En el camino hacia una buena seguridad en la nube: ¿ya llegamos?



La infraestructura mal configurada es la principal preocupación de seguridad en la nube de los profesionales de TI, pero están en conflicto sobre cómo abordarla en la práctica.

A principios de 2020, el «Informe de investigaciones de violación de datos de Verizon«señaló que la segunda causa más común de filtraciones de datos detrás de la piratería eran errores como configuraciones incorrectas. Nueva investigación publicado por Company Management Associates en enero mostró que los profesionales de la seguridad de TI creen que los errores del tipo de configuración incorrecta son el principal riesgo para el uso de los servicios en la nube por parte de sus organizaciones.

La investigación, «Asegurar los activos de la nube: cómo los profesionales de la seguridad de TI califican su propio progreso», encontró que entre 14 amenazas diferentes a los activos basados ​​en la nube, la amenaza percibida más riesgosa period la pérdida de datos o la exposición debido a una infraestructura de nube mal configurada, según el 16% de encuestados. Por supuesto, la segunda amenaza más peligrosa para los activos basados ​​en la nube fue la exfiltración de datos por parte de personas externas malintencionadas, con un 14%.

No debería sorprendernos que este riesgo sea una de las principales preocupaciones de los profesionales de la seguridad de TI. El movimiento de activos y cargas de trabajo a la nube ganó fuerza con la pandemia COVID-19, que puso las iniciativas de transformación electronic en esteroides. Grandes infracciones debido a errores de configuración incorrecta del cliente (como el Incumplimiento de CapitalOne en 2019) también reciben mucha atención en la prensa, lo que mantiene despiertos a los ejecutivos de seguridad de TI por la noche.

Los equipos de seguridad parecen estar en conflicto con la seguridad en la nube
Aunque la mayoría de los equipos de seguridad de TI ya no son el departamento de No Cuando se trata de iniciativas en la nube, muchos todavía están luchando con la mejor manera de proteger esos activos basados ​​en la nube, al menos cuando se les asigna la tarea de hacerlo.

Otros creen que están manejando el problema, y ​​la investigación descubrió mucha confianza en la capacidad de las organizaciones de seguridad para proteger los activos y las cargas de trabajo en la nube.

  • El 90% de los encuestados dijeron que tenían mucha o mucha confianza en el conocimiento de su equipo de seguridad de todo el uso de la nube.
  • El 87% de los encuestados tenía mucha o mucha confianza en el conocimiento y la categorización de su equipo de seguridad de todos los datos almacenados en la nube.
  • El 87% dijo que sus equipos de seguridad estaban muy o muy bien informados sobre los requisitos de seguridad de la nube.
  • El 94% calificó también o muy bien la comprensión de su equipo de seguridad del modelo de responsabilidad compartida para la seguridad en la nube.

La investigación también descubrió una desconexión que plantea la pregunta: ¿Esa confianza está fuera de lugar? Cuando se le pidió que calificara el nivel de visibilidad que el equipo de seguridad tenía en el uso de su organización de tipos específicos de servicios en la nube, incluido el software como servicio (SaaS), la plataforma como servicio (PaaS) y la infraestructura como a-company (IaaS), ese mismo nivel de confianza vaciló. Por ejemplo, cuando se le pidió que calificara el nivel de visibilidad del equipo de seguridad en el uso de SaaS de su organización en una escala de cinco puntos, siendo 1 el nivel más alto, solo el 18% le dio un 1 y el 27% le dio un 2. Visibilidad en PaaS y IaaS se calificó como ligeramente mejor.

¿Quién protege qué parte de la nube?
Al mismo tiempo, se encontró que faltaba el conocimiento de los encuestados sobre el modelo de responsabilidad compartida. Cuando se les pidió que indicaran si el cliente o el proveedor de la nube period responsable de asegurar una lista de siete elementos diferentes que componen una cuenta IaaS, alrededor de la mitad de los encuestados dio una respuesta incorrecta. Específicamente, el 63% indicó erróneamente que el proveedor de la nube era responsable de asegurar las conexiones de purple digital, el 55% indicó erróneamente que el proveedor de la nube era responsable de proteger las aplicaciones y el 50% se equivocó cuando dijo que el proveedor de la nube period responsable de proteger a los usuarios que estaban accediendo a datos y aplicaciones en la nube.

En el otro lado de la moneda, el 48% se equivocó al pensar que el cliente era responsable de proteger el centro de datos físico del proveedor de la nube, y el 47% pensó que period responsabilidad del cliente proteger la crimson del centro de datos físico del proveedor de la nube. Para ser justos, no todos los encuestados eran directamente responsables de proteger los activos y las cargas de trabajo de la nube, pero la mayoría tenía un papel en la adquisición de herramientas de seguridad en la nube.

Traducir la teoría a la práctica
Claramente, aprender a proteger mejor el uso de la nube es un trabajo en progreso. Comprender en teoría cómo funciona el modelo de responsabilidad compartida se va volando en la práctica cuando un ingeniero de sistemas o un desarrollador configura accidentalmente un bucket de AWS S3 para que esté abierto al acceso público. Gran parte de la confusión proviene de las plataformas propietarias de gran riqueza arquitectónica, pero también complejas, que utiliza cada proveedor de la nube. Un encuestado en una pregunta abierta lamentó que para asegurar adecuadamente los activos en la nube se requiere un experto para cada uno de los servicios en la nube. Las buenas prácticas de seguridad en la nube también requieren una colaboración más estrecha entre aquellos que están desarrollando nuevas cargas de trabajo o configurando nuevas cuentas en la nube, como los desarrolladores en el caso de IaaS o PaaS, y los responsables de proteger los activos basados ​​en la nube de su organización.

Al mismo tiempo, los equipos de seguridad de TI responsables de asegurar el uso de la nube de su organización también deben abogar por una mayor y mejor capacitación de aquellos que en última instancia crearán esas cargas de trabajo o cuentas en la nube para asegurarse de que comprenden cómo evitar errores de configuración potencialmente costosos.

Paula aporta más de 30 años de experiencia cubriendo los mercados de tecnología de redes y seguridad de TI. Ha sido analista de seguridad de TI durante 10 años, actualmente como directora de investigación en Business Administration Associates. Antes de unirse a EMA, se desempeñó como directora de investigación … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique