- Fluid Attacks explica cuáles son los compromisos que tienen usuarios y proveedores para la protección de la información en un servicio de responsabilidad compartida: la nube.
Fluid Attacks, compañía dedicada al hacking ético en los sistemas informáticos empresariales, analiza algunos efectos de migrar la información hacia la nube para las empresas, en un año protagonizado por la pandemia y el trabajo remoto.
Cloud Computing (Computación en la Nube) es la entrega de soluciones bajo demanda que van desde aplicaciones en la red, hasta el almacenamiento y capacidad de procesamiento de la información. Su uso permite a las empresas ahorrar dinero, tiempo y esfuerzo, contando con servicios de terceros a través de la web según sus necesidades particulares.
Sin embargo, hacer uso del servicio de la nube también trae consigo retos en cuanto a la seguridad de los sistemas y sus activos. La mayor parte de las problemáticas en la nube tienen lugar debido al desconocimiento, por parte de los usuarios, respecto a sus esquemas y a la confusión existente sobre el Modelo de Responsabilidad Compartida de Seguridad (SRM, por sus siglas en inglés) con el que funciona.
Felipe Gómez, Partner & LATAM Manager de Fluid Attacks, cuenta que “Al contrario de lo que se cree, la responsabilidad principal de la protección de los datos corporativos en la nube no corresponde al proveedor del servicio, sino al propio cliente. Las empresas no solo deben preocuparse por el riesgo de perder datos o la propiedad intelectual de la información, sino también por la eliminación o modificación de sus recursos alojados externamente”.
Una empresa que trabaja con su información en la nube consigue importantes beneficios en términos de seguridad; sin embargo, esta labor no depende de solo una de las partes. Los proveedores de este tipo de servicio se suscriben a un SRM de seguridad globalmente aceptado, que establece que su responsabilidad se limita al cuidado de aspectos físicos, infraestructura, red y digitalización. Por su parte, el cliente es quien debe garantizar la seguridad del acceso y la identidad de los usuarios que acceden a la información, así como el resguardo de los datos que se almacenan.
Según informó Gartner recientemente, para el próximo año, se proyecta que al menos el 95% de los fallos de seguridad en la nube serán culpa del cliente. Son muchísimas las compañías que aún no han comprendido el SRM y el alto nivel de riesgo en seguridad que esto representa.
En una encuesta realizada por Oracle y KPMG en el 2020, sobre el grado de comprensión de las organizaciones que usan los servicios en la nube, la gran mayoría manifestó estar familiarizada con el término de Modelo de Responsabilidad Compartida de Seguridad. No obstante, solo el 8% afirmó que entendía realmente el SRM para cada tipo de servicio en la nube. La falta de claridad al respecto hace que muchas empresas pasen por alto varias de las responsabilidades que tienen dentro de la nube.
“Una solución efectiva para este problema es partir de una formación en las organizaciones orientada a un cambio cultural en el que todas las partes implicadas discutan sobre el tema de ciberseguridad. Entender qué es la nube y qué requisitos de protección están bajo la responsabilidad de la compañía resulta decisivo antes de realizar la migración del negocio. Evite que los delincuentes sean quienes descubran las tareas que no se cumplieron”, explica el representante de Fluid Attacks.
Un conocido caso de incumplimiento de responsabilidades en la nube fue la violación de datos del banco Capital One en 2019. En dicha ocasión, una errónea configuración de un firewall en el proceso de integración de las soluciones de la nube, permitió el robo de información de tarjetas de crédito de más de 100 millones de clientes. La conclusión fue que el holding financiero, y no los proveedores de servicio de la nube, fue el responsable por la pérdida monetaria y el tiempo invertido en arreglar ese error, ya que la adecuada integración a la nube estaba entre sus obligaciones, según el SRM.
Si su empresa se encuentra entre aquellas que desean evitar este tipo de inconvenientes con la seguridad en los servicios de las nubes, respondiendo debidamente a sus obligaciones, Fluid Attacks recomienda entender las responsabilidades de su empresa al contratar este tipo de servicios, gestionar esta responsabilidad y además, recurrir a las pruebas de seguridad para el pronto hallazgo de vulnerabilidades. Son diversas las técnicas de evaluación automáticas y manuales que se pueden implementar, ya sea que usted aloje sus activos en AWS, GCP, Azure, o cualquier otra nube. La continua penetración en sus infraestructuras, permitirá analizar la arquitectura y la integridad de sus controles de seguridad, para luego determinar qué ha de ser corregido y remodelado, y a partir de allí poder garantizar la seguridad de sus activos.