Si bien la seguridad en la nube ciertamente ha recorrido un largo camino desde los días del salvaje oeste en que se adoptó la nube en sus inicios, la verdad es que aún queda un largo camino por recorrer antes de que la mayoría de las organizaciones actuales hayan madurado realmente sus prácticas de seguridad en la nube. Y esto está costando enormemente a las organizaciones en términos de incidentes de seguridad.
Un estudio de Vanson Bourne A principios de este año mostró que casi la mitad de las infracciones sufridas por las organizaciones el año pasado se originaron en la nube. Ese mismo estudio encontró que la organización promedio perdió casi $4.1 millones por violaciones a la nube en el último año.
Dark Reading se reunió recientemente con el padrino de la seguridad de confianza cero, John Kindervag, para analizar el estado actual de la seguridad en la nube. Cuando era analista en Forrester Research, Kindervag ayudó a conceptualizar y popularizar el modelo de seguridad de confianza cero. Ahora es el evangelista jefe de Illumio, donde, en medio de su labor de divulgación, sigue siendo un gran defensor de la confianza cero y explica que es una forma clave de rediseñar la seguridad en la era de la nube. Según Kindervag, las organizaciones deben afrontar las siguientes duras verdades para lograr el éxito.
1. No se vuelve más seguro simplemente yendo a la nube
Uno de los mayores mitos actuales sobre la nube es que es innatamente más segura que la mayoría de los entornos locales, afirma Kindervag.
"Existe un malentendido fundamental acerca de la nube: de alguna manera hay más seguridad integrada en ella, que estás más seguro al ir a la nube simplemente por el hecho de ir a la nube", dice.
El problema es que, si bien los proveedores de nube a hiperescala pueden ser muy buenos a la hora de proteger la infraestructura, el control y la responsabilidad que tienen sobre la postura de seguridad de sus clientes es muy limitado.
“Mucha gente piensa que están subcontratando la seguridad al proveedor de la nube. Piensan que están transfiriendo el riesgo”, afirma. “En ciberseguridad, nunca se puede transferir el riesgo. Si usted es el custodio de esos datos, siempre será el custodio de los datos, sin importar quién los guarde en su nombre”.
Por eso a Kindervag no le gusta mucho la frase tan repetida “responsabilidad compartida”, lo que, según él, hace que parezca que hay una división del trabajo y el esfuerzo al 50%. Prefiere la frase “apretón de manos desigual”, que fue acuñado por su antiguo colega en Forrester, James Staten.
"Ese es el problema fundamental: la gente piensa que existe un modelo de responsabilidad compartida y, en cambio, hay un apretón de manos desigual", afirma.
2. Los controles de seguridad nativos son difíciles de gestionar en un mundo híbrido
Mientras tanto, hablemos de esos controles de seguridad nativos mejorados en la nube que los proveedores han desarrollado durante la última década. Si bien muchos proveedores han hecho un buen trabajo ofreciendo a los clientes más control sobre sus cargas de trabajo, identidades y visibilidad, esa calidad es inconsistente. Como dice Kindervag: "Algunos de ellos son buenos, otros no". El verdadero problema de todos ellos es que son difíciles de gestionar en el mundo real, más allá del aislamiento del entorno de un único proveedor.
“Se necesita mucha gente para hacerlo y son diferentes en cada nube. Creo que todas las empresas con las que he hablado en los últimos cinco años tienen un modelo multinube y uno híbrido, y ambos ocurren al mismo tiempo”, afirma. “El híbrido es: 'Estoy usando mis cosas y nubes locales, y estoy usando múltiples nubes, y es posible que esté usando múltiples nubes para brindar acceso a diferentes microservicios para una sola aplicación'. La única forma de resolver este problema es tener un control de seguridad que pueda gestionarse en todas las múltiples nubes”.
Este es uno de los grandes factores que impulsan los debates sobre el traslado de la confianza cero a la nube, afirma.
“La confianza cero funciona sin importar dónde coloques los datos o los activos. Podría estar en la nube. Podría ser local. Podría ser en un punto final”, dice.
3. La identidad no salvará su nube
Con tanto énfasis puesto en la gestión de identidades en la nube en estos días y una atención desproporcionada al componente de identidad en la confianza cero, es importante que las organizaciones comprendan que la identidad es solo una parte de un desayuno bien equilibrado para la confianza cero en la nube.
"Gran parte de la narrativa de confianza cero tiene que ver con la identidad, la identidad, la identidad", dice Kindervag. “La identidad es importante, pero consumimos identidad en las políticas con confianza cero. No es el fin de todo. No resuelve todos los problemas”.
Lo que Kindervag quiere decir es que con un modelo de confianza cero, las credenciales no dan a los usuarios acceso automático a nada bajo el sol dentro de una nube o red determinada. La política limita exactamente qué y cuándo se da acceso a activos específicos. Kindervag ha sido un defensor desde hace mucho tiempo de la segmentación (de redes, cargas de trabajo, activos, datos) mucho antes de comenzar a diseñar el modelo de confianza cero. Como explica, la esencia de definir el acceso de confianza cero por política es dividir las cosas en "superficies de protección", ya que el nivel de riesgo de los diferentes tipos de usuarios que acceden a cada superficie de protección definirá las políticas que se adjuntarán a cualquier credencial determinada.
“Esa es mi misión, hacer que la gente se centre en lo que necesitan proteger, poner esas cosas importantes en varias superficies de protección, como debería estar la base de datos de su tarjeta de crédito PCI en su propia superficie de protección. Su base de datos de recursos humanos debe estar en su propia superficie protegida. Su HMI para su sistema IoT o sistema OT debe estar en su propia superficie de protección”, afirma. “Cuando dividimos el problema en pequeñas partes del tamaño de un bocado, las resolvemos una por una y las hacemos una tras otra. Lo hace mucho más escalable y factible”.
4. Demasiadas empresas no saben lo que intentan proteger
A medida que las organizaciones deciden cómo segmentar sus superficies protegidas en la nube, primero deben definir claramente qué es lo que están tratando de proteger. Esto es crucial porque cada activo, sistema o proceso conllevará su propio riesgo único, y eso determinará las políticas de acceso y el fortalecimiento a su alrededor. El chiste es que no se construiría una bóveda de un millón de dólares para albergar unos cientos de centavos. El equivalente en la nube a eso sería poner toneladas de protección alrededor de un activo de la nube que está aislado de los sistemas confidenciales y no alberga información confidencial.
Kindervag afirma que es increíblemente común que las organizaciones no tengan una idea clara de lo que están protegiendo en la nube o más allá. De hecho, hoy en día la mayoría de las organizaciones ni siquiera necesariamente tienen una idea clara de qué es lo que hay en la nube o qué se conecta a la nube, y mucho menos qué es lo que necesita protección. Por ejemplo, un estudio de la Alianza de Seguridad en la Nube muestra que solo el 23% de las organizaciones tienen visibilidad total de los entornos de nube. Y el estudio de Illumio de principios de este año muestra que el 46% de las organizaciones no tienen visibilidad completa de la conectividad de los servicios en la nube de su organización.
"La gente no piensa en lo que realmente están tratando de lograr, lo que están tratando de proteger", dice. Este es un problema fundamental que hace que las empresas desperdicien mucho dinero en seguridad sin configurar la protección adecuada en el proceso, explica Kindervag. “Vienen a verme y me dicen 'La confianza cero no funciona' y yo les pregunto: 'Bueno, ¿qué estás tratando de proteger?' y ellos dirán: 'No he pensado en eso todavía', y mi respuesta es 'Bueno, entonces ni siquiera estás cerca de comenzando el proceso de confianza cero. '”
5. Los incentivos para el desarrollo nativo de la nube están fuera de control
Las prácticas de DevOps y el desarrollo nativo de la nube se han mejorado enormemente gracias a la velocidad, escalabilidad y flexibilidad que les brindan las plataformas y herramientas de la nube. Cuando la seguridad se integra adecuadamente en esa combinación, pueden suceder cosas buenas. Pero Kindervag dice que la mayoría de las organizaciones de desarrollo no están incentivadas adecuadamente para que eso suceda, lo que significa que la infraestructura de la nube y todas las aplicaciones que se basan en ella se ponen en riesgo en el proceso.
“Me gusta decir que la gente de las aplicaciones DevOps son los Ricky Bobbys de TI. Sólo quieren ir rápido. Recuerdo haber hablado con el jefe de desarrollo de una empresa que finalmente sufrió una vulneración y le pregunté qué estaba haciendo con respecto a la seguridad. Y él dijo: 'Nada, no me importa la seguridad'”, dice Kindervag. “Pregunté: '¿Cómo es posible que no te importe la seguridad?' y él dice 'Porque no tengo un KPI para ello'. Mi KPI dice que tengo que hacer cinco empujones por día en mi equipo, y si no lo hago, no obtengo una bonificación'”.
Kindervag dice que esto es un ejemplo de uno de los grandes problemas, no sólo en AppSec, sino también en el paso a la confianza cero para la nube y más allá. Demasiadas organizaciones simplemente no tienen las estructuras de incentivos adecuadas para que esto suceda y, de hecho, muchas tienen incentivos perversos que terminan fomentando prácticas inseguras.
Por eso es un defensor de la creación de centros de excelencia de confianza cero dentro de las empresas que incluyan no sólo a tecnólogos sino también a líderes empresariales en los procesos de planificación, diseño y toma de decisiones en curso. Cuando estos equipos multifuncionales se reúnen, dice, ha visto “las estructuras de incentivos cambian en tiempo real” cuando un poderoso ejecutivo de negocios da un paso adelante para decir que la organización se moverá en esa dirección.
"Las iniciativas de confianza cero más exitosas fueron aquellas en las que se involucraron los líderes empresariales", dice Kindervag. “Tuve uno en una empresa de fabricación donde el vicepresidente ejecutivo, uno de los principales líderes de la empresa, se convirtió en un defensor de la transformación de confianza cero para el entorno de fabricación. Todo fue muy bien porque no hubo inhibidores”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024
