La adopción y el uso de servicios en la nube ha aumentado considerablemente en los últimos años, y esta tendencia no hará sino crecer a medida que las organizaciones adopten una fuerza de trabajo remota a la luz de COVID-19.
Sin embargo, según el tercer informe anual sobre amenazas de la nube de KPMG y Oracle, aunque 88% de las organizaciones utilizan actualmente servicios de nube pública, 92% de los profesionales de TI y seguridad no confían en que su organización esté bien preparada para proteger los servicios de nube pública. Y 44% de los entrevistados afirman que tienen una gran laguna.
¿Por qué los equipos de TI y seguridad se sienten tan poco preparados?
Además de luchar contra la falta general de talento y el aumento del número de ciberdelincuentes que atacan los servicios en la nube de las empresas, existen entornos híbridos y multicloud cada vez más complejos que generan confusión en torno al modelo de responsabilidad compartida en la nube y un gran número de herramientas de ciberseguridad.
Si las empresas no implantan los procesos y controles adecuados, ni crean una cultura que fomente una amplia concienciación sobre la seguridad, la información vital en la nube podría ser vulnerable a robos, ciberataques o cosas peores.
Crear una cultura de seguridad en la nube desde la fase de diseño
La seguridad ha sido a menudo una idea tardía entre los desarrolladores y el equipo de seguridad informática. Normalmente, los desarrolladores crean un producto o servicio y luego recurren al equipo de seguridad para evaluarlo y solucionar los problemas que descubren.
Este proceso puede dar lugar a vulnerabilidades innecesarias y añadir trabajo extra a un equipo que ya está sometido a plazos ajustados y potencialmente falto de personal.
Una forma de solucionarlo es introducir la seguridad en el proceso de diseño desde el principio mediante un enfoque DevOps seguro (también conocido como DevSecOps).
Al incorporar la seguridad al diseño de los servicios o productos basados en la nube, las empresas pueden ayudar a mitigar las vulnerabilidades en una fase temprana, lo que puede ahorrar tiempo y costes y, en última instancia, favorecer mejores controles de seguridad en la nube.
Secure DevOps ayuda a las empresas a aprovechar las competencias y poner en común los recursos, así como a crear conciencia más allá de los profesionales de la seguridad.
En esencia, al ofrecer un medio para automatizar la integración de la seguridad en los procesos DevOps, Secure DevOps puede servir de catalizador cultural que trate la seguridad como un requisito empresarial y una responsabilidad compartida por todos los miembros de un equipo de proyecto.
Identificar y automatizar procesos repetibles
Dado el enorme volumen y complejidad de los ataques y la falta de profesionales de la ciberseguridad con amplia experiencia en la nube, las empresas tendrán que recurrir a la automatización para ayudar a aumentar la eficiencia, especialmente a medida que los presupuestos de TI sigan reduciéndose.
Las empresas deben identificar procesos repetibles que puedan automatizarse, buscando áreas en las que la automatización inteligente pueda resolver retos y gestionar riesgos. Por ejemplo, la automatización puede ayudar con la aplicación proactiva de análisis de seguridad estáticos y dinámicos en el entorno de desarrollo/preproducción.
Otra área en la que la automatización puede ayudar es en el aspecto de ejecución de un programa de ciberseguridad, como la supervisión en el entorno de producción. Mediante la automatización de las actividades de supervisión en la nube, las empresas pueden responder rápidamente cuando se produce una brecha y ayudar a mitigar los posibles daños.
Simplificar las herramientas y responsabilidades de seguridad en la nube
Según el informe de Oracle y KPMG, sólo el 8% de los profesionales de la seguridad informática afirmaron comprender plenamente el modelo de seguridad de responsabilidad compartida.
Esta falta de claridad es un factor clave en la brecha de preparación de la seguridad en la nube, y ha dejado a los equipos de seguridad luchando para hacer frente a un número creciente de amenazas que inicialmente asumieron que serían responsabilidad de los proveedores de servicios de nube pública.
Parte de la razón de esta confusión es el gran número de servicios y componentes que las empresas utilizan hoy en día de los proveedores de servicios en la nube - y algunas empresas pueden emplear más de 30 de cada proveedor de servicios en la nube IaaS / PaaS a la vez.
Cada uno de estos servicios requiere un conjunto diferente de controles o herramientas de ciberseguridad. De hecho, por término medio, los encuestados por Oracle y KPMG afirman utilizar más de 100 controles de ciberseguridad diferentes.
Aunque el contrato con los proveedores de servicios en la nube es un buen punto de partida para construir este entendimiento, las empresas también necesitan comprender mejor las responsabilidades asociadas a los servicios y componentes que se utilizan.
Para hacer frente a los retos asociados al modelo de responsabilidad compartida, las empresas deben considerar la posibilidad de consolidar un conjunto diferente de herramientas en una plataforma integrada y alinear las responsabilidades.
Hoy en día, las empresas se plantean comprar la mayoría de sus herramientas de ciberseguridad a un único proveedor en un intento de simplificar los procesos.
Por último, es importante elaborar una estrategia en torno a los servicios en nube actuales y previstos y asegurarse de aclarar la responsabilidad de cada uno en cada uno de estos servicios, así como el modelo de responsabilidad general.
Ahora es el momento de resolver sus problemas de seguridad en la nube
La brecha de seguridad en la nube no es un reto nuevo. Pero con el reciente aumento de actores maliciosos que se aprovechan de las vulnerabilidades de la nube y el previsible aumento de la adopción de la nube, cerrar esta brecha se ha vuelto más vital que nunca.
Siguiendo estos pasos, las empresas pueden empezar a reducir las lagunas y ayudar a disminuir el riesgo de fugas de datos o ataques en la nube pública.
Póngase ahora en contacto con los expertos de Conversys e infórmese sobre nuestras soluciones de seguridad, gestión de redes y conectividad. Estamos a su disposición para ayudarle a superar nuevos retos.
Acerca de Conversys
Conversys IT Solutions es un proveedor de servicios y soluciones de Tecnologías de la Información y la Comunicación que opera en todo Brasil.
Con un equipo técnico y comercial altamente cualificado y una red de socios que incluye a los principales fabricantes mundiales de tecnología, Conversys IT Solutions es capaz de ofrecer a sus clientes soluciones de infraestructura informática y de telecomunicaciones personalizadas.
Invertimos en nuestros empleados y socios y nos esforzamos por mantener una relación duradera con nuestros clientes, porque creemos que así es como adquirimos las habilidades y conocimientos que necesitamos para innovar y generar valor para las empresas en las que operamos.