El arte de asegurar el ecosistema cloud: por qué es hora de cambiar

• Por José Battat, director general de Trend Micro Iberia.

Los tiempos están cambiando muy rápido. El perímetro de la red corporativa, y todas las certezas que garantizaba a los profesionales de la ciberseguridad, se han volatilizado. Hoy en día, éste ha sido reemplazado por un entorno más fluido y dinámico diseñado para apoyar los esfuerzos de transformación digital e impulsar el crecimiento potenciado por la innovación para el negocio. Este nuevo mundo informático gira en torno a sistemas híbridos cloud, arquitecturas de microservicios, DevOps e infraestructura como código.

Pero con estos cambios sísmicos en la forma en que hacemos TI, se producen cambios importantes en la forma en que se deben asegurar los datos y sistemas críticos para el negocio. Esto exigirá un nuevo enfoque para gestionar el riesgo en un mundo donde el cloud es una realidad de primer orden.

Una nueva era

No hay duda de que ahora vivimos en una era centrada en el cloud. Se prevé que el mercado mundial de servicios de cloud pública crezca un impresionante 17% en 2020 hasta alcanzar los 266.000 millones de dólares, con las empresas británicas a la cabeza de Europa en términos de adopción. Los beneficios de la nube son ya bien conocidos, pues combinan la eficiencia y la flexibilidad TI con el ahorro de costes y la escalabilidad. Esto permite a organizaciones tan diversas como las empresas de servicios públicos, los retailers e incluso los proveedores de atención sanitaria optimizar los procesos de negocio y mejorar la productividad de los empleados, así como ofrecer servicios innovadores centrados en el cliente para impulsar el crecimiento.

Despréndase de la superficie de los sistemas de TI corporativos de hoy en día y verá una compleja mezcla heterogénea de servidores físicos heredados y múltiples sistemas de nube híbridos. Para ayudar a gestionar esta complejidad, las organizaciones están recurriendo a contenedores y microservicios para ayudarles a integrar mejor las nubes híbridas y desarrollar nuevas aplicaciones de forma más eficiente. Los equipos de DevOps a cargo de estos proyectos operan a lo largo de nuevas líneas de infraestructura como código, donde todo está definido por software-, desde las máquinas virtuales y contenedores que reemplazan rápidamente a los servidores tradicionales, hasta las redes y las pilas de aplicaciones.

No resulta sorprendente que el mercado de la transformación digital se espera que crezca un 18% en los próximos cinco años para alcanzar los 924.000 millones de dólares en 2025.

Cuando surgen problemas

Sin embargo, esta transformación radical en la forma en que las TI se entregan y gestionan viene con un nuevo conjunto de riesgos. Los propios proveedores cloud tienen grandes equipos internos y sus centros de datos están acreditados con los más altos estándares operativos y de seguridad. Pero la seguridad no es toda su responsabilidad. Tal y como explica muy claramente Amazon Web Services (AWS), se encarga de la infraestructura sobre la que se construyen sus servicios (seguridad de la nube), pero el cliente es responsable de todo lo demás, incluidos sus sistemas operativos invitados, aplicaciones y datos de clientes. Esto se describe como seguridad EN la nube, y donde la línea que se dibuja entre los dos es un motivo de confusión continua.

Aunque el cloud computing permite a las organizaciones subcontratar mucho, no pueden subcontratar la responsabilidad, un hecho confirmado por los reguladores del GDPR. En realidad, el ecosistema cloud se está volviendo tan complejo, si no más, que el de las instalaciones que está empezando a sustituir, a medida que las empresas construyen entornos entre múltiples proveedores. Se estima que el 85% está utilizando múltiples nubes y el 76% está usando entre dos y 15 nubes híbridas.

En algunos casos, los propios proveedores cloud añaden una complejidad adicional. Cada una o dos semanas, aparece una nueva organización en titulares por no asegurar una base de datos sensible en la nube, exponiendo efectivamente la información en Internet. Los equipos internos simplemente no son expertos en configurar correctamente dichas cuentas ante la multitud de opciones que se les presentan. La mala noticia es que los hackers están escudriñando cada vez más los casos expuestos: algunos han robado datos y los han mantenido para pedir rescates, mientras que otros han intentado insertar código de skimming digital  en archivos JavaScript expuestos.

Un problema dinámico

Este no es el final de la historia para los jefes de seguridad TI. El nuevo mundo del cloud es volátil y se mueve rápidamente, exigiendo un cambio en la forma de responder. Las cargas de trabajo en la nube son de naturaleza dinámica, por ejemplo, lo que crea problemas que los procesos y herramientas de seguridad tradicionales no están preparados para afrontar. ¿Cómo se puede hacer un seguimiento de estas cargas de trabajo tan cambiantes? Es posible que hoy  tenga un simple servidor web que no requiere mucha protección, pero mañana podría formar parte de su entorno de comercio electrónico altamente regulado. Adaptar su postura de seguridad para mantenerse al día con estos cambios es un gran desafío.

La revolución de la infraestructura como código trae consigo otros problemas. El atractivo de los contenedores y microservicios, por ejemplo, es que son más fáciles de construir y mantener, y pueden ser desarrollados y probados por los equipos DevOps para adaptarse rápidamente a las cambiantes demandas del mercado. Pero el uso compartido de las bibliotecas de terceros expone a las organizaciones a un código plagado de errores, y se sabe que los ciberdelincuentes han sembrado malware oculto en estos repositorios.

Es hora de cambiar

¿Qué significa todo esto para su negocio? Significa que la adopción de la nube debe ir de la mano de la ciberseguridad. Resulta decepcionante que una reciente investigación de Trend Micro haya descubierto que los equipos de seguridad no son consultados al comienzo de los proyectos de DevOps en un tercio (34%) de los casos, incluso aunque que esta falta de compromiso esté creando un ciberriesgo para el 72% de los responsables de TI. Si no se abordan los problemas que hemos destacado anteriormente, se podrían producir importantes brechas de datos, cortes de servicio y todos los riesgos asociados de daños financieros y de reputación.

Un buen punto de partida es entender el modelo de responsabilidad compartida, separando los contratos en la nube para que quede claro al 100% qué partes del entorno en la nube debe asegurar su organización. A continuación, consulte las herramientas de gestión de la postura de seguridad en la nube (CSPM) para ayudar a proporcionar esa información crucial sobre su infraestructura existente y dónde se han realizado las principales configuraciones erróneas. Considere también la posibilidad de utilizar el poder de la infraestructura como código para la seguridad, con servicios basados en API que incorporen controles sin problemas en los conductos de DevOps, para detectar amenazas antes y durante el tiempo de ejecución.

No hay vuelta atrás a las certezas de antaño. Por tanto, los CISO deben abrazar lo nuevo, y encontrar una manera de minimizar el riesgo cibernético sin impactar en la innovación y el crecimiento de los negocios.