofertas de SaaS compradas directamente por las unidades de negocio). Incluso cuando lo hacen, muchos tienen dificultades para supervisar todas las distintas implementaciones de la nube para detectar problemas. Y otros luchan con la compilación y la comprensión de todos los datos de las herramientas de gestión de incidentes.
Desarrollo de una estrategia
El diseño de una estrategia de seguridad multinube comienza con la identificación de todas las nubes utilizadas por la empresa, asegurándose de que la empresa tiene un sólido programa de gobierno de datos para guiar las decisiones de seguridad relacionadas con la nube, y el despliegue de las herramientas adecuadas en los lugares correctos para hacer valer los niveles adecuados de control.
“La empresa debe alinear sus herramientas, procesos, capacidades de monitorización, mentalidad operacional y muchos otros elementos de su plan de seguridad para considerar que múltiples proveedores están en juego”, asevera ISACA en su documento Managing Security Impacts in a Multicloud Environments.
Los CISO se están moviendo aen esa dirección, señalando que la encuesta de Oracle-KPMG muestra que las organizaciones tienen más arquitectos de seguridad en la nube que arquitectos de seguridad. Aun así, muchos equipos de Seguridad tienen que ir más allá para añadir personal que disponga de todas las habilidades necesarias para crear una arquitectura de nube segura.
Tres pasos clave para fortalecer una seguridad multinube
Cuida las aplicaciones y datos. La importancia de la seguridad de las aplicaciones en un entorno multinube no puede ser subestimada. “Ahora, más que nunca, es fundamental contar con un enfoque robusto y sólido para asegurar las aplicaciones”, señala Ramsés Gallego, director internacional de Seguridad, Riesgo y Gobierno de Micro Focus y embajador de ISACA en España. Esto significa no sólo asegurar que el código esté libre de errores, sino que cualquier aplicación que pueda estar utilizando esté actualizada y no tenga vulnerabilidades”.
Gallego añade que la “gestión de datos, la minimización y, lo que es más importante, la anonimización y el cifrado son pilares fundamentales en la construcción de una sólida estrategia de seguridad”.
Emplear las herramientas adecuadas. Ensamblar la mezcla apropiada de herramientas y tecnologías de soluciones de nube de cada organización requiere trabajo, dice Wang, dadas las variaciones de las características de seguridad incorporadas en las diferentes ofertas de nube. Por lo tanto, los CISO se ven obligados a determinar con gran detalle qué soluciones funcionan y dónde, y a seleccionar ofertas que puedan abarcar todo su entorno de nubes para crear un único panel de la seguridad. Por ello, los expertos citan la necesidad de tecnologías como los agentes de seguridad de acceso a la nube (CASB); un software que la empresa sitúa entre ella y los proveedores de servicios de la nube para consolidar y hacer cumplir medidas de seguridad como la autenticación, la asignación de credenciales, la elaboración de perfiles de dispositivos, el cifrado y la detección de malware.
Los expertos también remiendan la gestión de la seguridad en la nube (CSPM), una tecnología más reciente que evalúa el entorno de la nube de una empresa en función de sus requisitos de seguridad para hacer cumplir de forma continua las configuraciones de la nube.
“Los CASB siguen siendo relevantes, pero muy centrados en el SaaS, mientras que la CSPM se centra más ampliamente en todos los modelos de servicios en la nube (IaaS, PaaS, SaaS)”, explica Juan Pérez-Etchegoyen, investigador y copresidente del Grupo de Trabajo de Seguridad de ERP en la organización comercial sin fines de lucro Cloud Security Alliance (CSA).
Zero Trust. Los expertos en seguridad también aconsejan a los CISO que adopten la estrategia zero trust y que avancen hacia la implementación de las tecnologías que apoyan este modelo de seguridad. Un modelo que asume que las conexiones nunca son seguras, a menos que demuestren lo contrario. En un modelo Zero Trust, la seguridad de los activos de la nube no depende de la confianza de los usuarios, ni de los dispositivos, dentro de la red extendida, sino que depende de los menores privilegios/acceso.
“Cada usuario y dispositivo es verificado antes de que se le conceda acceso a los recursos del entorno de la nube”. Moyle dice que este cambio de mentalidad de considerar todo poco fiable hasta que se verifique, ayuda a los equipos de seguridad a proteger la empresa tanto contra los despliegues de nube sancionados, como contra el shadow IT, así como contra los proveedores de nube cuya propia seguridad integrada no es tan robusta como la organización requiere.
Por último, según los expertos, los CISO que buscan mejorar su estrategia de seguridad en su entorno multinube necesitan garantizar la existencia de procesos que respalden sus normas de seguridad, completando así el enfoque tradicional de personas-proceso tecnológico que durante mucho tiempo ha dominado la seguridad. Para ello es necesario que todos los interesados de la empresa colaboren para equilibrar las necesidades de negocio, los objetivos de seguridad y las obligaciones de cumplimiento.
“Es necesario que haya una conversación estratégica de alto nivel sobre cómo hacemos la gestión de riesgos para el modelo cloud y cómo la naturaleza del desarrollo de la nube dentro de nuestra organización afecta a la forma en que tomamos decisiones de riesgo con la tecnología”, comenta Fernando Montenegro, analista principal de investigación del equipo de seguridad de la Información de 451 Research, señalando que ahora hay más CISO y CSO trabajando en colaboración con los desarrolladores y otras partes interesadas en las primeras etapas de los ciclos del proyecto para garantizar que la seguridad se tenga en cuenta desde el principio.
Mary K. Pratt, CSO.es
