¿Qué amenazas implica la nube para sus datos?
Ideas & iniciativas
La tendencia hacia una rápida adopción de los servicios en la nube se ve reforzada por el uso generalizado del teletrabajo como consecuencia de la crisis COVID. ¿Qué deben esperar las empresas? ¿Cuáles son los riesgos?
Con la difusión de los datos en la “nube”, la generalización de las tecnologías de nube aumenta automáticamente la superficie de exposición a los riesgos. Una empresa debe identificar correctamente estas amenazas y conocer el papel que le corresponde en materia de seguridad.
La nube presenta numerosas ventajas
Las ventajas de la nube son bien conocidas. Al ofrecer una infraestructura escalable y una capacidad de cálculo casi infinita, la nube es un requisito previo para cualquier transformación digital.
Con solo unos clics, un desarrollador puede acceder a un entorno de desarrollo y de pruebas, un profesional experto a una solución en modo SaaS, etc.
Sin embargo, la consecuencia de esta habilidad es que aumenta automáticamente la superficie de exposición al riesgo. Mientras que antes los datos se alojaban físicamente en un solo lugar, concretamente en la propia infraestructura de la empresa, ahora están dispersos en la “nube”, en varios editores y proveedores de servicios.
El uso generalizado del teletrabajo, impulsado por la crisis sanitaria, solo consolida esta tendencia.
Pero el modelo de la fortaleza se rompe en pedazos
Como resultado, el uso de la nube hace añicos el sistema de defensa tradicional de la fortaleza protegida por su puente levadizo, el firewall, y sus guardias, los antivirus y otros antimalware. Existen numerosas amenazas:
- Según el informe de seguridad 2021 de Check Point Research, “más del 80 % de las empresas ha constatado que sus actuales herramientas de seguridad no funcionan en absoluto o solo tienen unas funciones limitadas en la “nube“.
- Según otro informe de Checkpoint, las principales vulnerabilidades de los recursos de la nube pública son los accesos no autorizados (42 %), las interfaces no protegidas (42 %), los errores de configuración (40 %) y las apropiaciones indebidas de cuentas (39 %).
- La empresa de investigación Gartner es aún más alarmista, y prevé que para 2025, el 99 % de los fallos de seguridad en la nube serán provocados por los clientes.
- En su último barómetro, Deloitte comparte esta observación. Según los miembros entrevistados, los principales riesgos de la utilización de la nube son la falta de control sobre la cadena de subcontratación del proveedor de hosting y la dificultad de controlar los accesos.
Las soluciones perimetrales no son suficientes y deben complementarse con nuevos dispositivos.
El CASB (Cloud Access Security Broker) actúa como centinela, vigilando las entradas y salidas de una red según la política de seguridad de la empresa. Su función principal es evitar que los usuarios depositen en la nube datos que no son aptos para el almacenamiento en la nube, como información personal amparada por el RGPD o datos bancarios.
La complejidad de las tecnologías de nube también dificulta la detección de las señales de un ciberataque y, por tanto, prolonga el tiempo de respuesta. Según un estudio realizado esta vez por Kapersky, la falta de visibilidad en la totalidad de la infraestructura es el obstáculo más habitual al que se enfrentan las empresas a la hora de hacer frente a amenazas complejas.
Con la externalización de su infraestructura a su nube, las empresas también se equivocan al trasladar la obligación de seguridad a los proveedores. Sin embargo, aunque ofrecen diversos servicios de autenticación y seguridad, como el cifrado, corresponde al usuario activarlos y configurarlos correctamente.
Confiar los datos y su seguridad al mismo proveedor es como poner “todos los huevos en la misma cesta”. Esto no solo aumenta la dependencia al proveedor, sino también la exposición al riesgo. Un fallo de seguridad en el proveedor podría poner en peligro los datos alojados.
Las responsabilidades se comparten en la nube
El proveedor y el usuario tienen responsabilidades compartidas en cuestión de seguridad.
El primero es el responsable de la protección de su infraestructura, desde la seguridad física del centro de datos hasta el software y la red que permiten ejecutar sus servicios. El segundo debe proteger las máquinas virtuales y los datos que estas contienen.
Por tanto, el proveedor es el responsable de la seguridad de la nube y la empresa es la responsable de la seguridad en la nube.
Corresponde a esta última configurar correctamente los parámetros de seguridad y actualizar los parches en la parte de la cual es responsable.
¿Qué solución de seguridad hay para la nube?
Complementará el dispositivo con la implantación de servicios adicionales que garanticen la confidencialidad de los entornos de usuario y de los espacios compartidos en la nube mediante el cifrado.
Descubra el caso de un operador de telefonía europeo que implantó la solución ORIZON para proteger la nube de su empresa:
- Lea el caso práctico: Garantizar la confidencialidad de los datos en OneDrive™