Por Juan Carlos Ruiz
Muchas organizaciones están adoptando los servicios en la nube para aprovechar los beneficios que ésta trae consigo, durante la pandemia se aceleró la adopción de esta tecnología y se espera que en el año 2022 el crecimiento en el consumo de servicios en la nube siga creciendo de manera importante.
Pero la nube también trae consigo retos importantes, entre los que se encuentra la seguridad de la información. Además, México ocupa el tercer lugar en ciberataques a nivel mundial. Los administradores de TI y en especial los CISOs están conscientes de estos riesgos, y el peligroso lugar que ocupa nuestro país en este ranking, por lo que están tomando acciones para contener los riesgos asociados a este contexto.
Consideraciones de seguridad al contratar servicios en la nube
● Como cliente de la nube, la organización es responsable de la seguridad de sus datos.
● Los datos en la nube se crean, comparten y consumen fuera de su red visible y dispositivos administrados.
● Los administradores de servicios en la nube pueden acceder a información confidencial.
● Al no tener visibilidad y control sobre los datos en la nube, aumenta el riesgo de sufrir incidentes de pérdida de datos e incumplimiento.
● Los mecanismos de autenticación pueden ser atacados
● Los ataques de malware tradicionales están evolucionando hacia API en la nube, lanzando ataques a los datos de la empresa
● Los desarrolladores pueden introducir riesgos a través de IaaS mal configurado.
● IaaS se implementa rápidamente con una configuración de seguridad limitada, dejando los datos abiertos al público o vulnerables a los atacantes.
● La mayoría de las organizaciones tienen instancias de IaaS mal configuradas.
Debido a lo anterior, las empresas están asignando más presupuesto a la seguridad de la información y muy en especial a la seguridad de los datos en la nube. Gartner proyectó que las empresas gastaron más de $123 mil millones en seguridad en 2020 y otros analistas como McKinsey calculan que esta inversión crecerá a $101.5 billones para 2025. Y es que los ciberataques van al alza, el cibercrimen es una industria ilegal ya comparable a la economía de las principales potencias mundiales.
Los hackers están utilizando tecnología cada vez más sofisticada como IA (Inteligencia Artificial) y Machine Learning para multiplicar sus ataques. La CONDUSEF calculó que el costo de recuperación por ataques de ransomware alcanza los 2.3 millones de dólares en promedio.
En una publicación sobre las amenazas más comunes de la nube durante 2021, McAfee-Trellix, observaron que las empresas del sector financiero encabezan la lista de vulnerabilidades.
Para muestra, basta un botón, de acuerdo con el Informe de Investigación de Amenazas Avanzadas de Trellix de octubre de 2021, los sectores con más amenazas en la nube en el segundo cuatrimestre del año fueron:
1. Servicios Financieros 33%
2. Servicios de Atención Médica 13%
3. Manufactura 9%
4. Comercio Minorista 9%
5. Servicios Profesionales 8%
6. Servicios de Viajes y Hospitalidad 7%
7. Software e Internet 6%
8. Tecnología 5%
9. Cómputo y Electrónica 4%
10. Organizaciones sin Fines de Lucro 3%
Se puede ver que el sector de Servicios Financieros fue el más afectado por los incidentes en la nube y en el panorama futuro se prevén más riesgos no solo para este sector sino en general.
Algunos de los riesgos que veremos evolucionar son:
Configuración incorrecta de las API’s
Explotación de mecanismos de autenticación modernos
Evolución de los ataques de malware tradicionales para usar más API en la nube
Uso indebido de las API para lanzar ataques a los datos de la empresa
“Hasta 2023, al menos el 99% de las fallas de seguridad en la nube serán culpa del cliente”, Cuadrante Mágico de Gartner
¿Cómo proteger la información en la nube?
Así como los ciberataques han ido cambiando, también las empresas que ofrecen soluciones de seguridad informática han ido evolucionando para ayudar a las organizaciones a minimizar los riesgos de ataques en la nube.
Dos soluciones de seguridad que ayudarán a proteger tus datos son:
1. CASB
De acuerdo con Gartner, CASB (Cloud access security brokers) son puntos de aplicación de políticas de seguridad locales o basados en la nube, ubicados entre los consumidores de servicios en la nube y los proveedores de servicios en la nube para combinar e interponer políticas de seguridad empresarial a medida que se accede a los recursos basados en la nube.
Algunos ejemplos de políticas de seguridad son:
● Autenticación
● Inicio de sesión único
● Autorización
● Asignación de credenciales
● Creación de perfiles de dispositivos
● Cifrado
● Tokenización
● Registro
● Alertas
● Detección / prevención de malware
● Etc.
Muchas funciones de seguridad de CASB son únicas en comparación con las que ofrecen otros controles de seguridad, como “web application firewalls” and “secure web gateways”, y pueden incluir:
● Gobernanza de la nube y evaluación de riesgos
● Prevención de pérdida de datos
● Control sobre las funciones nativas de servicios en la nube, como la
colaboración y el uso compartido
● Control de acciones de los usuarios de los servicios en la nube
● Control de acciones de los administradores de servicios en la nube
● Prevención de amenazas
● Análisis de comportamiento de usuarios y entidades (UEBA)
● Auditoría de configuración
● Detección de malware
● Cifrado de datos y gestión de claves
● Integración de SSO e IAM
● Control de acceso contextual
CASB inició como una respuesta al “Shadow IT” pero ha ido evolucionando a manera de incluir funcionalidades que protejan contra los ciberataques modernos, los componentes básicos que cualquier solución CASB deben tener están basados en cuatro pilares base:
1. Visibilidad
2. Cumplimiento
3. Seguridad de los datos
4. Protección contra amenazas
2. DLP
Gartner define DLP (Data Loss Prevention) como un conjunto de tecnologías y técnicas de inspección que se utilizan para clasificar el contenido de información dentro de un objeto, como un archivo, correo electrónico, paquete, aplicación o almacén de datos, mientras está en reposo (almacenado), en uso (durante una operación) o en tránsito (a través de una red).
Las herramientas DLP también tienen la capacidad de aplicar dinámicamente una política, como registrar, informar, clasificar, reubicar, etiquetar y cifrar, y/o aplicar protecciones de administración de derechos de datos empresariales.
Una fuga de datos se produce cuando se difunde información confidencial o privada fuera de la empresa como resultado de una comunicación no autorizada a través de canales, tales como aplicaciones, dispositivos físicos o protocolos de red. DLP a través de sus tecnologías protege frente a la fuga de datos mediante la identificación y protección de estos en la red y fuera de ella.
DLP puede incluir funciones como:
● Escaneo de datos en movimiento, en uso y en reposo
● Identificación de datos que requieren protección
● Ejecución de acciones correctivas: alerta, solicitudes, cuarentena, bloqueo y
encriptación
● Control de dispositivos
● Cifrado de dispositivos USB
● Integración con servidores proxy para protección de tráfico Web
● Generación de informes para cumplimiento, auditoría, análisis forense, etc.
A medida que las organizaciones sigan migrando servicios a la nube, mantener esos entornos seguros, aun cuando están fuera de la visibilidad de los controles de seguridad que se tienen en las instalaciones, representará un gran reto que con mayor frecuencia veremos asociados a requisitos de cumplimiento en las TI y compliance en ciberseguridad, políticas y regulaciones en torno a la seguridad de la información.
Las empresas tienen que proteger sus datos y permitir que sus colaboradores sigan accediendo a los servicios en la nube sin que esto represente un riesgo para la organización. Al final todas las áreas del negocio, en particular las de TI y Seguridad, buscan:
● Capacidad para transformar el negocio a través de la adopción de la nube
con visibilidad y control completos sobre todos sus datos en la nube.
● Tener control sobre el acceso, uso compartido y almacenamiento de datos
en todos los servicios en la nube para evitar riesgos de fuga de datos.
● Detectar y detener amenazas internas, externas basadas en malware para
sus datos y aplicaciones en la nube.
—-
Sobre el autor:
Juan Carlos Ruiz es Ingeniero en Electrónica, responsable de la operación y entrega de servicios de TI por más de 10 años. Ha sido responsable del Sistema de Gestión de Servicios y Gestor de procesos de ISO 20000. Actualmente ocupa la posición de Gerente de Soluciones de TI en icorp.
Sobre icorp:
icorp es una empresa 100% mexicana con presencia en más de 128 ciudades de México y brinda servicio a más de 43 países. Fundada en 1986, se dedica a proveer servicios de soporte, soluciones TI, transformación digital y consultoría de procesos de negocio a grandes organizaciones. Actualmente cuenta con más de 500 especialistas en soporte a usuarios, infraestructura y desarrollo de aplicaciones.
