El cloud se ha convertido en uno de los activos IT más importante para las empresas. Un espacio en el que las compañías cada vez intercambian más información confidencial y datos de negocio. Tanto es así que según el “Informe sobre Adopción y Riesgos en la Nube” elaborado por McAfee, el intercambio de este tipo de datos en entornos cloud aumenta un 53% cada año y las infraestructuras en la nube ya contienen un 21% de datos confidenciales.
Hasta aquí nada especialmente interesante. Pero la cosa cambia si introducimos en la ecuación preguntas sobre la securización de esos datos, la responsabilidad que tienen las plataformas o qué papel deben jugar las empresas en unas infraestructuras que en la mayoría de los casos, no controlan de forma directa. Pues bien, aquí los expertos de McAfee llaman la atención sobre lo que denominan el “Modelo de Responsabilidad Compartida de los entornos cloud” o dicho de otra forma: en realidad, las organizaciones son más responsables de la seguridad de su nube
de lo que creen.
Lo que explican desde la compañía americana es que los proveedores de entornos cloud (Microsoft, Google, Amazon, Salesforce, etc.) son únicamente responsables de la seguridad de su infraestructura, pero no tanto de cómo se utiliza. Es este sentido indican que muchas empresas tienden a ignorar que que el proveedor de servicios cloud únicamente se hace responsable de la seguridad del hardware y software de la propia nube, mientras que el cliente es responsable de la seguridad de sus recursos en cloud. Confían en este sentido que como los proveedores de servicios en la nube ofrecen infraestructuras profesionales, la seguridad está integrada por defecto, cuando esto no tiene por qué ser así. Encriptar datos, emplear software anti-malware y configurar los controles de acceso recaen en el tejado del usuario.
“No hay que olvidar que la nube es también una red. Y, al igual que las redes, los centros de datos son susceptibles de recibir amenazas. La infraestructura en la nube tiene sus propias vulnerabilidades: si un servidor está comprometido, el malware potencialmente puede migrar a otros servidores vulnerables en el mismo entorno,” explica Ángel Ortiz, Director Regional de McAfee en España. “Este camino lateral se conoce como el tráfico ‘este-oeste’ de la red y es mucho más prominente en entornos virtualizados. Además, existen retos únicos de gestión en la nube, como orquestar controles de seguridad en un entorno dinámico que se transforma constantemente o automatizar los procesos”. ¿De qué forma pueden las empresas proteger sus activos en la nube? Desde la compañía de ciberseguridad, proponen las siguientes medidas.
No asumir quién protege el entorno cloud
La nube es compleja por naturaleza y ese hecho puede hacer pasar por alto puntos ciegos. Es importante determinar quién se responsabiliza de todos los elementos de la nube, pues asumir la propiedad sin consultar con el proveedor puede dejar vulnerable a una organización en caso de sufrir un ataque.
Trabajar con el proveedor de servicios cloud para construir la estrategia de seguridad desde la base
Como marca el Modelo de Responsabilidad Compartida, la seguridad es una tarea conjunta entre el proveedor y el cliente. En vez de implementar medidas de seguridad una vez descubierta una vulnerabilidad, es importante aliarse con el proveedor para prevenir ataques desde el principio.
Contar con un equipo de seguridad flexible que piense transversalmente en la nube
Los nuevos métodos para desarrollar aplicaciones en la nube hacen que el Modelo de Responsabilidad Compartida que ha funcionado hasta ahora se vuelva menos claro. Por eso, los profesionales de ciberseguridad necesitan estar preparados para proteger la nube de sus organizaciones, asumiendo que su proveedor únicamente se hace cargo de los requisitos de seguridad mínimos.
Emplear plataformas de seguridad integrales que protejan tanto el endpoint como la nube
Algunas soluciones de ciberseguridad proporcionan protección de datos y amenazas en Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) y Platform-as-a-Service (PaaS), y permiten a las compañías adoptar servicios en la nube al tiempo que protegen la infraestructura y los datos confidenciales, deteniendo las amenazas más avanzadas.